Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.118 Konzeption der sicheren E-Mail-Nutzung - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.118 Konzeption der sicheren E-Mail-Nutzung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Bevor E-Mailsysteme für die Nutzung freigeben werden, sollte festgelegt werden, für welchen Einsatzzweck und welche Informationen E-Mail vorgesehen ist. Abhängig davon, wofür E-Mail eingesetzt werden soll, unterscheiden sich auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms. Es muss geklärt werden, ob über E-Mail ausschließlich unverbindliche oder informelle Informationen weitergegeben werden sollen oder ob einige oder sogar alle der bisher schriftlich bearbeiteten Geschäftsvorfälle nun per E-Mail durchgeführt werden sollen. Bei letzterem ist zu klären, wie Anmerkungen an Vorgängen wie Verfügungen, Abzeichnungen oder Schlusszeichnungen, die bisher handschriftlich angebracht wurden, elektronisch abgebildet werden sollen.

Bei der Konzeption der E-Mail-Nutzung muss auch festgelegt werden, ob und wie kryptographische Sicherungsmechanismen zu implementieren sind (siehe dazu auch M 5.108 Kryptographische Absicherung von E-Mail und M 5.110 Absicherung von E-Mail mit SPHINX (S/MIME)).

Die Institution muss darauf aufbauend eine E-Mail-Richtlinie festlegen, in der folgende Punkte beschrieben sind:

Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zum ordnungsgemäßen Dateitransfer zu gewährleisten:

E-Mails, die intern versandt werden, dürfen das interne Netz nicht verlassen. Dies ist durch entsprechende administrative Maßnahmen sicherzustellen. Beispielsweise sollte die Übertragung von E-Mails zwischen verschiedenen Liegenschaften einer Organisation über eigene Standleitungen und nicht über das Internet erfolgen.

Grundsätzlich sollten Nachrichten, die an interne Adressen verschickt wurden, nicht an externe Adressen weitergeleitet werden. Sollen hiervon Ausnahmen gemacht werden, sind alle Mitarbeiter darüber zu informieren. Beispielsweise kann für Außendienstmitarbeiter oder andere Mitarbeiter, die viel unterwegs sind, die E-Mail an externe Zugriffspunkte weitergeleitet werden.

Es wird immer wieder diskutiert, ob und in wieweit dienstliche E-Mail-Zugänge für private Zwecke benutzt werden dürfen. Solange die private Nutzung sich in Grenzen hält, wird dies sogar von vielen Organisationen unterstützt, da die Mitarbeiter dadurch eine positivere Einstellung zu E-Mail bekommen. Generell empfiehlt es sich aber, hierzu in der E-Mail-Richtlinie zu vereinbaren, welche Spielregeln bei der E-Mail-Nutzung allgemein und auch hinsichtlich privater Nutzung einzuhalten sind.

Bei der Nutzung von E-Mail in Institutionen sollte auch festgelegt, welche E-Mail-Programme eingesetzt werden sollen. Neben unterschiedlicher

Funktionalität hat die Auswahl der E-Mail-Clients und -Server auch Einfluss auf die Benutzungsfreundlichkeit und den Administrationsaufwand, aber auch auf die Sicherheit der gesamten IT-Umgebung. Neben eigenständigen Client-Programmen kann auch auf Webmail zurückgegriffen werden.

Als Webmail werden Angebote bezeichnet, bei denen über einen Browser auf webbasierte E-Mail-Dienste zugegriffen wird. Verschiedene Anbieter von Mailservern bieten entsprechende Erweiterungen entweder direkt in ihr Produkt integriert oder als Zusatzmodule an. Webmail hat den Vorteil, dass hierbei von jedem Rechner mit Internet-Anschluss weltweit auf die E-Mail-Postfächer zugegriffen werden kann, ohne dass hierfür in aufwendige Infrastruktur investiert werden muss. Es ist allerdings schwieriger als beim Transport über die internen E-Mail-Server, die organisationsweit gültigen Sicherheitsrichtlinien durchzusetzen, beispielsweise im Hinblick auf Virenschutz oder Verschlüsselung. Außerdem ist die Gefahr, dass vertrauliche E-Mails mitgelesen oder Passwörter abgehört werden, beim externen Zugriff auf Webmailzugänge wesentlich höher.

Bei der Nutzung von Webmail aus einem Behörden- bzw. Unternehmensnetz heraus muss unbedingt der Virenschutz beachtet werden. Bei aktuellen Virenwarnungen kann es einige Zeit in Anspruch nehmen, die neuen Virenschutz-Updates auf alle Clients aufzuspielen. In einer solchen Situation kann es sinnvoll sein, den Zugriff auf Webmail zumindest, solange zu verhindern, bis die Verantwortlichen für Virenschutz sicher sind, dass ein ausreichender Schutz besteht.

Der Umgang mit Webmail in der Behörde bzw. dem Unternehmen sollte daher geregelt sein. Hierbei gibt es mehrere Varianten:

Wenn Webmail eingesetzt wird, sollten die Empfehlungen in M 5.96 Sichere Nutzung von Webmail beachtet werden.

Ergänzende Kontrollfragen: