TEIL 11 – Umstellung auf MS 365: E-Mail-Security – Das richtige System

Geschrieben am 27.07.2023 von:

Team MORGENSTERN

MORGENSTERN: Innovativ in Datenschutz, IT-Sicherheit und Digitalisierung.
zum Profil

Kontaktiere mich:

+49 (0) 6232 – 100119 44
E-Mail senden

Im letzten Beitrag haben wir uns ausführlich mit den Gefahren befasst, die in unserem E-Mail-Postfach lauern können. Heute wollen wir näher beleuchten, welche technischen, aber auch organisatorischen Maßnahmen wir ergreifen können und sollten, um die Gefahren so weit wie möglich zu minimieren.

Unter dem Begriff „E-Mail-Security“, also E-Mail-Sicherheit, versteht man hauptsächlich den Umgang mit allen Gefahren, die in eingehenden E-Mails lauern können, und die Installation verschiedener Maßnahmen, um diesen Gefahren bestmöglich begegnen zu können.

Aber wie treten wir als Unternehmen oder Organisation nun dieser Herausforderung entgegen? Welche zusätzlichen Herausforderungen entstehen durch die Verwendung von Microsoft 365 als E-Mail-Provider im Vergleich zum Betrieb eines eigenen E-Mail-Servers? Und welche Lösungsmöglichkeiten gibt es?

Die Verwendung von Microsoft 365 als E-Mail-, Kontakte-, Kalender- und Aufgabenverwaltung bietet einige Vorteile:

Im Gegensatz zum selbst gehosteten Microsoft Exchange Server – auch „On-Premises“ oder kurz „On-Prem“, zu Deutsch „in den eigenen Räumlichkeiten“, genannt – benötigen wir keine eigenen Server für die Bereitstellung dieser Dienste. Wir greifen auf die Serverfarmen zu, die uns Microsoft im Rahmen der Buchung von Microsoft 365 zur Verfügung stellt. Aufwändige Einrichtungsarbeiten und regelmäßige Wartungsarbeiten liegen damit in der Verantwortung von Microsoft. Gut für uns.

Bei der Verwendung von Microsoft 365 als E-Mail-Dienst ist ein gewisser Schutz bereits enthalten und standardmäßig aktiviert.

Beim Betrieb eines eigenen Exchange-Servers haben wir dagegen einfachere Einflussmöglichkeiten. Eine eingesetzte Firewall, die die eigene IT-Strukturen vor unerlaubten Zugriffen von außen schützt, bietet oft auch die Möglichkeit, einen E-Mail-Schutz zu aktivieren. Sowohl eingehende als auch ausgehende E-Mails werden zwischen dem Eingang auf dem E-Mail-Server und der endgültigen Zustellung in das E-Mail-Postfach des Empfängers auf Unstimmigkeiten überprüft. Jede E-Mail wird automatisch analysiert und unter anderem auf Spam, Phishing und Schadsoftware geprüft. Das Ergebnis kennen wir: Eine E-Mail wird beispielsweise automatisch in den Spam-Ordner verschoben, weil sie verdächtig erscheint. Je nach Einstellung der E-Mail-Security-Software kann es auch sein, dass besonders gefährliche E-Mails gar nicht erst zugestellt, sondern in Quarantäne verschoben werden. Als Nutzer merkt man unter Umständen gar nicht, dass einige eindeutig gefährliche E-Mails direkt aussortiert wurden, ohne im Spam-Ordner zu landen.

Nutzen wir Microsoft 365 als unsere E-Mail-Lösung, haben wir natürlich nicht die Möglichkeit, eigene Software auf den Servern von Microsoft zu installieren. Aber auch dafür gibt es Lösungen:

Zum einen existiert der eingangs erwähnte Standardschutz von Microsoft 365, der in Lizenzen wie zum Beispiel „Microsoft 365 Business Premium“ inklusive ist. Oft stößt dieser Standardschutz aber an Grenzen. Die Einstellungsmöglichkeiten sind begrenzt und E-Mails werden oft falsch eingeordnet. Dies kann dazu führen, dass wichtige, aber eigentlich unbedenkliche E-Mails im Spam-Ordner landen und nicht rechtzeitig bearbeitet werden oder umgekehrt, dass Spam oder gar gefährliche Nachrichten nicht aussortiert werden.

Abhilfe kann ein weiteres Microsoft-Produkt bieten. Mit zusätzlichen Lizenzen für den „Microsoft Defender for Office 365 (Plan 1)“ für Benutzer*innen kann der E-Mail-Flow deutlich detaillierter konfiguriert und damit optimiert werden. Auch eine Selbstverwaltung durch den*die E-Mail-Empfänger*in / Benutzer*in ist möglich. Benutzer*innen können sich zum Beispiel in Quarantäne verschobene E-Mails nach einer manuellen Prüfung selbst wieder freigeben und zustellen lassen. Auch ist in diesem Zusammenhang konfigurierbar, eine Unterscheidung zwischen lästigem Spam und gefährlichen Phishing- oder Schadsoftware-E-Mails einzurichten, sodass Benutzer*innen bei als gefährlich eingestuften E-Mails nicht die Möglichkeit haben, diese selbst freizugeben, sondern eine Freigabe durch den*die Administrator*in anfordern können. Diese*r kann mit seiner*ihrer Fachkompetenz sicherer entscheiden, ob Gefahren drohen.

