Selbst das erfahrenste und am besten vorbereitete Unternehmen kann von einer E-Mail-Kompromittierung unvorbereitet getroffen werden. Deshalb ist es so wichtig, ein effektives Modell zur Einhaltung der E-Mail-Sicherheit zu entwickeln.
Was bedeutet E-Mail-Sicherheits-Compliance?
E-Mail-Sicherheit ist der Prozess der Überwachung, Aufrechterhaltung und Durchsetzung von Richtlinien und Kontrollen zur Gewährleistung der Vertraulichkeit der elektronischen Kommunikation. Dies kann durch regelmäßige E-Mail-Audits oder laufende Überwachungsmaßnahmen geschehen.
Jedes Unternehmen sollte über ein dokumentiertes Sicherheits-Compliance-Modell (SCM) verfügen, in dem die Richtlinien, Verfahren und Aktivitäten im Zusammenhang mit der Einhaltung von E-Mail-Sicherheitsvorschriften beschrieben sind. Dies stellt sicher, dass es in Ihrem Unternehmen nicht zu Kommunikationsverstößen kommt, und hilft, Geschäftspartner zu halten, die Unternehmen mit schlechten Sicherheitspraktiken gegenüber misstrauisch sein könnten.
Die Vorschriften zur Einhaltung der E-Mail-Sicherheit für Unternehmen verstehen
Gesetze zur Einhaltung der E-Mail-Sicherheit dienen als rechtlicher Rahmen für die Gewährleistung der Sicherheit und des Datenschutzes der in E-Mails gespeicherten Informationen. Diese Gesetze werden von verschiedenen nationalen Regierungen durchgesetzt und sind ein wachsendes Problem für Unternehmen jeder Art und Größe.
Im Folgenden geben wir einen kurzen Überblick über die Anforderungen, die an Unternehmen gestellt werden, die mit E-Mail-Kommunikation arbeiten, sowie einen allgemeinen Überblick über die verschiedenen rechtlichen Rahmenbedingungen, die zu beachten sind, um eine angemessene E-Mail-Sicherheits-Compliance für Ihr Unternehmen aufzubauen.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
Der Health Insurance Portability and Accountability Act(HIPAA) und die Security Standards for Federal Information Systems, 2nd Edition (SOC 2), FedRAMP und PCI DSS sind allesamt Vorschriften, die Organisationen dazu verpflichten, den Datenschutz und die Sicherheit elektronisch geschützter Gesundheitsinformationen (ePHI) zu schützen. ePHI sind alle Informationen, die elektronisch zwischen betroffenen Einrichtungen oder Geschäftspartnern übertragen werden.
Die Gesetze verlangen von den betroffenen Einrichtungen die Umsetzung von Strategien, Verfahren und technischen Kontrollen, die der Art der von ihnen verarbeiteten Daten angemessen sind, sowie weitere Schutzmaßnahmen, die zur Erfüllung ihrer Pflichten gemäß HIPAA und SOC 2 erforderlich sind. Diese Vorschriften gelten für alle Einrichtungen, die PHI in elektronischer Form im Namen einer anderen Einrichtung übermitteln oder empfangen; sie gelten aber auch für alle Geschäftspartner und andere Einrichtungen, die PHI von einer betroffenen Einrichtung erhalten.
Für welche Unternehmen gilt diese Verordnung?
Diese Verordnung gilt für jedes Unternehmen, das PHI (geschützte Gesundheitsinformationen) elektronisch sammelt, speichert oder überträgt. Sie gilt auch für jedes Unternehmen, das an der Bereitstellung einer abgedeckten elektronischen Gesundheitsakte (eHealth Record) oder anderer abgedeckter Gesundheitsdienstleistungen auf elektronischem Wege beteiligt ist. Diese Vorschriften sollen sowohl die Privatsphäre der Patienten als auch die Sicherheit der Patientendaten vor unbefugtem Zugriff durch Dritte schützen.
b. GDPR
Die Allgemeine Datenschutzverordnung (GDPR) ist eine von der Europäischen Union umgesetzte Verordnung. Sie dient dem Schutz der personenbezogenen Daten von EU-Bürgern und wurde als "das wichtigste Datenschutzgesetz einer Generation" bezeichnet.
