Absicherung von E-Mail-Accounts

Zur Absicherung von E-Mail-Accounts startet das Bayerische Landesamt für Datenschutzaufsicht Ende Mai 2022 eine Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts bei den Zielgruppen Banken, Mittelstand und produzierendem Gewerbe.

https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

Im Kern geht es wie der Titel der Prüfung verrät um die Absicherung von E-Mail Accounts. Es bleibt Spekulation, ob der Hintergrund steigende Sicherheitsvorfälle, bzw. Datenpannen aufgrund gezielter Angriffe sind.

Ähnlich wie schon bei der Ransomware Präventionsprüfung aus Dezember 2021 werden Fragebögen an zufällig ausgewählte Unternehmen versendet. Die Unternehmen haben dann ca. vier Wochen Zeit die Fragen zu beantworten.

Vier Wochen sind für Unternehmen ausreichend, die über gut dokumentierte technische und organisatorische Maßnahmen auf dem Stand der Technik haben, und ein Datenschutzmanagementsystem umsetzen.

Andere Unternehmen kommen vermutlich ins Schwitzen.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Hintergrund der Präventionsprüfung durch das LDA

Wie man der Pressemitteilung des LDA entnehmen kann, ist der Hintergrund der Präventionsprüfung zur Absicherung von E-Mail-Accounts die Zunahme von vor allem erfolgreichen Angriffen auf E-Mail-Accounts.

Generell handelt es sich bei den vom BayLDA versendeten Fragebögen um anlasslose Stichprobenkontrollen. Ziel der Kontrollen ist die Prävention, um Verantwortliche (aus Datenschutzsicht) zu sensibilisieren. Nebenbei bieten die Fragebögen konkrete Hilfestellungen, bzw. nennen Maßnahmen zum Schutz gegen Cyber-Angriffe, die über E-Mail-Accounts den ersten Schritt in Unternehmen erlangen möchten. Bei E-Mail-Accounts handelt es sich um neuralgische Punkte – über diese läuft noch immer ein Großteil der Unternehmenskommunikation. Leider ist, wie die Statistiken zeigen, E-Mail nicht besonders sicher: besonders dann, wenn Menschen unter Zeitdruck stehen, oder Angriffsmethoden nicht erkennen können.

Dazu kommt, dass es für die Kriminellen teilweise sehr einfach, bzw. einfacher ist sich auf diese Weise einen Zugang ins Unternehmen zu sichern.

Nehmen Sie die genannten Maßnahmen und Informationen des Prüfkatalogs als Anregung zur eigenen Absicherung und Überarbeitung Ihrer Maßnahmen zur Hand.
Die Ziele der Angreifer sind unterschiedlich:

E-Mail-Accounts bieten aus Angreifersicht ein großes Potential für Identitätsdiebstahl, das Einschleusen von Schadcodes jeglicher Art und Erpressung.
Am Ende geht es immer ums Geld.

Auch kleine und mittelgroße Unternehmen sind inzwischen im Visier der Kriminellen. Gerade dort besteht Nachholbedarf an Sicherheitseinstellungen.

LDA Fragebogen zur Absicherung von E-Mail-Accounts

Die Fragebögen des LDA bezüglich der getroffenen Maßnahmen zur Absicherung von E-Mail-Accounts veröffentlicht die Aufsichtsbehörde wie auch das letzte Mal auf ihrer Webseite im Bereich der Stabstelle Prüfverfahren:

https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

Das Anschreiben

der eigentliche Fragebogen

die Handreichung

und ein Infoblatt können als PDFs heruntergeladen werden.

Sie können also den Fragebogen und die empfohlenen Maßnahmen darin als Selbsttest oder Audit durchführen.

Wir empfehlen Ihnen Ihre Absicherung von E-Mail-Accounts zu überprüfen und die Maßnahmen der LDA hinsichtlich einer Umsetzung zu prüfen.

Inhalte des Fragebogens zur Absicherung von E-Mail-Accounts

Die Inhalte des LDA Fragebogens mit den Maßnahmen zur Absicherung von E-Mail-Accounts sind in fünf Abschnitte geteilt:

  1. Phishing-Awareness und allgemeines Sicherheitsbewusstsein
  2. Passwörter, Zwei-Faktor-Authentifizierung und Benutzerverwaltung
  3. Administrative Pflege der Accounts und Konfiguration
  4. Überprüfung des Datenverkehrs
  5. Device und Patch Management sowie Backup-Konzept

In den einzelnen Teilen des Fragebogens werden wesentliche Elemente der Prüfungsschwerpunkte abgefragt. In der Handreichung erhalten Sie eine Checkliste mit  den wesentlichen Elementen getroffener Maßnahmen, die zur Absicherung von E-Mail Accounts in Ihrem Unternehmen beitragen können. 