Abhilfe kann auch ein externer E-Mail-Security-Anbieter in Kombination mit Microsoft 365 sein. Die Einbindung in den E-Mail-Verkehr ist leicht komplizierter als das bloße Aktivieren und Konfigurieren des Microsoft Defender. Grob betrachtet wird ein E-Mail-Server des externen E-Mail-Security-Anbieters zwischengeschaltet. E-Mails gehen zunächst an den E-Mail-Server des externen E-Mail-Security-Anbieters, werden dort analysiert und geprüft und dann weitergeleitet an den eigentlichen Ziel-E-Mail-Server, der Microsoft-365-Cloud. Als zu gefährlich eingestufte E-Mails oder auch Spam-E-Mails werden – je nach Konfiguration – gar nicht erst an den Ziel-E-Mail-Server weitergeleitet. Stattdessen wird an den*die Empfänger*in einer Nachricht mit einer Übersicht aller zur Sicherheit nicht zugestellten E-Mails gesendet. Diese E-Mails werden auf dem Server des externen Anbieters zwischengespeichert und können im Nachgang durch den*die Administrator*in oder auch durch den*die Benutzer*in / Empfänger*in selbst – auch wieder je nach Einstellung – manuell zugestellt werden, falls es sich um fälschlicherweise aussortierte E-Mails handelt.

Aus Sicht des Datenschutzes muss das Szenario mit einem externen E-Mail-Security-Anbieter nochmals gesondert betrachtet werden. Denn schließlich landen die E-Mails erst dort, bevor sie an den eigentlichen E-Mail-Server weitergeleitet werden und bleiben eine bestimmte Zeit zwischengespeichert. Auch ist davon auszugehen, dass E-Mails immer personenbezogene Daten enthalten. Eine allgemeine rechtliche Bewertung lässt sich hier nicht kommunizieren. Hier kommt es auf den Einzelfall an.

Für welches E-Mail-Security-System man sich entscheidet ist eine Abwägungsfrage und vielleicht auch eine Frage der gewünschten Funktionen und der entstehenden Kosten. Für die Einführung eines bestimmten Systems oder den Umstieg auf ein neues System, um die E-Mail-Security zu optimieren, haben wir nachstehend einige Tipps und Don’ts zusammengestellt:

Tipps:

  • Verschaffe dir einen guten Überblick über die IST-Situation.
  • Beleuchte, mit welchen Problemen die Benutzer*innen im Alltag zu kämpfen haben.
  • Starte aktiv eine Umfrage, um ein umfassendes Bild zu bekommen und frage gezielt bei den Mitarbeiter*innen nach, die mit allgemeinen Postfächern wie zum Beispiel info@meine-firma.de arbeiten oder deren E-Mail-Adresse weit verbreitet ist. Gibt es viel Spam, verdächtige E-Mails oder gar Betrugsversuche?
  • Ist bereits eine E-Mail-Security-Lösung im Einsatz?
    Wenn ja, wie gut funktioniert sie? Wie benutzerfreundlich ist die aktuelle Lösung?
  • Verschaffe dir einen Überblick über mögliche Lösungen und vergleiche die Vor- und Nachteile der Anbieter. Gleiche diese mit den eigenen individuellen Anforderungen ab.
  • Etabliere ein zuverlässiges und benutzerfreundliches System.
  • Die Investition in ein zuverlässiges System zahlt sich am Ende aus, wenn a) Arbeitszeit eingespart und b) das Risiko von monetären Schäden oder Image-Schäden deutlich reduziert werden kann.
  • Informiere vorab alle Mitarbeiter*innen über den Projektplan der Einführung oder der Umstellung auf ein neues System und gib regelmäßig Infos zum aktuellen Stand.
  • Investiere in Mitarbeiter*innen-Schulungen. Lasse allen Mitarbeiter*innen von Fachreferent*innen erklären, welches die Gefahren sind, welche Maßnahmen jede*r selbst ergreifen kann und wie das eingesetzte System funktioniert, was es kann, aber auch, was es nicht kann.
  • Führe Onboarding-Schulungen ein und wiederhole die Schulungen für bestehende Mitarbeiter*innen in angemessenen Abständen, um die Awareness – das Bewusstsein für das Thema – auf einem hohen Niveau zu halten.
  • Richte eine*n IT-Ansprechpartner*in ein, der*die bei Fragen im Alltag fachkundige Einschätzungen geben kann.
  • Weise darauf hin, dass es bei Verdachtsfällen wichtig ist, schnell zu reagieren und es daher um das schnelle Melden geht und nicht um die Schuldfrage, wenn doch mal auf einen der vielen Tricks reingefallen wurde.

Don’ts:

  • Verlasse dich nicht ausschließlich auf die Technik. Systeme zur Erkennung schädlicher E-Mails sollten gut ausgereift sein und sich stätig weiterentwickeln, werden aber nie perfekt alle E-Mails korrekt einsortieren können.
  • Unterschätze daher nicht, wie wichtig es ist, die Mitarbeiter*innen aufzuklären und zu schulen.
  • Bedenke, dass es völlig normal ist, dass die Hauptkompetenz der meisten Mitarbeiter*innen nicht im Umgang mit schädlichen E-Mails besteht, sondern in dem, was ihre Hauptaufgabe ist.  Daher ist es wichtig, alle für das Thema zu sensibilisieren, sie dort abzuholen, wo sie stehen, und sie auf ein gutes Niveau zu bringen.

Mit diesen Infos, Tipps und Don’ts kommen wir einem guten Gesamtsystem im Umgang mit potenziell gefährlichen E-Mails schon ein gutes Stück näher.

Du brauchst rechtliche und technische Unterstützung? Wir helfen dir dabei! Erfahre hier, wie wir dich unterstützen können.


Zurück zu den News