Patrick, würdest Du dich und die sys4 AG kurz vorstellen?
Die sys4 AG existiert, weil wir – die 13 Gründer – vor nun knapp 10 Jahren dauerhaft miteinander arbeiten wollten. Wir waren alle – selbstständig oder angestellt – in unserem jeweiligen Fach bekannt für unser Wissen und Können. Nachdem wir in einem gemeinsamen Projekt miteinander gearbeitet hatte war klar, es soll für immer sein.
Verbunden hat uns nicht nur unsere Leidenschaft für „coole“ IT, sondern auch das Bedürfnis „professionell“ arbeiten zu wollen und der Anspruch, dass IT nicht sich selbst, sondern denen, die sie nutzen, dienen muss. IT mit ihren Regeln, Vorschriften, Formularen, Werkzeugen und Diensten ist das virtuelle Pendant zur Verwaltung. Wir wollen keine Verwaltung, die der Verwaltung dient, sondern eine, die ein Unternehmen darin unterstützt seinen Geschäften nachzugehen und die obendrein in ihrer Ausformung die Unternehmenswerte in der virtuellen Welt vermittelt.
Die Idee zur sys4 hatte ich. Sie kam mir nach eben jenem besagten, gemeinsamen Projekt, das für alle sehr herausfordernd war und in dem wir erlebt haben wie gut und frei von jeglichem Statusdenken oder Fachgebiet alle miteinander aufeinander zugearbeitet haben. Deshalb sind wir auch eine AG geworden, denn sie gestattet witzigerweise das größtmögliche Maß an Flexibilität und Partizipation – wichtig wenn man ein Rudel Alphatiere in einer Firma zusammenbringt.
Meine Rolle innerhalb der „sys“ ist einerseits, gemeinsam mit Marc Schiffbauer und Wolfgang Stief, Vorstand zu sein und andererseits eines unserer Standbeine, die E-Mail, nach aussen und nach innen zu führen. Geplant war das nicht, aber nachdem ich Anfang 2000 mit Ralf Hildebrandt „The Book of Postfix“ geschrieben hatte und es – für uns völlig überraschend – zum bis heute unerreichten Weltbestseller geworden war, war der Weg vorgezeichnet. Ich bin mit den Kunden und deren Nöten und Sorgen gewachsen.
Heute leite ich die beiden Kompetenzgruppen E-Mail und Anti-Abuse im eco-Verband, verkünde wann immer man mich lässt als DANE– und DNSSEC-Evangelist die „frohe Botschaft“ der IT-Sicherheit im Internet-Zeitalter der Identität, erneuere im Auftrag des BSI die Technischen Richtlinien für Sichere E-Mail und Email Authentication und ich berate EU-Behörden bei der Auswahl und Festlegung auf Standards für sicheren Mailaustausch. Hätte mir einer das vor 25 Jahren prophezeit ich hätte ungläubig gelacht.
Welche Tipps hast Du für KMU, die man unbedingt bei der Email-Sicherheit beachten sollte?
Die erste Frage ist sicherlich wie bedeutsam Informationen und Wissen sind, die sich in den E-Mails einer Organisation befinden. Sicher sind sie wertvoll, aber die entscheidende Frage ist: Wie wertvoll sind sie? Was würde passieren wenn z. B. die Konkurrenz sie „in die Finger“ bekäme. Wie groß wäre der anzunehmende wirtschaftliche Schaden für das Unternehmen?
Wenn diese Frage beantwortet ist, ist meist klar ob E-Mail gehostet werden kann / soll oder ob es sich um Daten handelt, über die eine Organisation die alleinige Herrschaft haben muss. Ist ein MUSS die Antwort, dann MUSS über das Budget für Bereitstellung und Betrieb der unternehmenskritischen Anwendung gesprochen werden. Dazu gehört auch Bildung, denn E-Mail hat sich in den vergangenen 25 Jahren signifikant weiterentwickelt, damit sie den Anforderungen an den Unternehmensalltag gerecht werden kann. Was es für E-Mail-Sicherheit braucht, lässt sich nicht mit der Installation von Software erschlagen!
E-Mail ist das wichtigste, digitale Kommunikationsmedium für Unternehmen im Internet. Es ist zugleich der beste Desktop zu Desktop Kopiermechanismus den wir besitzen. Nichts kann KollegInnen so gut für eine Aufgabe mit mobilisierenden Informationen und Daten vorbereiten wie eine gut geschriebene E-Mail, die „alles“ dabei hat. Seine Bedeutung und sein Nutzen machen E-Mail gleichzeitig so attraktiv für Missbrauch.