Die Handreichung ist nicht der eigentlich Prüfbogen und muss ausgefüllt werden wenn Sie vom LDA zur Beantwortung aufgefordert wurden.
Die Handreichung soll als Hilfestellung dienen.

Es handelt sich dabei nach Ansicht des LDA um Basisanforderungen, wobei nicht jede  Maßnahme zwingend erforderlich ist, wenn Sie durch andere Maßnahmen ein gleichwertiges Schutzniveau schaffen.

Details des Fragebogens zur Absicherung von E-Mail-Accounts

Unter dem Punkt  Phishing-Awareness und allgemeines Sicherheitsbewusstsein finden Sie Fragen zu regelmäßigen Informationen Ihrer Beschäftigten passend zur bekannten Bedrohungslage (Cyber-Angriffe) und Ihren getroffenen Schulungs- und Sensibiliserungs-Maßnahmen über E-Mail-Angriffsarten. Besonderer Fokus sollte auf  aktuellen Phishing-Informationen mit Social-Engineering-Techniken in gefälschten E-Mails liegen. An dieser Stelle geht es um Prävention, damit möglichst keine Vorfälle eintreten.

Bezüglich der Absicherung mittels Passwörter, Zwei-Faktor-Authentifizierung und Benutzerverwaltung legt das BayLDA den Fokus auf sichere Authentifizierungsverfahren mit denen sie sich an den IT-Systemen und E-Mail-Clients anmelden. Es geht um möglichst sichere Passwörter (lang, komplex, ggf. 2FA). Außerdem ist ein Rollen- und Berechtigungskonzept genauso wie entsprechende Richtlinien zur Benutzerverwaltung Voraussetzung.

Die Administrative Pflege der Accounts und Konfiguration verlangt nach Antworten bezüglich einer strukturierten Verwaltung und Absicherung von E-Mail-Postfächern. Zusätzlich sind hier auch Regelungen zur Arbeit im Homeoffice relevant. Beispielsweise die Nutzung von VPN und eingeschränkte Zugriffsmöglichkeiten im Unternehmensnetzwerk.

Im Abschnitt Überprüfung des Datenverkehrs sollten Sie Ihre Kontrollen des Netzverkehrs nennen können, um z.B. kompromittierte externe Server an der Firewall durch Indicators of Compromise (IoC) erkennen zu können. Am besten protokollieren und alarmieren Sie Vorfälle um diese nachvollziehen zu können. Schaffen Sie einen Umgang mit Störungsmeldungen, Manipulationsschutz, Logging, Überwachung und Absicherung der Logfiles und überprüfen Sie Ihre Firewall-Systeme regelmäßig auf eine ordnungsgemäße Konfiguration inkl. der notwendigen Nachweise.

Im Punkt Device und Patch Management sowie Backup-Konzept hilft Ihnen ein vollständiger und aktueller Überblick der eingesetzten IT-Systeme. Beachten Sie alle Systeme – auch die mobilen / Home-Office. Regeln Sie das Einspielen von Sicherheitsupdates und die Überprüfung auf bekannte Schwachstellen. Beschreiben Sie Ihre Backup-Strategie auch hinsichtlich der Kommunikationssysteme / E-Mails.

Pflicht zur Beantwortung des Fragebogens Absicherung von E-Mail-Accounts

Sollten Sie von der BayLDA den Fragebogen zur Absicherung von E-Mail-Accounts erhalten haben, sollten Sie wissen, dass in Art. 58 Abs. 1 lit. a DSGVO festgelegt ist, dass jede Aufsichtsbehörde über die Befugnis verfügt, den Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben – also die der Aufsichtsbehörde – erforderlich sind. Die Aufgaben bestehen im wesentlichen in der Kontrolle, bzw. der Durchsetzung der DSGVO.

Alle Aufsichtsbehörden haben die Befugnis, vom Verantwortlichen Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten (Art. 58 Abs. 1 lit. e DSGVO).

Verstöße gegen diese Verpflichtung stellen Ordnungswidrigkeiten dar, und können mit einer Geldbuße geahndet werden.
Es besteht die Möglichkeit sein Auskunftsverweigerungsrecht Inanspruch zu nehmen. Allerdings sollten Sie das auch gut begründen.

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Auskunftsrecht DatenschutzAuskunftsrecht BetroffeneKündigungsschutz interner DatenschutzbeauftragterKündigungsschutz interner Datenschutzbeauftragter