Startseite » Ratgeber » Interaktive Listen » E-Mail-Sicherheit » Organisatorische Maßnahmen – E-Mail-Sicherheit beginnt beim Menschen
Organisatorische Maßnahmen – E-Mail-Sicherheit beginnt beim Menschen
Sensibilisierung und Schulung als erste Verteidigungslinie
Technische Lösungen allein reichen nicht aus, um E-Mail-basierte Angriffe abzuwehren. Ein Großteil der Sicherheitsvorfälle entsteht durch menschliches Fehlverhalten – etwa das unbedachte Öffnen eines infizierten Anhangs oder das Anklicken eines gefälschten Links.
Deshalb ist die regelmäßige Schulung der Mitarbeitenden ein entscheidender Baustein jeder E-Mail-Sicherheitsstrategie. Laut einer Studie von Proofpoint 2024 erkannten nur etwa 64 % der Büroangestellten einen täuschend echten Phishing-Versuch in einem Test. Schulungen und Phishing-Simulationen verbessern diese Quote signifikant.
Empfohlene Maßnahmen:
- Einweisung neuer Mitarbeitender in E-Mail-Risiken
- Regelmäßige Online-Trainings mit Praxisbeispielen
- Wiederkehrende Tests mit simulierten Phishing-E-Mails
- Interne Kommunikationskampagnen zur Awareness-Stärkung
Klare Richtlinien und Prozesse
Neben Schulung braucht es verbindliche Richtlinien. Diese sollten unter anderem regeln:
- Welche Arten von Inhalten per E-Mail versendet werden dürfen
- Wie mit verdächtigen E-Mails umzugehen ist (z. B. Weiterleitung an die IT, keine Links anklicken)
- Welche E-Mail-Verschlüsselung bei vertraulichen Daten verpflichtend ist
- Wie man mit privaten Geräten und externen E-Mail-Konten umgeht
Auch Prozesse für Vorfälle sollten dokumentiert und kommuniziert sein: Wer muss informiert werden? Was wird protokolliert? Wie reagiert man bei Datenverlust? Nur so kann im Ernstfall schnell und kontrolliert gehandelt werden.
Verantwortlichkeiten und Kontrolle
E-Mail-Sicherheit ist keine exklusive Aufgabe der IT-Abteilung. Sie betrifft auch Datenschutzbeauftragte, Compliance-Verantwortliche und die Geschäftsleitung. Rollen und Zuständigkeiten sollten klar benannt sein.
Darüber hinaus braucht es ein System zur regelmäßigen Überprüfung und Kontrolle:
- Wird die Verschlüsselung konsequent verwendet?
- Wie viele Phishing-Versuche wurden blockiert – und wie viele nicht?
- Gibt es Auffälligkeiten in der E-Mail-Nutzung (z. B. ungewöhnliche Login-Zeiten, neue Geräte)?
Moderne SIEM-Systeme (Security Information and Event Management) können hier wertvolle Dienste leisten.