„Gute“ E-Mail-Sicherheit bedeutet sich mit eingehenden, gespeicherten und ausgehenden Nachrichten auseinander zu setzen. Ein „prepare“ ist ebenso wichtig wie ein „prepare to fail“. Sie ist keine Ansammlung technischer Maßnahmen, sondern sie bereitet auch diejenigen vor, die mit ihr arbeiten. Denn wenn Malware es an den Software-Filtern vorbeischafft, sind die
MitarbeiterInnen die menschlichen Filter, die Malware erkennen und an der Ausübung ihrer Schadwirkung hindern sollen.
Dazu ist er nötig die Mitarbeiter zu schulen, denn die wenigsten sind von sich aus technisch so versiert, dass sie möglichen Missbrauch erkennen. Für sie ist E-Mail ein um-zu-Medium. Sie nutzen es, um etwas anderes zu erreichen. Dem Medium selbst schenken sie kaum Aufmerksamkeit. Es wird nur als Werkzeug wahrgenommen und das soll „gefälligst einfach tun“.
Aber genau hinsehen! Eine Schulung mit einer anschließenden selbstgemachten Phishing-Kampagne, die herausfinden soll „wer jetzt noch auf die bösen Links draufklickt“, ist nicht gescheitert weil die Klickrate „zu hoch“ war. Die wahre Frage ist: „Wie weit sind die EmpfängerInnen gegangen?“ Haben sie vielleicht noch genauer hingesehen und erst dann beschlossen nicht zu agieren?
Auf der technischen Ebene müssen eingehende wie ausgehende Nachrichten auf Malware geprüft werden – eingehende zusätzlich auf Spam. Es muss möglich sein Nachrichten, zentral aus einer oder vielen Mailboxen zu entfernen, damit sie z. B. nicht geöffnet werden und Schadwirkung entfalten können. Nachrichten, welche die Organisation verlassen, müssen den Anforderungen an „Email Authentication“ (SPF, DKIM, DMARC) gerecht werden.
Und last but not least sollte man DMARC– und TLSRPT-Reports anfordern und auswerten. Denn alle Sicherheitsmaßnahmen helfen nichts, wenn man nicht prüft und sicherstellt, dass diese auch effektiv sind und nicht unterlaufen werden.
Auf den einen oder anderen, der E-Mail noch aus den Nuller-Jahren kennt, mag das als „ganz schön viel“ wirken, aber das ist es was es braucht, um E-Mail im Unternehmensumfeld heute sicher zu nutzen. Wer nicht weiß wie das geht, findet im deutschen Sprachraum ein- oder zweitägige Trainings in denen der Umgang mit den Technologien vermittelt und geübt wird. Wer sich mit den Softwares nicht auseinandersetzen will, findet Produkte (Appliances), die diesen Teil vereinfachen.
Wissen wie „der Kram angewendet werden muss“ muss man dann immer noch bereithalten. Aber, anders als manch einer uns glauben machen mag, handelt es sich dabei nicht um Rocket Science, die wir freundlicherweise von ausserirdischen Zivilisationen erhalten haben, sondern einfach um mehr Wissen. Das lässt sich gut lernen.
Wie kann die sys4 solche Unternehmen, auch im Zusammenspiel mit dem Cyber Security Cluster Bonn e.V., dabei unterstützen?
sys4 ist spezialisiert auf Customization. Wir haben kein eigenes Produkt im Portfolio, aber wir können das eine oder andere nennen / empfehlen und selbstverständlich wissen wir wie „die Dinger“ konfiguriert werden müssen.
Dem geht in der Regel eine Beratung voraus in der wir unsere Kunden mündig machen, eine Entscheidung zu treffen. Auf Wunsch – und das kommt häufig vor – setzen wir die damit verbundenen Maßnahmen auch gleich um.
Wir begreifen uns als Business Partner, d. h. wir wollen langfristige Beziehungen etablieren und in diesem Rahmen das beitragen was wir besonders gut können, damit unser Kunde erfolgreich ist.
Was wir überdurchschnittlich gut beitragen können sind E-Mail, DNS, sichere Plattformen und Anti-Abuse. In diesen Gebieten können wir von der Beratung, über die Planung, Implementierung, den Betrieb und auch die Bewertung der Leistung anderer, durchgehend auf international anspruchsvollstem Niveau unterstützen.
Über den Autor:
Patrick Koetter ist Geschäftsführer der sys4 AG mit Sitz in München.