Professionelle E-Mail ist das Nervensystem eines Unternehmens. Bestellungen, Verträge, Finanzinformationen und Kundenkommunikation laufen alle darüber. Sie ist auch der bevorzugte Einstiegspunkt für Angreifer. Ein regelmäßiger Sicherheitsaudit Ihres E-Mail-Systems hilft, Schwachstellen zu erkennen, bevor sie ausgenutzt werden.
Warum Ihre E-Mails auditieren?
E-Mail-Sicherheit ist kein Zustand – sie ist ein Prozess. Bedrohungen entwickeln sich weiter, Konfigurationen degradieren, bewährte Methoden werden vergessen. Ein regelmäßiger Audit ermöglicht es Ihnen:
- Technische Schwachstellen zu identifizieren
- Die Einhaltung bewährter Methoden zu überprüfen
- Veraltete oder nicht autorisierte Zugänge zu erkennen
- Risiken im Falle eines Vorfalls zu bewerten
- Korrekturmaßnahmen zu priorisieren
Ein Audit sollte nicht als bürokratische Last, sondern als Investition in den Unternehmensschutz gesehen werden. Die Kosten eines Audits sind im Vergleich zu den Folgen eines Sicherheitsvorfalls vernachlässigbar: Datenverlust, Reputationsschäden, DSGVO-Sanktionen, Betriebsunterbrechung.
Was zu auditieren ist
Ein umfassender E-Mail-Audit deckt mehrere Dimensionen ab: technisch, organisatorisch und menschlich. Hier sind die wichtigsten zu überprüfenden Punkte.
1. Konfiguration der Authentifizierungsprotokolle
SPF, DKIM und DMARC sind die drei Protokolle, die vor E-Mail-Spoofing schützen. Ihre korrekte Konfiguration ist unerlässlich.
SPF (Sender Policy Framework)
Überprüfen Sie, ob Ihr SPF-Eintrag alle Server aufführt, die berechtigt sind, E-Mails für Ihre Domain zu senden. Ein falsch konfiguriertes SPF kann Ihre eigenen E-Mails blockieren oder Spoofing durchlassen.
Um Ihr SPF zu testen, senden Sie eine E-Mail an einen Überprüfungsdienst wie mail-tester.com oder verwenden Sie Online-DNS-Diagnosetools.
DKIM (DomainKeys Identified Mail)
Überprüfen Sie, ob DKIM aktiviert ist und die Signatur gültig ist. Eine E-Mail ohne DKIM-Signatur oder mit einer ungültigen Signatur wird von Empfängern mit Misstrauen behandelt.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC teilt den Empfangsservern mit, was mit E-Mails zu tun ist, die die SPF/DKIM-Prüfungen nicht bestehen. Überprüfen Sie, ob Sie eine DMARC-Richtlinie haben und ob diese schrittweise verschärft wird (none → quarantine → reject).
Empfohlene Konfiguration
Infomaniak konfiguriert SPF und DKIM für Ihre Domains automatisch. Für DMARC müssen Sie manuell einen DNS-Eintrag hinzufügen. Beginnen Sie mit einer „none"-Richtlinie mit Berichterstellung zur Analyse der Ergebnisse und wechseln Sie dann schrittweise zu „quarantine" und „reject".
2. Zugriffs- und Kontoverwaltung
Benutzerkonten sind potenzielle Einstiegspunkte. Auditieren Sie sie regelmäßig.
Aktive Konten
Erstellen Sie eine Liste aller E-Mail-Konten in Ihrer Organisation. Identifizieren Sie ungenutzte Konten (ehemalige Mitarbeiter, Testkonten, veraltete Aliase). Deaktivieren oder löschen Sie diejenigen, die nicht mehr benötigt werden.
Zugriffsrechte
Überprüfen Sie, wer Zugriff auf was hat. Sind gemeinsam genutzte Postfächer nur für relevante Personen zugänglich? Haben Administratoren gerechtfertigten Zugriff? Wenden Sie das Prinzip der geringsten Rechte an.
Passwörter
Bewerten Sie die bestehende Passwortrichtlinie. Mindestlänge, Komplexität, Rotation, Verbot häufiger Passwörter. Verwenden die Nutzer eindeutige Passwörter für ihre E-Mails?
