5 Tipps, wie Sie Ihre E-Mail-Security NIS2-compliant machen

Mit der NIS2-Richtlinie will die EU die Cybersicherheit wichtiger und besonders wichtiger Einrichtungen stärken. Derzeit arbeiten die Mitgliedsstaaten daran, die Direktive in nationales Recht zu überführen. In Deutschland erfolgt das über das NIS2-Umsetzungsgesetz, das im März 2025 in Kraft treten soll. Unternehmen wird dringend empfohlen, die Sicherheitsmassnahmen für ihre E-Mail-Infrastruktur zu überprüfen, um die Compliance sicherzustellen. Denn der Kommunikationskanal Nummer eins ist die häufigste Eintrittspforte für Cyberangriffe. Artikel 21 der Richtlinie fordert „geeignete und verhältnismässige technische, operative und organisatorische Massnahmen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu verhindern oder möglichst gering zu halten.“ Was das für die E-Mail-Umgebung bedeutet, zeigen die folgenden fünf Tipps.

1. Etablieren Sie erweiterten E-Mail-Schutz

Die meisten Unternehmen haben bereits einen Basisschutz für ihre E-Mail-Umgebung. Dazu zählen Virenscanner und Phishing-Filter, die gefährliche E-Mails herausfiltern, bevor sie zugestellt werden. Doch damit lässt sich nur ein Teil der Bedrohungen abfangen. Denn Cyberkriminelle entwickeln laufend neue Malware-Varianten, die von signaturbasierten Security-Systemen nicht erkannt werden, solange noch keine passenden Erkennungsmuster vorliegen. Ausserdem sehen wir vermehrt Social Engineering-Attacken wie CEO-Fraud, die ihre Opfer austricksen und dazu bringen, hohe Geldsummen zu überweisen oder sensible Daten preiszugeben. Solche Betrugsmaschen arbeiten meist mit nahezu perfekt gefälschten E-Mails, die für herkömmliche Phishing-Filter nur schwer von harmlosen Nachrichten zu unterscheiden sind. Um die Risiken für immer raffiniertere Cyberangriffe zu minimieren, brauchen Unternehmen erweiterten E-Mail-Schutz. Dazu zählen zum Beispiel KI-gestützte Analysen, die in der Lage sind, gefälschte Absender- und Domain-Adressen zu identifizieren. Wichtig ist zudem Time of Click Protection – eine Technologie, die alle in E-Mails enthaltenen Links überprüft und Aufrufe dahinter liegende Websites gegebenenfalls blockiert. Um neuartige Malware zu erkennen, sind darüber hinaus Sandbox-Analysen unverzichtbar, die E-Mails mit verdächtigen Anhängen auf bedrohliches Verhalten untersuchen.

2. Verschlüsseln Sie sensible E-Mails

Artikel 21, Absatz 2d der NIS2-Direktive fordert Massnahmen zur Sicherheit der Lieferkette einschliesslich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen. Auf E-Mail übertragen bedeutet das: Sie sollten die Kommunikation mit Ihren Zulieferern und Partnern absichern. Dafür eignet sich Verschlüsselung. Absatz 2h NIS2 schreibt explizit Konzepte und Verfahren für den Einsatz von Kryptographie vor. In der Praxis scheitert E-Mail-Verschlüsselung jedoch häufig an einer aufwendigen Administration der Schlüssel, an einer umständlichen Bedienung und daran, dass Kommunikationspartner keine Verschlüsselung nutzen und somit verschlüsselten E-Mails nicht lesen können. Gefragt ist daher eine Lösung, die ausgehende Mails mit nur einem Klick direkt im E-Mail-Client verschlüsselt, ohne dass sich der Absender mit technischen Details oder der Schlüsselverwaltung auskennen muss. Möglich wird das durch ein Secure E-Mail-Gateway, das alle gängigen kryptographischen Standards unterstützt. Empfänger ohne eigene Verschlüsselungslösung werden idealerweise über ein sicheres Webmail-Postfach eingebunden, über das sie die verschlüsselten Nachrichten lesen können.

