logo ntadmins

Datenlecks per E-Mail: Vorbeugen ist besser…

10. Februar 2025
cybersecurity warrior in digital armor wielding a firewall shield and encryption sword battling shadowy data breach monsters in virtual reality
Quelle: julija, Adobe Stockphoto

Die bei weitem häufigste Ursache für Datenschutzverletzungen sind Datenlecks per E-Mail. Entweder aufgrund menschlicher Fehler, oder einfach aus Nachlässigkeit. Laut des Verizon 2023 Data Breach Investigations Report ist das Senden von Informationen an den falschen Empfänger die häufigste Ursache für Datenlecks (43 Prozent). Die Analyse hat weiterhin ergeben, dass die meisten Fehler, die zu Sicherheitsverletzungen führen, von Entwicklern, Systemadministratoren und Endbenutzern gleichermaßen begangen werden.

Eine Datenschutzverletzung liegt vor, wenn es sich um einem vorsätzlichen Angriff handelt, etwa auf einen Webdienst oder das Netzwerk und die Systeme eines Unternehmens. Dabei setzt ein externer Angreifer oder anderer Auslöser einen Prozess in Gang, der zur eigentlichen Datenkompromittierung führt. Das kann beispielsweise eine Phishing- oder Brute-Force-Attacke sein, um Passwörter zu knacken.

Demgegenüber entsteht ein Datenleck durch einen internen Auslöser, entweder fahrlässig oder mit (böser) Absicht. Dabei werden vertrauliche Informationen in einer unsicheren Umgebung offengelegt. Die bei weitem häufigste Ursache sind Datenlecks per E-Mail. Entweder aufgrund menschlicher Fehler oder einfach aus Nachlässigkeit. Laut dem Verizon 2023 Data Breach Investigations Report ist das Senden von Informationen an den falschen Empfänger die häufigste Ursache für Datenlecks (43 Prozent), gefolgt von Fehlern bei der Veröffentlichung (23 Prozent) – wenn etwa die verschickten Informationen nicht für die Adressaten bestimmt waren.

Dicht gefolgt von Fehlkonfigurationen mit 21 Prozent. Die Analyse hat weiterhin ergeben, dass die meisten Fehler, die zu Sicherheitsverletzungen führen, von Entwicklern, Systemadministratoren und Endbenutzern gleichermaßen begangen werden. Dazu kommen hybride Arbeitsmodelle, die neben den bekannten Risikofaktoren zusätzlich das E-Mail-Aufkommen nach oben treiben. Das erhöht die statistische Wahrscheinlichkeit, dass vertrauliche Daten und Dokumente in die falschen Hände gelangen.

Folgen einer Datenpanne

Wie gravierend die Folgen von fehlerhaft zugestellten E-Mails sind, bestätigt auch hier ein Blick auf die Zahlen. E-Mails, die beim falschen Empfänger landen sowie Datenlecks führen insgesamt zu mehr kompromittierten Daten als alle anderen Angriffe zusammen. 25 Prozent aller täglich versendeten E-Mails enthalten zudem fehlgeleitete Attachments. Und dies bei oft unübersichtlichen Verteilerlisten und kritischen Datenbeständen.

Neben den unmittelbar Betroffenen ist hier der Datenschutz selbst das eigentliche Opfer, denn zu den am häufigsten offengelegten Informationen zählen neben personenbezogenen Daten (wie etwa PII-Daten, geschützten Gesundheitsinformationen (PHI), sonstigen medizinischen Daten und allen Arten von Finanzdaten), Zugangsdaten und geistiges Eigentum. Also genau die Art von Daten, auf denen das besondere Augenmerk der Aufsichtsbehörden liegt.

Im Wesentlichen sind vier Faktoren für E-Mail-basierte Datenlecks verantwortlich:

  • Versehentliches Teilen von Informationen (beispielsweise, wenn die automatische Vervollständigung der Empfängeradresse nicht überprüft wird).
  • Riskantes Nutzerverhalten (etwa, um Zeit zu sparen oder komplexe Sicherheitstools zu umgehen, die im Arbeitsalltag als Produktivitätskiller gelten).
  • Datenexfiltration (bevorzugt beim Wechsel des Arbeitsplatzes – sei es, dass sich ein Mitarbeiter davon einen Vorteil verspricht, sei es, dass jemand dem Unternehmen schaden will und deswegen vertrauliche Daten weitergibt).
  • „Fat Fingers“ (der wenig schmeichelhafte Begriff bezeichnet Fehler, die durch versehentliches Bedienen der vergleichsweise kleinen Bildschirme von Smartphones etc. passieren).