Zwei-Faktor-Authentifizierung
Ist 2FA auf allen Konten aktiviert? Ist es für Hochrisiko-Konten (Administratoren, Führungskräfte) obligatorisch? Falls nicht, warum?
3. Transportsicherheit
E-Mails müssen während der Übertragung verschlüsselt werden, um Abfangung zu verhindern.
TLS bei Client-Verbindungen
Überprüfen Sie, ob IMAP-, POP3- und SMTP-Verbindungen TLS verwenden. Nicht sichere Ports (143, 110, 25) sollten zugunsten sicherer Ports (993, 995, 465/587) deaktiviert werden.
TLS zwischen Servern
Opportunistisches TLS zwischen SMTP-Servern sollte aktiviert sein. E-Mails an Domains, die TLS nicht unterstützen, werden weiterhin im Klartext übertragen, aber es ist ein Standardschutz für andere.
4. Anti-Spam- und Antivirus-Filterung
Filter sind Ihre erste Verteidigungslinie gegen Phishing und Malware.
Anti-Spam-Effektivität
Analysieren Sie den Spam-Ordner einiger repräsentativer Nutzer. Finden Sie falsch positive (legitime E-Mails als Spam markiert) oder falsch negative Ergebnisse (Spam, der in den Posteingang gelangte)? Passen Sie die Einstellungen bei Bedarf an.
Antivirus für Anhänge
Werden Anhänge von einem Antivirus gescannt? Werden gefährliche Dateien (.exe, .js, .vbs) blockiert oder in Quarantäne gestellt?
5. Backups und Wiederherstellung
Im Falle eines Vorfalls (Ransomware, versehentliches Löschen, Beschädigung): Können Sie Ihre E-Mails wiederherstellen?
Backup-Richtlinie
Wie häufig werden Backups erstellt? Wie lange ist die Aufbewahrungsfrist (wie lange werden Backups aufbewahrt)? Werden Backups regelmäßig getestet?
Wiederherstellungsverfahren
Haben Sie das Wiederherstellungsverfahren dokumentiert? Wie lange dauert die Wiederherstellung eines Postfachs? Haben Sie es kürzlich getestet?
Infomaniak Backups
Infomaniak erstellt automatische Backups Ihrer Postfächer. Bei Bedarf kann der Support gelöschte E-Mails innerhalb eines bestimmten Zeitraums wiederherstellen. Für maximalen Schutz sollten Sie ein zusätzliches Backup mit Swiss Backup in Betracht ziehen.
6. Protokollierung und Monitoring
Protokolle ermöglichen die Erkennung und Analyse von Sicherheitsvorfällen.
Verbindungsprotokolle
Werden Postfachverbindungen aufgezeichnet (Datum, Uhrzeit, IP, Erfolg/Fehler)? Wie lange werden Protokolle aufbewahrt?
Anomalie-Überwachung
Überwachen Sie wiederholte fehlgeschlagene Login-Versuche? Verbindungen von ungewöhnlichen Standorten? Massenversand von E-Mails?
7. Compliance und rechtliche Aspekte
E-Mails enthalten sensible persönliche und professionelle Daten. Die Einhaltung regulatorischer Anforderungen muss überprüft werden.
Datenhosting
Wo werden Ihre E-Mails physisch gehostet? Wenn Sie Daten europäischer Bürger verarbeiten, wirft das Hosting bei einem amerikanischen Anbieter, der dem Cloud Act unterliegt, Fragen auf.
E-Mail-Aufbewahrung
Einige Branchen erfordern spezifische Aufbewahrungsfristen (10 Jahre für Buchführungsunterlagen, zum Beispiel). Entspricht Ihre Aufbewahrungsrichtlinie den Anforderungen?
Zugriff auf Mitarbeiter-E-Mails
Haben Sie eine IT-Richtlinie, die die Bedingungen für den Zugriff auf professionelle E-Mails festlegt? Entsprechen Sie dem rechtlichen Rahmen (Mitarbeiterbenachrichtigung, Verhältnismäßigkeit)?
