Absicherung von E-Mail-Accounts

Zur Absicherung von E-Mail-Accounts startet das Bayerische Landesamt für Datenschutzaufsicht Ende Mai 2022 eine Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts bei den Zielgruppen Banken, Mittelstand und produzierendem Gewerbe.

https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

Im Kern geht es wie der Titel der Prüfung verrät um die Absicherung von E-Mail Accounts. Es bleibt Spekulation, ob der Hintergrund steigende Sicherheitsvorfälle, bzw. Datenpannen aufgrund gezielter Angriffe sind.

Ähnlich wie schon bei der Ransomware Präventionsprüfung aus Dezember 2021 werden Fragebögen an zufällig ausgewählte Unternehmen versendet. Die Unternehmen haben dann ca. vier Wochen Zeit die Fragen zu beantworten.

Vier Wochen sind für Unternehmen ausreichend, die über gut dokumentierte technische und organisatorische Maßnahmen auf dem Stand der Technik haben, und ein Datenschutzmanagementsystem umsetzen.

Andere Unternehmen kommen vermutlich ins Schwitzen.

Hintergrund der Präventionsprüfung durch das LDA

Wie man der Pressemitteilung des LDA entnehmen kann, ist der Hintergrund der Präventionsprüfung zur Absicherung von E-Mail-Accounts die Zunahme von vor allem erfolgreichen Angriffen auf E-Mail-Accounts.

Generell handelt es sich bei den vom BayLDA versendeten Fragebögen um anlasslose Stichprobenkontrollen. Ziel der Kontrollen ist die Prävention, um Verantwortliche (aus Datenschutzsicht) zu sensibilisieren. Nebenbei bieten die Fragebögen konkrete Hilfestellungen, bzw. nennen Maßnahmen zum Schutz gegen Cyber-Angriffe, die über E-Mail-Accounts den ersten Schritt in Unternehmen erlangen möchten. Bei E-Mail-Accounts handelt es sich um neuralgische Punkte – über diese läuft noch immer ein Großteil der Unternehmenskommunikation. Leider ist, wie die Statistiken zeigen, E-Mail nicht besonders sicher: besonders dann, wenn Menschen unter Zeitdruck stehen, oder Angriffsmethoden nicht erkennen können.

Dazu kommt, dass es für die Kriminellen teilweise sehr einfach, bzw. einfacher ist sich auf diese Weise einen Zugang ins Unternehmen zu sichern.

Nehmen Sie die genannten Maßnahmen und Informationen des Prüfkatalogs als Anregung zur eigenen Absicherung und Überarbeitung Ihrer Maßnahmen zur Hand.
Die Ziele der Angreifer sind unterschiedlich:

E-Mail-Accounts bieten aus Angreifersicht ein großes Potential für Identitätsdiebstahl, das Einschleusen von Schadcodes jeglicher Art und Erpressung.
Am Ende geht es immer ums Geld.

Auch kleine und mittelgroße Unternehmen sind inzwischen im Visier der Kriminellen. Gerade dort besteht Nachholbedarf an Sicherheitseinstellungen.

LDA Fragebogen zur Absicherung von E-Mail-Accounts

Die Fragebögen des LDA bezüglich der getroffenen Maßnahmen zur Absicherung von E-Mail-Accounts veröffentlicht die Aufsichtsbehörde wie auch das letzte Mal auf ihrer Webseite im Bereich der Stabstelle Prüfverfahren:

https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

Das Anschreiben

der eigentliche Fragebogen

die Handreichung

und ein Infoblatt können als PDFs heruntergeladen werden.

Sie können also den Fragebogen und die empfohlenen Maßnahmen darin als Selbsttest oder Audit durchführen.

Wir empfehlen Ihnen Ihre Absicherung von E-Mail-Accounts zu überprüfen und die Maßnahmen der LDA hinsichtlich einer Umsetzung zu prüfen.

Inhalte des Fragebogens zur Absicherung von E-Mail-Accounts

Die Inhalte des LDA Fragebogens mit den Maßnahmen zur Absicherung von E-Mail-Accounts sind in fünf Abschnitte geteilt:

  1. Phishing-Awareness und allgemeines Sicherheitsbewusstsein
  2. Passwörter, Zwei-Faktor-Authentifizierung und Benutzerverwaltung
  3. Administrative Pflege der Accounts und Konfiguration
  4. Überprüfung des Datenverkehrs
  5. Device und Patch Management sowie Backup-Konzept

In den einzelnen Teilen des Fragebogens werden wesentliche Elemente der Prüfungsschwerpunkte abgefragt. In der Handreichung erhalten Sie eine Checkliste mit  den wesentlichen Elementen getroffener Maßnahmen, die zur Absicherung von E-Mail Accounts in Ihrem Unternehmen beitragen können. 

