Blog

Wie macht man E-Mail-Kommunikation sicherer?

Ein Artikel zu Sicherheitslücken in Ihrer Kanzlei und die optimale Lösung dafür.

Die IT übernimmt heute immer größere Aufgaben in Ihrer Kanzlei. Alle Mandantendaten liegen auf dem Server, eingehende Dokumente werden gescannt und verarbeitet, Emails werden empfangen und in der E-Akte gespeichert. Ebenso wie die sich auf dem Server ansammelnde Datenmenge, nimmt auch der Bedarf zu, für eine ausreichende Sicherung zu sorgen. Bei zunehmender Datenerfassung ist auch der Schaden für die Kanzlei bei einem erfolgreichen Angriff auf die Daten größer.

E-Mail ist das Haupteinfallstor für Viren

Die größte Sicherheitslücke in der Anwaltskanzlei ist der E-Mail Posteingang. Kriminelle bevorzugen diesen Weg, da er beinahe kostenlos Millionen Menschen erreicht. Einmal falsch geklickt und schon ist es passiert: Allein die Masse an infizierten Mails führt zu Fehlern und damit zu Virenbefall in der Kanzlei. Die lokal installierte Anti-Virus Software überprüft Mails erst, wenn sie bereits zugestellt wurden. Dann ist es aber meistens zu spät.

Öffnen Sie den Anhang einer eingehenden Bewerbung, wenn sich diese tatsächlich auf ihre im Internet (Arbeitsagentur) veröffentlichte Stellenanzeige richtet und noch über einen ansprechenden Text und sogar ein Bild verfügt? Die Anlage lautet „Lebenslauf“ und die Emailadresse des Versenders ist plausibel? Dann möchten wir Ihnen die Meldungen des Verbraucherschutzes empfehlen:
Unternehmen aufgepasst! Bewerbung enthält Virus (05.11.2019 Quelle: verbraucherschutz.com)
Vorsicht Virus neue Bewerbung auf Ihre Stellenanzeige von meinestadt.de (17.03.2020 Quelle: verbraucherschutz.com)
Schulen Sie Ihre Mitarbeiter, wie man schadhafte Emails erkennt und dass man Anhänge nicht einfach öffnen sollte? Jeder Computer in Ihrem Netzwerk bietet Angreifern einen Weg auf Ihre Daten. Dabei gibt es einen besseren Weg: Lassen Sie Schadsoftware gar nicht erst in Ihre Kanzlei gelangen.

Der „Spürhund“: Virenprüfung vor der Zustellung

Stellen Sie sich einen Spürhund vor, der Ihre Kanzleipost vor dem Einwerfen in Ihren Briefkasten auf Sprengstoffspuren prüft, ohne diese zu öffnen. Dabei kann er auch Emails erkennen, die vorgeben, von einer realen Person oder einem Unternehmen zu sein, in Wahrheit aber in betrügerischer Absicht nur Daten abgreifen, wenn man den Link in der Email anklickt. Auch Werbung, die Sie zu oft erreicht, kann aussortiert werden.

In der Praxis setzen wir natürlich keine Spürhunde ein, sondern nutzen dafür geeignete Soft- und Hardware. Der Prozess sieht dabei wie folgt aus: Ihre Emails werden vor der Zustellung im Rechenzentrum maschinell überprüft unter Einhaltung der Datenschutzverordnung. Mehrere Virenscanner und Spam-Anwendungen garantieren dabei eine umfangreiche Überprüfung. Dabei werden sowohl Links in der Email gescannt, als auch Anhänge.

Sie entscheiden selbst, was mit infizierten Nachrichten geschieht. Erhalten Sie eine Übersicht mit den unerwünschten Emails und entscheiden Sie selbst, welche Einträge zugestellt werden sollen.

Um für Sie den Aufwand möglichst gering zu halten, übernimmt Michgehl & Partner den Betrieb und die Überwachung. Die gemanagte Lösung für Ihre Emailkommunikation bietet Ihnen damit die Möglichkeit, sich auf Ihr Tagesgeschäft zu konzentrieren.

Email Archivierung

Die Emailarchivierung erlaubt die Speicherung von E-Mailnachrichten über einen Zeitraum von sechs Monaten bis zu 30 Jahren. Für die Speicherung ergeben sich nach den Datenschutzverordnungen differenzierte Vorgaben. Im Falle einer Bewerbung muss die E-Mail beispielsweise nach spätestens sechs Monaten gelöscht werden. Unser System unterstützt Sie hierbei, die strengen Datenschutzvorgaben einzuhalten.