Die Datenschutz-Grundverordnung verlangt von den Unternehmen, dass sie transparent machen, wie sie Kundendaten verwenden, und klare Richtlinien für den Umgang mit diesen Daten aufstellen. Außerdem müssen die Unternehmen offenlegen, welche Informationen sie über ihre Kunden sammeln und speichern, und den Betroffenen einfache Möglichkeiten bieten, auf diese Informationen zuzugreifen. Darüber hinaus verbietet die DSGVO den Unternehmen, personenbezogene Daten für andere Zwecke zu verwenden als für die, für die sie erhoben wurden.
Für welche Unternehmen gilt diese Verordnung?
Sie gilt für alle Unternehmen, die in der EU Daten sammeln, und verlangt von den Unternehmen die ausdrückliche Zustimmung derjenigen, deren personenbezogene Daten sie sammeln. Bei Nichteinhaltung der GDPR drohen Geldstrafen. Sie müssen also alles in die Wege leiten, bevor Sie mit der Erhebung personenbezogener Daten beginnen.
c. CAN-SPAM
CAN-SPAM ist ein Bundesgesetz, das 2003 vom Kongress verabschiedet wurde und vorschreibt, dass kommerzielle Geschäfts-E-Mails bestimmte Informationen über ihre Herkunft enthalten müssen, darunter die Anschrift und Telefonnummer des Absenders. Das Gesetz schreibt außerdem vor, dass kommerzielle Nachrichten eine Absenderadresse enthalten müssen, bei der es sich um eine Adresse innerhalb der Domäne des Absenders handeln muss.
Der CAN-SPAM Act wurde später aktualisiert, um strengere Anforderungen für kommerzielle E-Mails aufzunehmen. Die neuen Vorschriften verlangen, dass sich die Absender von E-Mails klar und genau identifizieren, eine legitime Absenderadresse angeben und am Ende jeder E-Mail einen Link zur Abmeldung einfügen.
Weitere Informationen über die Einhaltung von Rechtsvorschriften und Cyber-Recht finden Sie in Ressourcen wie Lawrina, die Ihnen helfen, sensible Informationen zu schützen und die sich entwickelnden rechtlichen Rahmenbedingungen im Bereich der Cybersicherheit einzuhalten.
Für welche Unternehmen gilt diese Verordnung?
Das CAN-SPAM-Gesetz gilt für alle kommerziellen Nachrichten, auch für solche, die von Unternehmen an Verbraucher und umgekehrt gesendet werden, sofern sie bestimmte Anforderungen erfüllen. Die Vorschriften sollen Unternehmen vor Spamming schützen, d. h. wenn jemand eine Nachricht mit der Absicht verschickt, Sie dazu zu bringen, auf einen Link zu klicken oder einen Anhang zu öffnen. Das Gesetz schützt auch die Verbraucher vor Spam, der von Unternehmen verschickt wird, die ihnen etwas verkaufen wollen.
Wie Sie ein Modell zur Einhaltung der E-Mail-Sicherheit für Ihr Unternehmen erstellen
Das Modell zur Einhaltung von E-Mail-Sicherheitsvorschriften soll sicherstellen, dass die Server und E-Mail-Anwendungen eines Unternehmens den geltenden Gesetzen, branchenweiten Standards und Richtlinien entsprechen. Das Modell hilft Unternehmen bei der Festlegung von Richtlinien und Verfahren, die die Erfassung und den Schutz von Kundendaten durch die Erkennung, Verhinderung, Untersuchung und Behebung potenzieller Sicherheitsvorfälle gewährleisten.
