Bank-Phishing.png

Datenklau per E-Mail verhindern mittels professioneller Verschlüsselung © Alexey Bezrodny @istockphoto.com

Secure E-Mail Gateway zum Schutz von Kundendaten

Ein Artikel von Günter Esch, Geschäftsführer der SEPPmail Deutschland | 15.12.2020 - 08:03
Günter Esch, SEPPmail.jpg

Autor: Günter Esch, Geschäftsführer der SEPPmail Deutschland

Nahezu ständig ist die Rede von Phishing-Mails, die Cyberkriminelle im Namen von Banken versenden, um an Passwörter zu gelangen. In den hinterhältigen E-Mails werden die Bankkunden etwa dazu aufgefordert, eine Webseite aufzurufen und dort ihre Kontodaten einzugeben. Mit diesen persönlichen Daten sind die Angreifer schließlich in der Lage, Online-Banking-Überweisungen im Namen der Kunden durchzuführen. Natürlich warnen die diversen Banken immer wieder vor derartigen Mails und veröffentlichen Checklisten, die dabei helfen sollen, sich vor dem Passwort-Klau zu schützen. Da die Fake-Mails jedoch häufig täuschend echt aussehen, fallen trotz der Hinweise immer wieder Kunden darauf herein. Warum verzichten also noch immer so viele Banken auf den Einsatz einer komfortablen E-Mail-Sicherheitslösung inklusive Signatur und Verschlüsselung, die dem Diebstahl sensibler Kundendaten vorbeugt?

Das Online-Banking erfreut sich zunehmender Beliebtheit – nicht nur bei Bankkunden, sondern auch bei Betrügern. Millionenfach erschleichen sich Hacker durch Phishing geheime Zugangsinformationen und heimsen auf diesem Wege große Geldsummen ein. Die Spam-Mails enthalten gefälschte Links, auf die die ahnungslosen Empfänger klicken. Anders als gedacht, werden sie jedoch nicht auf die Homepage ihrer Bank weitergeleitet, sondern landen auf einer nachgebauten Webseite. Hat der Kunde erst einmal seine Kontonummer und die dazugehörige PIN auf der Seite eingegeben, können die Kriminellen auf sein Bankkonto zugreifen und Überweisungen tätigen. Niemand kann sich davon freisprechen, einer solchen Phishing-Attacke zum Opfer zu fallen. Gerade wenn E-Mails auf die Schnelle geöffnet werden, hat man fix einmal einen Link angeklickt und zu voreilig seine Daten eingetippt. Um die Kunden erst gar nicht einem derartigen Risiko auszusetzen, sollten Banken und Finanzdienstleister von Anfang an ausreichend vorsorgen und entsprechende Sicherheitsvorkehrungen treffen. Dazu gehört vor allem die Einbindung einer digitalen Signatur. Denn ein ungebrochenes Siegel signalisiert dem Empfänger: Diese E-Mail stammt wirklich von meiner Bank und kann bedenkenlos geöffnet werden.

SEPPmail-Welt_CMYK (DE).jpg

Systematische Darstellung einer modernen E-Mail-Sicherheitslösung

E-Mails digital unterzeichnen

Die Signatur von elektronischen Nachrichten hat zum Ziel, die Identität des Unterzeichners nachzuweisen und die Authentizität und Integrität der elektronischen Nachricht sicherzustellen. Versenden Banken eine E-Mail mit einer intakten Signatur an ihre Kunden, wissen diese so-fort, dass die erhaltene Nachricht echt ist beziehungsweise am Versandweg nicht von Dritten abgefangen und manipuliert wurde. Dadurch steigern Banken ihr Sicherheitsniveau um ein Vielfaches und bauen Vertrauen auf, was zu einer langfristigen Kundenbindung beiträgt. Gleichzeit verbessert sich auf diese Weise das Image der Bank, wodurch wiederum neue Kunden gewonnen werden können.

Signatur über Zertifikate

Zur digitalen Signatur von E-Mails bedarf es eines qualifizierten Zertifikats, das bei einer akkreditierten Zertifizierungsstelle beantragt werden muss. Diese sogenannten Certificate Authorities (CAs) wie zum Beispiel SwissSign, DigiCert, D-TRUST oder Sectigo weisen schließlich nach, dass das Zertifikat, also der persönliche, öffentliche Schlüssel, zu einem konkreten Ab-sender gehört. Mit der SEPPmail-Appliance lassen sich die Zertifikate über eine Managed Public Key Infrastructure (MPKI) bei der ersten ausgehenden E-Mail des Nutzers automatisch beziehen. Sofern gewünscht, können die Zertifikate auch manuell importiert werden. Sämtliche dafür benötigten Funktionalitäten wie die PKI, die Konnektoren zu den offiziellen CAs sowie die Zuweisungsmöglichkeiten der Zertifikate zu den Anwendern sind standardmäßig in das Secure E-Mail Gateway von SEPPmail integriert. Da die Signaturprüfung von allen gängigen E-Mail-Clients unterstützt wird, braucht der Empfänger keine zusätzlichen Tools. Insgesamt minimiert die SEPPmail-Lösung so den administrativen Aufwand bei der Erstellung digitaler Signaturen deutlich und sorgt für eine Beschleunigung des gesamten PKI-Prozesses. Darüber hinaus wird mit der Signatur der öffentliche Schlüssel des Absenders verbreitet. Mit diesem Schlüssel ist jeder Kunde, der von der Bank per E-Mail kontaktiert wurde, potenziell dazu in der Lage, eine verschlüsselte Rückantwort zu senden.

