Close Menu
Security

Mehr als Virenschutz und Spam-Filter: 5 Tipps, wie Ihre E-Mail-Security NIS-2-compliant wird

5 Min. Lesedauer
NIS 2 ComplianceQuelle: Aysel, Adobe Stock Photo

Neben internen Chatmöglichkeiten werden in der Unternehmenskommunikation hauptsächlich E-Mails verschickt. Diese bieten Cyberkriminellen zugleich eine beliebte Angriffsfläche. Deshalb spielt auch die E-Mail-Security für die Cybersicherheit von Betrieben eine wichtige Rolle. Mit der neuen NIS-2-Richtlinie erhöhen sich die Mindestanforderungen an Risikomanagement und Schutzmaßnahmen. Doch was genau müssen Führungskräfte tun, um ihre E-Mails NIS-2-compliant zu machen?

Mit der NIS-2-Richtlinie soll die Cybersicherheit für wichtige bis besonders wichtige Einrichtungen in der EU gestärkt werden. Derzeit arbeiten die Mitgliedsstaaten daran, die Direktive in nationales Recht zu überführen. In Deutschland passiert dies über das NIS-2-Umsetzungsgesetz, welches im März 2025 in Kraft treten soll. Um die Compliance sicherzustellen, wird Unternehmen dringend empfohlen, eine Überprüfung der Sicherheitsmaßnahmen für ihre E-Mail-Infrastruktur vorzunehmen. Denn dieser Kommunikationskanal ist die häufigste Eintrittspforte für Cyberangriffe. Nach Artikel 21 der Richtlinie sind geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen erforderlich, um Risiken für die Sicherheit der Netz- und Informationssysteme zu kennen sowie die Auswirkungen von Sicherheitsvorfällen zu verhindern oder nach Möglichkeit gering zu halten.

Was dies für die E-Mail-Umgebung bedeutet, legt Romana Staringer, Senior Account Manager E-Mail Security bei Retarus, in den fünf folgenden Tipps dar.