Im Folgenden erfahren Sie, wie Sie ein Modell aufbauen, das Ihnen bei der E-Mail-Sicherheit hilft, und erhalten Tipps und fortschrittliche Technologien, die über die Einhaltung von Vorschriften hinausgehen.
1. Sicheres E-Mail-Gateway verwenden
Ein E-Mail-Sicherheits-Gateway ist eine wichtige Verteidigungslinie zum Schutz der E-Mail-Kommunikation Ihres Unternehmens. Es trägt dazu bei, dass nur der beabsichtigte Empfänger die E-Mail erhält, und es blockiert auch Spam und Phishing-Versuche.
Sie können das Gateway nutzen, um den Informationsfluss zwischen Ihrem Unternehmen und seinen Kunden zu verwalten. Außerdem können Sie Funktionen wie die Verschlüsselung nutzen, die zum Schutz sensibler Informationen beiträgt, die per E-Mail gesendet werden, indem sie verschlüsselt wird, bevor sie einen Computer verlässt, und auf dem Weg zu einem anderen Computer entschlüsselt wird. So kann verhindert werden, dass Cyberkriminelle den Inhalt von E-Mails oder Anhängen lesen können, die zwischen verschiedenen Computern oder Benutzern versendet werden.
Ein sicheres E-Mail-Gateway kann auch Funktionen wie Spam-Filterung und Archivierung bieten, die für die Aufrechterhaltung einer organisierten und gesetzeskonformen Atmosphäre in Ihrem Unternehmen unerlässlich sind.
2. Schutz nach der Auslieferung ausüben
Es gibt verschiedene Möglichkeiten, ein Modell für die Einhaltung der E-Mail-Sicherheitsvorschriften in Ihrem Unternehmen zu erstellen. Die gebräuchlichste Methode ist die Verwendung des Modells zur Ermittlung potenzieller Risiken und die anschließende Anwendung von Post-Delivery Protection (PDP) auf diese Risiken.
Beim Post-Delivery-Schutz wird überprüft, ob eine E-Mail an den vorgesehenen Empfänger zugestellt worden ist. Dazu gehört, dass der Empfänger sich bei seiner E-Mail-Client-Software anmelden und die Nachricht abrufen kann, und dass die E-Mail nicht von Spam-Filtern gefiltert wurde.
Der Schutz nach der Zustellung kann durch ein sicheres Netzwerk oder einen sicheren Server erreicht werden, auf dem Ihre E-Mails gespeichert werden, und durch deren Verschlüsselung, bevor sie an die vorgesehenen Empfänger zugestellt werden. Es ist wichtig zu beachten, dass nur eine autorisierte Person Zugang zu diesen Dateien haben sollte, damit sie nur von ihr entschlüsselt werden können.
3. Implementierung von Isolationstechnologien
Ein Modell zur Einhaltung der E-Mail-Sicherheit wird durch die Isolierung aller Endpunkte Ihrer Benutzer und deren Webverkehr aufgebaut. Isolationstechnologien funktionieren, indem sie den gesamten Webverkehr eines Benutzers in einem Cloud-basierten sicheren Browser isolieren. Das bedeutet, dass E-Mails, die über die Isolationstechnologie versendet werden, auf der Serverseite verschlüsselt und auf der Clientseite in einer "isolierten" Station entschlüsselt werden.
Daher können keine externen Computer auf ihre E-Mails zugreifen, und sie können keine bösartigen Programme oder Links herunterladen. Selbst wenn jemand auf einen Link in einer E-Mail klickt, der Malware enthält, kann die Malware den Computer oder das Netzwerk nicht infizieren (da der bösartige Link in einer schreibgeschützten Form geöffnet wird).
Isolationstechnologien machen es Unternehmen leicht, Vorschriften wie PCI DSS und HIPAA einzuhalten, indem sie sichere E-Mail-Lösungen implementieren, die hostbasierte Verschlüsselung (HBE) verwenden.