Die Auswirkungen sind weitreichend. Da sind zunächst die finanziellen Verluste, wenn der Vorfall als Datenschutzverletzung gewertet wird und beispielsweise gegen die DSGVO oder HIPAA verstößt. Neben den potenziellen Sanktionen kann sich der Schaden unmittelbar auf die Wettbewerbsfähigkeit eines Unternehmens auswirken.

Gerade in jüngster Zeit gab es einige Beispiele von Firmen, die sich von einem Datenschutzvorfall nicht erholen konnten. Ähnliches gilt für die Reputation eines Unternehmens, wenn das Vertrauen von Kunden und Partnern erodiert oder das Image in einer breiteren Öffentlichkeit dauerhaft angeschlagen bleibt.

Unangemessene Bemerkungen, Missverständnisse oder die versehentliche Weitergabe sensibler Informationen können sogar dazu führen, dass eine Firma Wachstumschancen verspielt. Fehleinschätzungen verärgern potenzielle Kunden und Partner oder ein sicher geglaubter lukrativer Abschluss kommt nicht zustande. Man sollte bei all dem die psychologischen Auswirkungen auf einzelne Betroffene nicht unterschätzen, wenn beispielsweise sensible persönliche Daten offengelegt werden.

Der Verlust vertraulicher Information ist wohl die offensichtlichste Folge von falsch zugestellten E-Mails und Datenlecks. Solche vertraulichen Informationen lassen vielfältig im cyberkriminellen Umfeld nutzen, etwa für Identitätsdiebstahl, Unternehmensspionage oder Finanzbetrügereien. Die Auswirkungen reichen zudem weit über den unmittelbaren Vorfall hinaus, und es dauert oft Jahre, bis die Folgen gänzlich behoben sind. Dazu kommen die schon erwähnten juristischen Konsequenzen. Neben Sanktionen drohen Rechtsstreitigkeiten.

Datenpannen im Vorfeld verhindern

Wie bei fast allen Cyber-Sicherheitsbelangen reicht ein rein technischer Ansatz nicht aus. Neben Firewalls und Verschlüsselung gilt es, ein Verständnis für die psychologischen Aspekte menschlichen Verhaltens zu entwickeln.

Hilfreich ist es, neben Security Awareness Trainings, Tipps und Sicherheitsvorkehrungen direkt in den E-Mail-Workflow zu integrieren. Effektive Schulungsprogramme stellen sicher, dass jeder seine Rolle und die damit verbundene Verantwortung versteht und aktiv daran mitwirkt E-Mail-basierte Risiken zu senken.

E-Mails überprüfen

Durch entsprechende Schulungen lernen die Mitarbeitenden, wie wichtig es ist, die Authentizität von E-Mail-Absendern zu überprüfen und E-Mail-Adressen zu hinterfragen. Insbesondere wenn es sich um sensible Daten oder ungewöhnliche Anfragen handelt.

Daten klassifizieren

Die Benutzer entwickeln ein Verständnis dafür, Daten richtig zu klassifizieren und sie dementsprechend zu behandeln. Sensible Informationen sind so besser geschützt, und man senkt das Risiko, Daten ungewollt per E-Mail offenzulegen.

Attachments sind weiterhin ein Einfallstor für unterschiedliche Schadsoftware und sollten entsprechend umsichtig behandelt werden. Ähnlich aufmerksam sollte man sein, um vertrauliche Dokumente nicht versehentlich an den falschen Empfänger zu verschicken.

Sicherheitskultur im Unternehmen

Über die reine Wissensvermittlung hinaus fördern Security Awareness-Schulungen eine sicherheitszentrierte Unternehmenskultur. Menschen neigen allerdings dazu, etwas schnell zu vergessen, wenn sie nicht ständig damit konfrontiert sind. Firmen sollten Inhalte entsprechend aufbereiten, individualisieren und regelmäßig auffrischen.

Niemand bezweifelt heute mehr, welchen Stellenwert der Schutz sensibler Informationen hat. E-Mail-Sicherheit ist für moderne Geschäftsabläufe grundlegend, und zwar unabhängig davon, ob man sich besser gegen Angriffsszenarien wappnen oder einen unbeabsichtigten Datenverlust vermeiden will. Unternehmen sollten sich deshalb an den Best Practices im Bereich E-Mail-Sicherheit orientieren und die nötigen Verfahren sowie Tools etablieren.