E-Mail-Sicherheit auf ganzer Linie

Nicht nur Phishing-Mails gefährden die Daten von Bankkunden. Prinzipiell jede E-Mail, die ungesichert übermittelt wird, stellt ein Risiko dar, da sie problemlos von Kriminellen abgefangen und mitgelesen werden kann. Aus diesem Grund verschicken die meisten Banken erst gar keine persönlichen Daten per E-Mail. Stattdessen nutzen viele von ihnen elektronische Postfächer, die mit dem Online-Konto verknüpft sind. Liegen beispielsweise neue Kontoauszüge vor, erhalten die Bankkunden lediglich eine E-Mail mit der Information, dass sich neue Nachrichten in ihren elektronischen Postfächern befinden, die zeitnah abzurufen sind. Die E-Mail selbst beinhaltet keinerlei Anhänge. Wird die Mitteilung im E-Postfach nicht bis zu einem bestimmten Zeitpunkt geöffnet, bekommen die Kunden die Kontoauszüge kostenpflichtig per Post zugestellt. Dabei wäre es ein optimaler Service, wenn Bankdaten direkt via Mail übermittelt würden. Genau das ist mit der DSGVO-konformen Lösung von SEPPmail möglich.

Benutzerfreundliche Verschlüsselung

Zahlreiche Banken und Finanzinstitutionen gehen fälschlicherweise davon aus, die E-Mail-Verschlüsselung sei zu kompliziert, und verzichten daher auf eine entsprechende Lösung. Mit der richtigen Technologie lassen sich solche Bedenken allerdings leicht beseitigen. Das Secure E-Mail Gateway von SEPPmail, das neben der Signatur auch die Verschlüsselung beherrscht, zeichnet sich durch einen hohen Benutzerkomfort und eine einfache Administration aus. Durch das patentierte GINA-Verfahren wird eine sichere Kommunikation mit jedem Bank-kunden garantiert – und das selbst dann, wenn dieser keine eigene Verschlüsselungstechnologie im Einsatz hat. Alle E-Mails werden komplett ausgeliefert und lassen sich im gewohnten Mailclient empfangen. Für die Entschlüsselung ist lediglich die Eingabe des üblichen Bank-passwortes notwendig. Sollten die Kunden Rückfragen haben, können sie über einen gesicherten Kanal verschlüsselt antworten. Insgesamt wird es ihnen somit erspart, sich zum Öffnen der Kontoauszüge, Wertpapierdokumente etc. separat im Online-Banking-Konto anmelden zu müssen und Gefahr zu laufen, die Abholfrist zu verpassen. Im Zuge dessen schlagen Banken durch die Implementierung einer Secure E-Mail-Lösung wie der von SEPPmail gleich zwei Fliegen mit einer Klappe: Sie bieten ihren Kunden einen besseren Service und reduzieren zu-gleich ihren ökologischen Fußabdruck, indem sie weniger Papier für den Ausdruck von Konto-auszügen verbrauchen.

Fazit

Wenn es darum geht, Informationen auf einfachstem und schnellstem Wege an Kunden zu übermitteln, sind E-Mails nach wie vor das geeignetste und beliebteste Kommunikationsmittel. Dem sind sich natürlich auch Hacker bewusst, die E-Mails gerne nutzen, um Schadsoftware zu platzieren oder sensible Daten abzugreifen. Insbesondere im Banken- und Finanzumfeld kommt es immer wieder zu Angriffen via E-Mail. Dabei wird in erster Linie das Ziel verfolgt, hochsensible Bankdaten zu ergattern, mit denen sich Transaktionen tätigen lassen. Um diese Sicherheitslücke zu schließen, sollten Banken eine All-in-one-Lösung nutzen, durch die sich ein lückenloses E-Mail-Security-Konzept gewährleisten lässt. Mit dem Secure E-Mail Gateway erhalten Banken eine passende Komplettlösung, die neben der digitalen Signatur zum Schutz vor Phishing auch die professionelle E-Mail-Verschlüsselung erlaubt. Setzen Banken die SEPPmail-Lösung ein, müssen die Kunden die erhaltenen E-Mails nicht länger vor dem Öffnen prüfen, denn sie können sich sicher sein, dass sie in jeder Hinsicht vertrauenswürdig sind. Außerdem ist es durch die Integration des Gateway möglich, dass Kontoauszüge & Co. die Kun-den direkt via E-Mail erreichen und der zusätzliche Login im Online-Banking-Konto wegfällt. Unter dem Strich bewirkt der Einsatz der SEPPmail-Technologie nicht nur eine Erhöhung der Datensicherheit, sondern hilft Banken auch dabei, neue Servicekonzepte zu realisieren.

Was eine Secure E-Mail-Lösung mitbringen sollte:

  • sichere und DSGVO-konforme Kommunikation
  • hohe Benutzerfreundlichkeit und Transparenz
  • einfache Administration
  • automatisierter Betrieb im Hintergrund
  • Konfiguration in wenigen Schritten
  • kurze Einführungszeit
  • keine Störung des laufenden Prozesses bei Implementierung
  • kompatibel mit anderen Technologien und Anbietern
  • im Standard-E-Mail-Client nutzbar und intuitiv bedienbar
  • flexibel skalierbar im Hinblick auf Gesetzesänderungen