Die Handreichung ist nicht der eigentlich Prüfbogen und muss ausgefüllt werden wenn Sie vom LDA zur Beantwortung aufgefordert wurden.
Die Handreichung soll als Hilfestellung dienen.

Es handelt sich dabei nach Ansicht des LDA um Basisanforderungen, wobei nicht jede  Maßnahme zwingend erforderlich ist, wenn Sie durch andere Maßnahmen ein gleichwertiges Schutzniveau schaffen.

Details des Fragebogens zur Absicherung von E-Mail-Accounts

Unter dem Punkt  Phishing-Awareness und allgemeines Sicherheitsbewusstsein finden Sie Fragen zu regelmäßigen Informationen Ihrer Beschäftigten passend zur bekannten Bedrohungslage (Cyber-Angriffe) und Ihren getroffenen Schulungs- und Sensibiliserungs-Maßnahmen über E-Mail-Angriffsarten. Besonderer Fokus sollte auf  aktuellen Phishing-Informationen mit Social-Engineering-Techniken in gefälschten E-Mails liegen. An dieser Stelle geht es um Prävention, damit möglichst keine Vorfälle eintreten.

Bezüglich der Absicherung mittels Passwörter, Zwei-Faktor-Authentifizierung und Benutzerverwaltung legt das BayLDA den Fokus auf sichere Authentifizierungsverfahren mit denen sie sich an den IT-Systemen und E-Mail-Clients anmelden. Es geht um möglichst sichere Passwörter (lang, komplex, ggf. 2FA). Außerdem ist ein Rollen- und Berechtigungskonzept genauso wie entsprechende Richtlinien zur Benutzerverwaltung Voraussetzung.

Die Administrative Pflege der Accounts und Konfiguration verlangt nach Antworten bezüglich einer strukturierten Verwaltung und Absicherung von E-Mail-Postfächern. Zusätzlich sind hier auch Regelungen zur Arbeit im Homeoffice relevant. Beispielsweise die Nutzung von VPN und eingeschränkte Zugriffsmöglichkeiten im Unternehmensnetzwerk.

Im Abschnitt Überprüfung des Datenverkehrs sollten Sie Ihre Kontrollen des Netzverkehrs nennen können, um z.B. kompromittierte externe Server an der Firewall durch Indicators of Compromise (IoC) erkennen zu können. Am besten protokollieren und alarmieren Sie Vorfälle um diese nachvollziehen zu können. Schaffen Sie einen Umgang mit Störungsmeldungen, Manipulationsschutz, Logging, Überwachung und Absicherung der Logfiles und überprüfen Sie Ihre Firewall-Systeme regelmäßig auf eine ordnungsgemäße Konfiguration inkl. der notwendigen Nachweise.

Im Punkt Device und Patch Management sowie Backup-Konzept hilft Ihnen ein vollständiger und aktueller Überblick der eingesetzten IT-Systeme. Beachten Sie alle Systeme – auch die mobilen / Home-Office. Regeln Sie das Einspielen von Sicherheitsupdates und die Überprüfung auf bekannte Schwachstellen. Beschreiben Sie Ihre Backup-Strategie auch hinsichtlich der Kommunikationssysteme / E-Mails.

Pflicht zur Beantwortung des Fragebogens Absicherung von E-Mail-Accounts

Sollten Sie von der BayLDA den Fragebogen zur Absicherung von E-Mail-Accounts erhalten haben, sollten Sie wissen, dass in Art. 58 Abs. 1 lit. a DSGVO festgelegt ist, dass jede Aufsichtsbehörde über die Befugnis verfügt, den Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben – also die der Aufsichtsbehörde – erforderlich sind. Die Aufgaben bestehen im wesentlichen in der Kontrolle, bzw. der Durchsetzung der DSGVO.

Alle Aufsichtsbehörden haben die Befugnis, vom Verantwortlichen Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten (Art. 58 Abs. 1 lit. e DSGVO).

Verstöße gegen diese Verpflichtung stellen Ordnungswidrigkeiten dar, und können mit einer Geldbuße geahndet werden.
Es besteht die Möglichkeit sein Auskunftsverweigerungsrecht Inanspruch zu nehmen. Allerdings sollten Sie das auch gut begründen.