E-Mail-Sicherheitslösungen bilden eine erste Verteidigungslinie

Wenn Sie sich dabei ausschließlich auf integrierte E-Mail-Sicherheit verlassen, erhöhen Sie allerdings das Risikopotenzial und machen Ihr Unternehmen angreifbar. Ein mehrschichtiger Ansatz verspricht nicht nur ein Plus bei Sicherheit und Compliance, sondern auch produktivere Mitarbeiter, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

An dieser Stelle in eine unabhängige E-Mail-Sicherheitslösung zu investieren hat Vorteile. Am besten entscheidet man sich für robuste Tools, die darauf ausgelegt sind, manipulierte E-Mail-Anhänge, Links und Phishing-Versuche zu erkennen und zu neutralisieren. Eine weitere wichtige Maßnahme besteht darin, E-Mails zu verschlüsseln. Vertrauliche Nachrichten und Anhänge sind so während der Übertragung vor neugierigen Blicken geschützt. Die zusätzliche Sicherheitsebene sorgt dafür, dass sensible Informationen selbst dann unzugänglich sind, wenn die betreffende E-Mail in die falschen Hände geraten sollte.

Beim Thema E-Mail-Sicherheit geht es jedoch nicht nur darum, externe Bedrohungen abzuwehren. Ebenso wichtig ist es, interne Schwachstellen zu beseitigen, wie z. B. Das Risiko falsch zugestellter E-Mails. Sicherheitslösungen, die sich beispielsweise direkt in eine Outlook-Umgebung integrieren lassen, verhindern, dass Daten innerhalb oder außerhalb des Unternehmens versehentlich weitergegeben werden.

Etwa indem Mitarbeiter explizit aufgefordert werden, die Adresse des Empfängers auf ihre Richtigkeit hin zu überprüfen. Zudem stellen solche Lösungen sicher, dass das richtige Dokument angehängt wird und die darin enthaltenen sensiblen Informationen tatsächlich an den Empfänger gesendet werden dürfen.

Vorschriften und Regularien einzuhalten ist so wesentlich einfacher und mit weniger Aufwand verbunden. Vorgaben wie die DSGVO, HIPAA, SOX und andere fordern explizit Maßnahmen, um die unbeabsichtigte oder unbefugte Offenlegung sensibler Daten zu verhindern.

Im Idealfall kombinieren E-Mail-Sicherheitslösungen den Schutz vor Datenlecks mit der Sensibilisierung der Nutzer. Dazu dienen unter anderem kontextbezogene Informationen, die den Anwender motivieren, lieber einmal mehr nachzudenken, bevor er eine E-Mail abschickt.

Auch dies ist ein Baustein, der die Security Awareness-Kultur in einem Unternehmen fördert und das Risiko für solche vermeidbaren Datenschutzverletzungen senkt. Im besten Falle sind unabhängige E-Mail-Sicherheitslösungen besonders flexibel. Die Einstellungen sollten sich je nach Art des Unternehmens, der Abteilung oder Funktion anpassen und konfigurieren lassen. Auch die Zahl der Fehler lässt sich senken: Die Benutzer werden benachrichtigt, sodass sie ihre Aktionen korrigieren können, bevor sie auf „Senden“ drücken.

Die Kombination aus Best Practices und Tools, die diesen Ansatz unterstützen, sorgt für einen höheren Grad an E-Mail-Sicherheit und gewährleistet, dass Firmen sich im Einklang mit der aktuellen Datenschutzgesetzgebung befinden. Maßgeschneiderte Sicherheit gibt es dann für einen Bruchteil der ursprünglich kalkulierten, betrieblichen Kosten.

Michael Senn, VIPRE Security Group

VIPRE Security Group

Lesen Sie auch

A hand showing AI tech with Generative Ai concept, artificial intelligence cyber security, digital transformation, finance, document file management, AI chip, large language model, LLM

LLMJacking nimmt DeepSeek ins Visier

Privacy protect data cybersecurity, FA concept, Businessman login online banking, Payment credit card financial transactions, The two factor authentication security system, personal data protection

Einmal im Jahr das Passwort ändern reicht nicht

ai pixabay Alexandra Koch NT

Cybersecurity : radikale Neugestaltung durch KI