Nutzen Sie außerdem die einfache, präzise und schnelle Suche für ein rasches Auffinden von gesuchten Daten.

TLS Verschlüsselung

Nicht verschlüsselte Emails können viel einfacher mitgelesen werden. Dies betrifft die Sender- und Empfängermailadresse, den Inhalt der Emails, die IP Adresse der Beteiligten und den Betreff der Email. Die TLS Verschlüsselung hat den Zweck, die Daten zu schützen:

Beim Versand von E-Mails wird über eine Richtlinie die Verschlüsselung per Transport Layer Security (TLS) erzwungen. So ist eine Transportverschlüsselung der ausgehenden E-Mail sichergestellt. Sofern der Empfänger eine TLS Verschlüsselung nicht unterstützt, wird die E-Mail nicht zugestellt und der Absender erhält eine entsprechende Benachrichtigung.

Die Bundesrechtsanwaltskammer sieht die Transportverschlüsselung als den derzeitigen Stand der Technik an. „Sie ist im Hinblick auf die datenschutzrechtlichen Anforderungen wohl das Mittel der Wahl für sämtliche Adressaten des Datenschutzrechts und somit auch für die Anwaltschaft.“ (BRAK 03/2018, link: https://brak.de/w/files/02_fuer_anwaelte/berufsrecht/schoettle-brak-mitt.-2018-118.pdf)

E-Mail-Verschlüsselung inkl. S/MIME Zertifikat

Die Verschlüsselung mit einem S/MIME (Secure/Multipurpose Internet Mail Extensions) Zertifikat gehört zu den bekannten Verschlüsselungsarten. Dieses Verfahren dient dazu, die Emails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Ferner wird auch bei dieser Art der Verschlüsselung die E-Mail vor unbefugter Veränderung oder Einsicht durch Dritte während des Transports durch das Internet geschützt.

Liegt der öffentliche Schlüssel des Absenders vor, werden die E-Mails automatisch entschlüsselt und dem Empfänger zugestellt. Sie können festlegen, ob E-Mails verschlüsselt oder unverschlüsselt versendet werden sollen und wie verfahren werden soll, wenn der Schlüssel des Empfängers nicht vorliegt.

Begrifflichkeiten:

Phishing Mail – Ein Absender einer Email versucht sich als vertrauenswürdiger Kommunikationspartner auszuweisen. Damit soll erreicht werden, dass der Empfänger den Anweisungen in der Email folgt und seine persönlichen Daten herausgibt. Es wird dabei häufig nach Bankdaten, Passwörtern oder Identitätsdaten gefragt. Die Folgen sind Identitätsdiebstahl und finanzielle Schäden.

Ransomware – Eine Software, die auch Verschlüsselungstrojaner genannt wird. Diese Software verschlüsselt Daten auf dem Rechner und gibt diese nicht mehr frei. Dadurch können Computersysteme vollständig lahm gelegt werden. Eine Benutzung ist dann nicht mehr möglich. Dies ist der Worst Case, den Ihre Kanzlei treffen kann.

DDoS-Angriff – Der Distributed-Denial-of-Service (DDoS) erzeugt eine Dienstblockade bei einem System. Dies wird verursacht durch eine extreme Überlastung der IT-Infrastruktur. Mit einer Überzahl an Anfragen werden Systeme beschossen, bis diese in die Knie gehen.

Whitelist – Die Whitelist stellt eine Positivliste dar. Dabei ist gemeint, dass Sie eine E-mail, die zuvor als nicht eindeutig sicher eingestuft wurde, auf die Whitelist setzen können, damit Sie die Emails des Absenders in Zukunft direkt in den Posteingang erhalten.

Malware – Dies ist der Sammelbegriff für Software, die Ihren Systeme Schaden zufügen kann. Unter diese Kategorie fallen Adware, Spyware, Viren, Trojaner, Würmer, und Ransomware.

Spyware – Wie der Name schon vermutet, handelt es sich um eine Software, die Spionage betreibt. Sie kann theoretisch alles nachvollziehen, was an einem Computer geschieht. Tastenanschläge, ausgeführte Programme oder besuchte Internetseiten werden dann an den Absender der Spyware gesandt und können beliebig verwendet werden. Eingaben von Kontodaten, Passwörter und ähnliches werden aufgezeichnet.

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.