E-Mails gehören zum Geschäftsalltag. Doch, oder gerade deswegen, sind sie auch ein beliebtes Ziel für Betrüger und Hacker. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat neue Empfehlungen veröffentlicht, wie Unternehmen ihre E-Mail-Kommunikation noch besser schützen können. Auch wenn man selbst kein Technik-Profi ist, lohnt sich ein Blick auf diese Empfehlungen – denn sie helfen, Unternehmen vor Datenklau, Betrug und Imageschäden zu schützen.
Der Inhalt im Überblick
Warum sind die Empfehlungen vom BSI für Unternehmen wichtig?
Viele Unternehmen betreiben ihren E-Mail-Dienst nicht komplett selbst, sondern nutzen externe Anbieter oder haben Mischlösungen. Und gerade dann ist es wichtig, moderne Sicherheitsstandards einzusetzen: Denn damit können E-Mails nicht gefälscht, abgefangen oder manipuliert werden.
Die wichtigsten Schutzmechanismen – einfach erklärt
SPF, DKIM und DMARC: Schutz vor gefälschten Absendern
- SPF (Sender Policy Framework): Dieser Standard legt fest, welche Server E-Mails im Namen Ihrer Firma verschicken dürfen. So können Empfänger prüfen, ob eine E-Mail wirklich von Ihnen stammt.
- DKIM (DomainKeys Identified Mail): Hier wird jede E-Mail mit einer Art digitalem Siegel versehen. Der Empfänger kann so erkennen, ob die Nachricht unterwegs verändert wurde.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): DMARC baut auf SPF und DKIM auf und gibt an, wie mit E-Mails umgegangen werden soll, die diese Prüfungen nicht bestehen – zum Beispiel, ob sie abgewiesen oder als Spam markiert werden.
Mit diesen drei Standards verhindern Sie, dass Kriminelle im Namen Ihrer Firma E-Mails verschicken (z.B. für Phishing-Angriffe). Sie schützen damit nicht nur Ihr Unternehmen, sondern auch Ihre Kunden und Partner.
DANE und DNSSEC: Schutz der Übertragung
- DANE (DNS-based Authentication of Named Entities): DANE sorgt dafür, dass E-Mails nur verschlüsselt übertragen werden und wirklich beim richtigen Empfänger ankommen. Es speichert einen „Fingerabdruck“ des Verschlüsselungszertifikats im DNS (dem „Telefonbuch“ des Internets).
- DNSSEC (Domain Name System Security Extensions): DNSSEC schützt das DNS selbst vor Manipulationen. Nur so kann DANE zuverlässig funktionieren.
Mit DANE und DNSSEC verhindern Sie, dass E-Mails unterwegs abgefangen oder entschlüsselt werden können – ein wichtiger Schutz vor Industriespionage und Datenklau.
MTA-STS: Moderne Verschlüsselung für alle
- MTA-STS (Mail Transfer Agent Strict Transport Security): Dieser Standard sorgt dafür, dass E-Mails immer verschlüsselt übertragen werden – auch wenn DANE/DNSSEC nicht verfügbar sind. Besonders große Anbieter wie Google setzen darauf.
Typische Fehler und wie man sie vermeidet
Auch die besten Standards helfen nur, wenn sie richtig eingerichtet sind. Das BSI warnt vor diesen typischen Fehlern:
- Mehrfache Einträge: Jeder Standard darf pro Domain nur einmal im DNS eingetragen werden. Wenn Sie mehrere Dienstleister nutzen, müssen alle Angaben in einem Eintrag zusammengefasst werden.
- Verwaiste Einträge: Alte oder nicht mehr benötigte Einträge sollten regelmäßig entfernt werden. Sonst können sie zu Sicherheitslücken führen.
- Fehlerhafte Schreibweise: Schon kleine Tippfehler oder fehlende Trennzeichen (z.B. Semikolons) können dazu führen, dass der Schutz nicht funktioniert.
- Tippfehler und falsche Syntax: Achten Sie darauf, dass alle Einträge exakt nach Vorgabe geschrieben werden. Fehler können dazu führen, dass E-Mails nicht mehr zugestellt werden oder der Schutz ins Leere läuft.
Was ist bei Microsoft und Google zu beachten?
Microsoft bietet einen Leitfaden, wie man die eigene Domain auf die moderne DANE-Infrastruktur umstellt. Voraussetzung ist, dass die Domain mit DNSSEC abgesichert ist. Man sollte im Vorfeld prüfen, ob der jeweilige Domain-Anbieter das unterstützt. Bei komplexen E-Mail-Konfigurationen empfiehlt sich die Unterstützung durch einen IT-Dienstleister.
Anders ist es bei Google Workspace bzw. Gmail: Google setzt auf MTA-STS. Hier ist DNSSEC nicht zwingend erforderlich, aber es erhöht die Sicherheit zusätzlich.
Praktische Tipps für Unternehmen
Hier kommen fünf Tipps, die sich in allen Unternehmen anwenden lassen:
- Regelmäßig prüfen: Überprüfen Sie Ihre DNS-Einträge regelmäßig auf Aktualität und Korrektheit.
- Leitfäden nutzen: Viele Anbieter (z.B. Microsoft, Google) bieten Schritt-für-Schritt-Anleitungen zur Einrichtung der Standards.
- IT-Dienstleister einbinden: Bei Unsicherheiten oder komplexen Setups holen Sie sich Unterstützung von Experten.
- Mitarbeiter sensibilisieren: Auch die beste Technik hilft wenig, wenn Mitarbeiter nicht auf verdächtige E-Mails achten. Schulen Sie Ihr Team regelmäßig.
- Testen Sie Ihre Einstellungen: Nutzen Sie Online-Tools, um zu prüfen, ob Ihre E-Mail-Sicherheit richtig eingerichtet ist (z.B. DANE-Validation-Test).
E-Mail-Sicherheit auch ohne Fachwissen möglich
Die neuen Empfehlungen des BSI sind ein wichtiger Schritt, um die E-Mail-Kommunikation in Unternehmen sicherer zu machen. Auch ohne tiefes Technik-Wissen können Sie mit den richtigen Standards und etwas Sorgfalt viel erreichen. So schützen Sie nicht nur Ihr Unternehmen, sondern auch Ihre Kunden und Partner – und sind für die Zukunft bestens aufgestellt.
Bleiben Sie wachsam und investieren Sie in die Sicherheit Ihrer E-Mail-Kommunikation – es lohnt sich!