4. Wirksame Spam-Filter erstellen
Bei der E-Mail-Filterung werden E-Mail-Nachrichten anhand einer Liste von Regeln überprüft, bevor sie an das empfangende System weitergeleitet werden. Die Regeln können von den Benutzern oder automatisch auf der Grundlage bestimmter Kriterien aufgestellt werden. Die Filterung wird in der Regel verwendet, um zu überprüfen, ob die von bestimmten Quellen gesendeten Nachrichten nicht bösartig sind oder unerwartete Inhalte enthalten.
Der beste Weg, einen wirksamen Spam-Filter zu entwickeln, besteht darin, zu analysieren, wie Spammer Techniken einsetzen, die es ihnen erschweren, ihre Nachrichten zu erkennen, bevor sie den Posteingang des Empfängers erreichen. Diese Analyse sollte Ihnen helfen, Filter zu entwickeln, die Spam erkennen und verhindern, dass er den Posteingang erreicht.
Glücklicherweise gibt es einige Lösungen (wie DMARC), die einen Großteil dieses Prozesses automatisieren, indem sie es den Unternehmen ermöglichen, spezifische Regeln für jede Nachricht zu definieren, so dass nur die Nachrichten, die diesen Regeln entsprechen, von den Filtern verarbeitet werden.
5. Implementierung von E-Mail-Authentifizierungsprotokollen
Die DMARC Standard ist ein wichtiger Schritt, um sicherzustellen, dass Ihre Benutzer die Nachrichten erhalten, die sie von Ihrem Unternehmen erwarten, und dass sensible Informationen nicht in unbeabsichtigte Hände gelangen.
Dabei handelt es sich um ein E-Mail-Authentifizierungsprotokoll, das es Domaininhabern ermöglicht, Nachrichten abzulehnen, die bestimmte Kriterien nicht erfüllen. Dies kann als Mittel zur Verhinderung von Spam und Phishing eingesetzt werden, ist aber auch nützlich, um zu verhindern, dass betrügerische E-Mails an Ihre Kunden gesendet werden.
Wenn Sie ein E-Mail-Sicherheitsmodell für Ihr Unternehmen entwickeln, benötigen Sie DMARC, um Ihre Marke vor bösartigen E-Mails zu schützen, die von externen Quellen gesendet werden und versuchen, den Namen oder die Domäne Ihres Unternehmens vorzutäuschen, um Ihre treuen Kunden zu betrügen. .
Als Kunde eines Unternehmens, dessen E-Mail-Nachrichten DMARC-aktiviert sind, können Sie sicher sein, dass Sie legitime Mitteilungen von dem Unternehmen erhalten.
6. E-Mail-Sicherheit an einer übergreifenden Strategie ausrichten
Die übergreifende Strategie Ihres Programms zur Einhaltung der E-Mail-Sicherheit besteht darin, sicherzustellen, dass Ihr Unternehmen alle relevanten gesetzlichen Vorschriften einhält. Dazu gehören Vorschriften in den folgenden Bereichen: Absender-IDs, Opt-Ins, Opt-Outs und Bearbeitungszeiten für Anfragen.
Um dies zu erreichen, müssen Sie einen Plan entwickeln, der jeden dieser Bereiche separat behandelt und sie dann so integriert, dass sie sich gegenseitig unterstützen.
Sie sollten auch in Erwägung ziehen, Ihre E-Mail-Strategie in verschiedenen Regionen auf der Grundlage der jeweiligen Richtlinien zu differenzieren. In den USA gibt es zum Beispiel viele verschiedene Vorschriften in Bezug auf Spamming, die andere Umsetzungsmaßnahmen erfordern als in anderen Ländern wie Indien oder China, wo die Spamming-Vorschriften weniger strikt sind.
Prüfen Sie unser E-Mail-Sicherheit für Unternehmen Checkliste zur Sicherung Ihrer Unternehmensdomänen und -systeme.