3. Denken Sie an die Notfall-Kommunikation

Artikel 21, Absatz 2c der NIS2-Richtlinie fordert Massnahmen zur Aufrechterhaltung des Betriebs, Absatz 2j gesicherte Notfall-Kommunikationssysteme. Für den E-Mail-Bereich bedeutet das: Sie brauchen einen Plan B, falls Ihre E-Mail-Infrastruktur durch einen Cyberangriff ausser Kraft gesetzt wird. Wie können Sie dafür sorgen, dass die Mitarbeitenden in so einem Fall weiterhin in der Lage sind, Nachrichten zu versenden und zu empfangen? In der Praxis haben sich Lösungen für E-Mail-Continuity bewährt, die im Hintergrund einen externen, unabhängigen und sicheren Webmail-Service bereithalten. Im Krisenfall können Sie sofort auf die Notfallinfrastruktur umschalten. Wichtig dabei ist, dass der Service vom Anbieter mit vorprovisionierten Postfächern zur Verfügung gestellt wird. Denn nur mit den E-Mails der vergangenen Wochen sowie den gespeicherten Kontaktdaten können Sie im Notfall wirklich nahtlos weiter kommunizieren.

4. Untersuchen Sie auch bereits zugestellte E-Mails

Artikel 21, Absatz 2b schreibt Massnahmen zur Bewältigung von Sicherheitsvorfällen vor. Um solche Massnahmen treffen zu können müssen Sie in der Lage sein, Cyberangriffe schnell zu erkennen und zu untersuchen. Dafür ist es wichtig, die Eintrittspforte zu bestimmen und die Empfänger bereits zugestellter Schad-E-Mails schnell zu identifizieren. Möglich wird das über eine spezielle Patient-Zero-Detection-Technologie, die bereits beim E-Mail-Empfang einen digitalen Fingerabdruck aller Attachments erzeugt, in einer Datenbank speichert und dann kontinuierlich mit neuen Erkenntnissen aus der Malware-Forschung abgleicht. Sobald eine potenziell gefährliche Nachricht im Postfach eines Anwenders erkannt wird, kann diese – je nach Konfiguration – automatisch gelöscht oder in Quarantäne verschoben werden.

5. Verbessern Sie die Forensik

Artikel 23 der NIS2-Richtlinie definiert strenge Meldepflichten. Betroffene Unternehmen müssen einen erheblichen Cybervorfall innerhalb von 24 Stunden bei der zuständigen Aufsichtsbehörde melden, nach 72 Stunden einen Folgebericht einreichen und nach einem Monat einen Abschlussbericht, der eine detaillierte Beschreibung enthält. Um diese Vorgaben zu erfüllen, brauchen Sie schnell Zugriff auf relevante Daten. Daher ist es wichtig, Security-Informationen aus der E-Mail-Umgebung in übergreifenden Sicherheitssystemen wie einem SIEM (Security Information and Event Management) zu sammeln und auszuwerten. Eine entsprechende Lösung sollte die Daten in Form von Events in Echtzeit über eine geschützte Schnittstelle bereitstellen.

Fazit

NIS2-konforme E-Mail-Sicherheit bedeutet mehr als ein- und ausgehende Nachrichten lediglich zu prüfen. Unternehmen müssen die gesamte E-Mail-Infrastruktur betrachten und Konzepte sowohl für die Prävention, die Bedrohungserkennung als auch die Bewältigung von Cyberangriffen entwickeln. Darüber hinaus tragen Früherkennung und Schadensbegrenzung zu dem übergeordneten Ziel der Verbesserung der Cyber-Sicherheitslage in der EU bei. Daher empfiehlt es sich, eine integrierte Lösung zu wählen, die alle wichtigen E-Mail-Security-Funktionen unter einer Plattform vereint und modular bereitstellt. So können Unternehmen Management-Aufwand reduzieren und ihre bestehende Security-Infrastruktur ganz nach Bedarf ergänzen.

Über Retarus

Die retarus (Schweiz) AG ist eine Tochtergesellschaft der retarus GmbH in München. Retarus ist ein globaler Anbieter von Cloud-Lösungen für die Modernisierung und Absicherung der digitalen Kommunikation und des Datenaustauschs von Unternehmen und Behörden. Hauptprodukte sind digitales Cloud Fax, SMS, Transactional Email, Email Security, Supply Chain Integration und Intelligent Document Processing. Retarus betreibt weltweit verteilte Rechenzentren, die diese Lösungen mit top Performance, Sicherheit und Datenschutz bereitstellen. Mit Hauptsitz in München wurde Retarus 1992 gegründet, ist inhabergeführt und stolz auf seine Innovationskraft. Das Unternehmen beschäftigt rund 500 Mitarbeiter in 20 Niederlassungen auf vier Kontinenten. Rund die Hälfte der im S&P Global 100 gelisteten Unternehmen vertrauen bereits auf Retarus und bestätigen, wie führende Analysten, die hervorragende Qualität und Verlässlichkeit. Retarus erzielt rund 40 Prozent des Umsatzes in den USA und vertreibt seine Produkte direkt und in enger Zusammenarbeit mit ausgewählten Partnern. Mehr Informationen: www.retarus.com