Audit-Checkliste
Zur Strukturierung Ihres Audits finden Sie hier die wichtigsten zu prüfenden Punkte als Checkliste.
| Bereich | Prüfpunkt | Status |
|---|---|---|
| Authentifizierung | SPF konfiguriert und gültig | ☐ |
| DKIM aktiv und Signatur gültig | ☐ | |
| DMARC konfiguriert (Richtlinie ≥ quarantine) | ☐ | |
| Zugang | Keine verwaisten Konten | ☐ |
| 2FA auf allen Konten aktiviert | ☐ | |
| Starke Passwortrichtlinie | ☐ | |
| Prinzip der geringsten Rechte angewendet | ☐ | |
| Transport | TLS bei Client-Verbindungen obligatorisch | ☐ |
| Opportunistisches TLS zwischen Servern | ☐ | |
| Filterung | Effektiver Anti-Spam | ☐ |
| Antivirus für Anhänge | ☐ | |
| Kontinuität | Regelmäßige und getestete Backups | ☐ |
| Dokumentiertes Wiederherstellungsverfahren | ☐ | |
| Compliance | DSGVO-konformes Hosting | ☐ |
| Aktuelle IT-Richtlinie | ☐ |
Prioritäre Korrekturmaßnahmen
Wenn Ihr Audit Lücken aufdeckt, priorisieren Sie Korrekturmaßnahmen nach ihrer Auswirkung und Umsetzungsleichtigkeit.
Sofortpriorität (kritisches Risiko)
- Konten ehemaliger Mitarbeiter deaktivieren
- 2FA auf Administratorkonten aktivieren
- DMARC konfigurieren, falls fehlend
- TLS bei Client-Verbindungen erzwingen
Hohe Priorität (erhöhtes Risiko)
- 2FA auf alle Nutzer ausrollen
- DMARC-Richtlinie verschärfen (von none zu quarantine wechseln)
- Monitoring für verdächtige Verbindungen implementieren
- Wiederherstellungsverfahren testen
Mittlere Priorität (kontinuierliche Verbesserung)
- Nutzer zur Phishing-Erkennung schulen
- Anti-Spam-Regeln verfeinern
- Verfahren dokumentieren
- Migration zu einem souveränen Hoster in Betracht ziehen
Audit-Häufigkeit
Ein umfassender jährlicher Audit ist das Minimum. Bestimmte Punkte können häufiger überprüft werden:
- Monatlich: Überprüfung aktiver Konten, Vorfallsanalyse
- Vierteljährlich: Anti-Spam-Tests, Protokollprüfung
- Jährlich: Vollständiger Audit, Wiederherstellungstest, Überprüfung der Sicherheitsrichtlinie
Auslösende Ereignisse (Sicherheitsvorfall, organisatorische Änderung, neue Vorschriften) rechtfertigen einen außerordentlichen Audit.
Einen Experten hinzuziehen
Eine externe Perspektive bringt eine Objektivität, die das interne Team kaum erreichen kann. Ein Audit durch einen spezialisierten Anbieter ermöglicht es Ihnen:
- Von spezialisierter Expertise zu profitieren
- Intern unsichtbare blinde Flecken zu identifizieren
- Einen formellen Bericht zu erhalten (für Versicherer, Kunden, Regulatoren)
- Mit Branchenbest practices zu vergleichen
InfoSwitch-Unterstützung
InfoSwitch bietet auf KMU zugeschnittene E-Mail-Sicherheitsaudits an. Wir überprüfen die technische Konfiguration, analysieren organisatorische Risiken und schlagen einen priorisierten Aktionsplan vor. Kontaktieren Sie uns für ein personalisiertes Angebot.
Fazit
E-Mail-Sicherheit wird nicht dekretiert – sie wird aufgebaut und aufrechterhalten. Ein regelmäßiger Audit ist der beste Weg, um sicherzustellen, dass Ihre Schutzmaßnahmen gegenüber ständig weiterentwickelnden Bedrohungen wirksam bleiben.
Gehen Sie nicht davon aus, dass alles in Ordnung ist, nur weil es keinen Vorfall gegeben hat. Angreifer verstehen es, diskret zu sein. Überprüfen, dokumentieren, verbessern: Das ist der einzige Weg, einen Schritt voraus zu bleiben.
Sind Sie bereit, zu Infomaniak zu migrieren?
Kontaktieren Sie uns für ein kostenloses 15-minütiges Audit. Wir analysieren Ihre Situation und erstellen Ihnen ein individuelles Angebot.
Fordern Sie ein kostenloses Audit an