Aufbau eines Modells zur Einhaltung der E-Mail-Sicherheit für Ihr Unternehmen: Weitere Schritte
- Entwickeln Sie einen Plan für die Datenerfassung, in dem Sie angeben, welche Arten von Informationen Sie erfassen möchten, wie oft Sie diese erfassen möchten und wie lange die Erfassung dauern soll.
- Schulen Sie Ihre Mitarbeiter mit Compliance-Schulungssoftware im sicheren Umgang mit E-Mails, indem Sie Richtlinien, Verfahren und Schulungsmodule für die ordnungsgemäße Nutzung von E-Mails am Arbeitsplatz einführen.
- Überprüfen Sie Ihre aktuellen E-Mail-Sicherheitsmaßnahmen, um festzustellen, ob sie den branchenüblichen Best Practices entsprechen, und erwägen Sie bei Bedarf eine Aufrüstung.
- Legen Sie fest, welche Personaldaten privat oder vertraulich behandelt werden müssen und wie sie an Ihre Mitarbeiter, Partner und Lieferanten weitergegeben werden sollen, einschließlich Dritter, die an der Erstellung von Inhalten für Ihre Website oder sozialen Medienkanäle beteiligt sind.
- Erstellen Sie eine Liste aller Mitarbeiter, die Zugang zu sensiblen/vertraulichen Informationen haben, und entwickeln Sie einen Plan zur Überwachung ihrer Nutzung von E-Mail-Kommunikationstools.
Wer ist für die Einhaltung der E-Mail-Sicherheit in Ihrem Unternehmen verantwortlich?
IT-Manager - Der IT-Manager ist für die Einhaltung der E-Mail-Sicherheitsvorschriften in seinem Unternehmen verantwortlich. Sie sind diejenigen, die sicherstellen, dass die Sicherheitsrichtlinien des Unternehmens befolgt werden und dass alle Mitarbeiter darin geschult wurden.
Sysadmins - Sysadmins sind für die Installation und Konfiguration von E-Mail-Servern sowie für alle anderen IT-Infrastrukturen zuständig, die für den Betrieb eines erfolgreichen E-Mail-Systems erforderlich sein können. Sie müssen wissen, welche Art von Daten gespeichert wird, wer Zugriff darauf hat und wie sie verwendet werden.
Compliance-Beauftragte - Sie sind dafür verantwortlich, dass das Unternehmen alle Gesetze zur Einhaltung der E-Mail-Sicherheit einhält.
Mitarbeiter - Mitarbeiter sind dafür verantwortlich, die E-Mail-Sicherheitsrichtlinien und -verfahren des Unternehmens sowie alle zusätzlichen Anweisungen oder Anleitungen ihres Managers oder Vorgesetzten zu befolgen.
Drittanbieter - Sie können die Sicherheit Ihrer E-Mails an Drittanbieter auslagern, wodurch Sie Zeit und Geld sparen. Zum Beispiel kann ein Drittanbieter DMARC-verwalteter Dienst Anbieter kann Ihnen dabei helfen, Ihre Protokolle innerhalb weniger Minuten zu implementieren, Ihre DMARC-Berichte zu verwalten und zu überwachen, Fehler zu beheben und Ihnen fachkundige Anleitung zu geben, damit Sie die Vorschriften problemlos einhalten können.
Wie können wir Sie bei der Einhaltung der E-Mail-Sicherheit unterstützen?
PowerDMARC bietet E-Mail-Sicherheitslösungen für Unternehmen auf der ganzen Welt, die Ihr geschäftliches Mailing-System sicherer gegen Phishing und Spoofing machen. .
Wir helfen Domaininhabern bei der Umstellung auf eine DMARC-konforme E-Mail-Infrastruktur mit einer erzwungenen (p=reject) Richtlinie, ohne dass die Zustellbarkeit beeinträchtigt wird. Unsere Lösung wird mit einer kostenlosen Testphase geliefert (keine Kartendaten erforderlich), so dass Sie sie ausprobieren können, bevor Sie eine langfristige Entscheidung treffen. DMARC-Testversion jetzt!
