Pressemitteilung von SEPPmail Deutschland GmbH

Appell an die Geschäftsführungen: E-Mail-Sicherheit jetzt priorisieren

---

---

Noch nie war Cybersicherheit ein reines IT-Problem. Leider ist es nach wie vor häufig geübte Praxis, dass dieses Thema an die Technikabteilung delegiert wird und die Geschäftsführung sich nicht in einem angemessenen Maße damit auseinandersetzt. Geschäftsführer und Vorstände konnten sich zumindest seit Inkrafttreten der EU-DSGVO nicht hinter ihren IT-Teams verstecken. Denn sie können unter Umständen persönlich haftbar gemacht werden. In Zeiten von immer raffinierteren Cyberangriffen, gezielten Phishing-Kampagnen und zunehmender Regulierung durch die NIS-2-Richtlinie wächst auch hier die persönliche Verantwortung.

Kommentar von Günter Esch, Geschäftsführer SEPPmail - Deutschland GmbH

Viele Geschäftsführer zögern, Budgets für Cybersicherheit freizugeben. Die Gründe? Kosten, fehlendes Bewusstsein für Cyberrisiken und die trügerische Hoffnung, dass es das eigene Unternehmen schon nicht treffen wird. Doch die Realität ist eine andere: Cyberangriffe können jeden treffen - und sie treffen vor allem die Unternehmen, die schlecht vorbereitet sind.

Die Absicherung der E-Mail-Kommunikation ist dabei ein wichtiger Faktor. Sind E-Mails nicht abgesichert, können Daten gestohlen werden. Zusätzlich drohen Reputationsverluste, Vertragsstrafen, Bußgelder und rechtliche Schritte von Kunden oder Partnern. Und nicht zuletzt schützt ein wirksames E-Mail-Sicherheitskonzept auch die Geschäftsleitung selbst: Wer jetzt proaktiv handelt, dokumentiert Verantwortungsbewusstsein - und kann im Ernstfall belegen, dass er seiner Sorgfaltspflicht nachgekommen ist.

NIS-2: Geschäftsführer haften für Sicherheitsmängel - auch bei E-Mails

Nicht erst mit der Umsetzung der NIS-2-Richtlinie steht fest: Die Verantwortung für die Cybersicherheit eines Unternehmens liegt beim Management. Geschäftsleitungen können persönlich haftbar gemacht werden, wenn sie ihre Sorgfaltspflichten vernachlässigen. Dazu gehört nicht nur die Einhaltung technischer Standards, sondern auch die Sicherstellung organisatorischer Maßnahmen, regelmäßiger Risikobewertungen und die Kontrolle über besonders kritische Kommunikationskanäle - allen voran die E-Mail.

Wenn es darum geht, den Begriff "Stand der Technik" im Detail zu verstehen, lohnt sich ein Blick in die Handreichung zum Stand der Technik in der IT-Sicherheit des Bundesverbands IT-Sicherheit e.V. (TeleTrusT). Diese gibt konkrete Hinweise und Handlungsempfehlungen.

E-Mails bleiben nach wie vor als Hauptkommunikationsmittel ein beliebtes Ziel von Cyberkriminellen. Ob Phishing, CEO-Fraud oder der Versand von Malware: Angreifer nutzen gezielt die Schwachstellen in der E-Mail-Kommunikation, um Schaden anzurichten. Wer hier keine angemessenen Schutzmaßnahmen wie verschlüsselte E-Mail-Kommunikation, Authentifizierungslösungen und Schulungen implementiert, handelt fahrlässig; und riskiert alle rechtlichen und finanziellen Konsequenzen.

Cybersicherheit braucht mehr als IT-Kompetenz

Kein IT-Team kann ohne klare Priorisierung durch die Geschäftsführung handeln - weder beim Budget noch bei der Einführung neuer Prozesse. Die Geschäftsleitung muss sich mit einbringen, Risiken bewerten und die Sicherheit als Teil der Unternehmensstrategie begreifen. Dazu gehört auch, die E-Mail-Sicherheit als kritischen Kernbereich zu verstehen. Es gilt, grundlegende Schutzmaßnahmen - wie Ende-zu-Ende-Verschlüsselung, Authentifizierung (SPF, DKIM, DMARC) und Awareness-Trainings - zu implementieren und in der Unternehmenskultur zu etablieren.

(Die Bildrechte liegen bei dem Verfasser der Mitteilung.) Firmen- & Pressekontakt