5 Tipps zur E-Mail-Security

  1. Etablieren Sie erweiterten E-Mail-Schutz
    Die meisten Unternehmen besitzen bereits einen Basisschutz, also Virenscanner und Phishing-Filter, für ihre E-Mail-Umgebung. Diese filtern gefährliche E-Mails vor deren Zustellung heraus. Doch damit lässt sich nur ein Teil der Bedrohungen abfangen. Cyberkriminelle entwickeln ständig neue Malware-Varianten, welche von signaturbasierten Security-Systemen solange nicht erkannt werden, bis passende Erkennungsmuster vorliegen. Außerdem ist eine Zunahme von Social Engineering-Attacken wie CEO-Fraud zu beobachten. Hier werden die Opfer so ausgetrickst, dass sie hohe Geldsummen überweisen oder sensible Daten preisgeben. Bei diesen Betrugsmaschen wird mit nahezu perfekt gefälschten E-Mails gearbeitet. Sie sind für herkömmliche Phishing-Filter nur schwer von harmlosen Nachrichten zu unterscheiden. Um die Risiken für immer raffiniertere Cyberangriffe zu minimieren, benötigen Unternehmen erweiterten E-Mail-Schutz. Hierzu zählen beispielsweise KI-gestützte Analysen, die gefälschte Absender- und Domain-Adressen identifizieren. Außerdem ist eine Time-of-Click-Protection unabdingbar. Diese Technologie überprüft alle in E-Mails enthaltenen Links und blockiert gegebenenfalls Aufrufe dahinter liegender Websites. Zur Erkennung der neuen Malware sind ebenso Sandbox-Analysen unverzichtbar. Sie untersuchen E-Mails mit verdächtigen Anhängen auf bedrohliches Verhalten.
  2. Verschlüsseln Sie sensible E-Mails
    Artikel 21, Absatz 2d der NIS-2-Direktive fordert Maßnahmen zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen. Im Bezug auf E-Mails bedeutet das, dass die Kommunikation mit Zulieferern und Partnern abzusichern ist. Dafür eignet sich Verschlüsselung. Absatz 2h NIS-2 schreibt explizit Konzepte und Verfahren für den Einsatz von Kryptographie vor. In der Praxis scheitert die E-Mail-Verschlüsselung allerdings oftmals an der aufwendigen Administration der Schlüssel, einer umständlichen Bedienung und auch daran, dass die Kommunikationspartner keine Verschlüsselung nutzen und folglich keine verschlüsselten E-Mails lesen können. Daher ist eine Lösung gefragt, die ausgehende Mails mit nur einem Klick direkt im E-Mail-Client verschlüsselt, ohne dass der Absender Kenntnisse über technische Details oder der Schlüsselverwaltung haben muss. Ein Secure E-Mail-Gateway ermöglicht dies. Es unterstützt alle gängigen kryptographischen Standards. So werden Empfänger ohne eigene Verschlüsselungslösung idealerweise über ein sicheres Webmail-Postfach eingebunden, über welches sie die verschlüsselten Nachrichten lesen können.
  3. Denken Sie an die Notfall-Kommunikation
    Artikel 21, Absatz 2c der NIS-2-Richtlinie fordert Maßnahmen zur Aufrechterhaltung des Betriebs, Absatz 2j gesicherte Notfall-Kommunikationssysteme. Für den Fall, dass die E-Mail-Infrastruktur durch einen Cyberangriff außer Kraft gesetzt wird, benötigen Unternehmen folglich einen Plan B. Doch wie kann die Kommunikation per Nachrichten in diesem Fall gewährleistet werden? In der Praxis haben sich Lösungen für E-Mail-Continuity bewährt, die im Hintergrund einen externen, unabhängigen und sicheren Webmail-Service bereithalten. Im Krisenfall ist eine sofortige Umschaltung auf die Notfallinfrastruktur möglich. Wichtig dabei ist, dass der Service vom Anbieter mit vorher provisionierten Postfächern zur Verfügung gestellt wird. Denn nur mit den E-Mails der vergangenen Wochen sowie den gespeicherten Kontaktdaten können Sie im Notfall wirklich nahtlos weiter kommunizieren.
  4. Untersuchen Sie auch bereits zugestellte E-Mails
    Artikel 21, Absatz 2b schreibt Maßnahmen zur Bewältigung von Sicherheitsvorfällen vor. Um solche Maßnahmen treffen zu können, müssen Cyberangriffe schnell erkennbar sein und untersucht werden. Dafür ist eine Bestimmung der Eintrittspforte besonders wichtig. Außerdem sind ebenso die Empfänger bereits zugestellter Schad-E-Mails schnell zu identifizieren. Eine spezielle Patient-Zero-Detection-Technologie ermöglicht dies. Sie erzeugt bereits beim E-Mail-Empfang einen digitalen Fingerabdruck aller Attachments, speichert diese in einer Datenbank und gleicht sie kontinuierlich mit neuen Erkenntnissen aus der Malware-Forschung ab. Sobald eine potenziell gefährliche Nachricht im Postfach eines Anwenders erkannt wird, kann diese – je nach Konfiguration – automatisch gelöscht oder in Quarantäne verschoben werden.
  5. Verbessern Sie die Forensik
    Artikel 23 der NIS-2-Richtlinie definiert strenge Meldepflichten. Gab es einen erheblichen Cybervorfall, ist das betroffene Unternehmen verpflichtet diesen binnen von 24 Stunden bei der zuständigen Aufsichtsbehörde anzuzeigen. Nach 72 Stunden ist ein Folgebericht einzureichen und nach einem Monat ein Abschlussbericht, welcher eine detaillierte Beschreibung enthält. Zur Erfüllung der Vorgaben, ist es notwendig, dass schnell auf relevante Daten zugegriffen werden kann. Deshalb ist es essenziell, Security-Informationen aus der E-Mail-Umgebung in übergreifenden Sicherheitssystemen, wie einem Security Information and Event Management (SIEM), zu sammeln und auszuwerten. Eine entsprechende Lösung sollte die Daten in Form von Events in Echtzeit über eine geschützte Schnittstelle bereitstellen.

Fazit

NIS-2-konforme E-Mail-Sicherheit bedeutet mehr als ein- und ausgehende Nachrichten zu prüfen. Unternehmen müssen die gesamte E-Mail-Infrastruktur betrachten und Konzepte sowohl für die Prävention, die Bedrohungserkennung, als auch die Bewältigung von Cyberangriffen entwickeln. Darüber hinaus tragen Früherkennung und Schadensbegrenzung zu dem übergeordneten Ziel der Verbesserung der Cyber-Sicherheitslage in der EU bei. Daher empfiehlt es sich, eine integrierte Lösung zu wählen, die alle wichtigen E-Mail-Security-Funktionen unter einer Plattform vereint und modular bereitstellt. So können Unternehmen Management-Aufwand reduzieren und ihre bestehende Security-Infrastruktur ganz nach Bedarf ergänzen.

Hier finden Sie weitere Informationen zu Retarus.

Teilen.

Verwandte Beiträge

© 2025 ITP VERLAG — MIDRANGE
DSGVO Cookie-Einwilligung mit Real Cookie Banner