Image Schäden von Datenlecks vorbeugen - 3 wichtige Schritte
Von Cherie Ansari, Director Professional Services bei Return Path
Die Nachrichten über die Daten-Lecks im E-Mail Umfeld mehren sich. Erst im Januar war bekannt geworden, dass 16 Millionen Zugangsdaten zu E-Mail-Konten gehackt worden waren – nun, nur wenige Monate später, wiederholte sich der Fall in ähnlicher Weise. Die Staatsanwaltschaft Verden meldete, dass 18 Millionen gestohlener E-Mail-Adressen inklusive Passwörter sichergestellt wurden, wobei derzeit mit drei Millionen betroffenen Nutzern in Deutschland gerechnet wird.
Und auch im eCommerce Umfeld gibt es aktuell mehrere Aufsehen erregende Fälle. So musste Target zugeben, dass die Namen, Anschriften, Telefonnummern oder E-Mailadressen von bis zu 110 Millionen Personen ausgespäht wurden.
Wenn eine Datenpanne solchen Ausmaßes passiert, fragen wir in der E-Mail-Branche: Welche Art von Attacke kommt als nächstes? Wenn Sie auf Phishing-Attacken tippen, haben Sie leider recht. Seit diesem oben erwähnten Vorfall hat Target mehr als ein Duzend Online-Phishing-Betrugsversuche oder gefälschte E-Mails aufgespürt, die den Target Brand nutzten und Kunden zur Preisgabe persönlicher Informationen bewegen sollten, um dann weitere gefährliche Attacken nach sich zu ziehen.
Nehmen Sie sich doch einen Moment Zeit und überdenken Sie die Situation Ihres Unternehmens, ganz speziell, wenn Sie eine Führungsposition bekleiden und für den Brand (CMO) oder die Sicherheit im Unternehmen (CISO) verantwortlich sind. Haben Sie bereits Maßnahmen ergriffen, um solche Phishing-Attacken zu verhindern, bevor diese Ihre Kunden erreichen? Können Sie nachts ruhig schlafen in dem Bewusstsein, das Risiko dieser Bedrohungen aktiv durch vorbeugende Maßnahmen auf ein Minimum geschraubt zu haben? Oder gehören Sie zu denjenigen, die sich erst um fünf nach zwölf über DMARC, Anti-Phishing-Lösungen und Take-down-Anbieter informieren?
Ich bemühe mich täglich darum, das Bewusstsein für DMARC und die Mittel zu wecken, die Phishing- und Spoofing-Angriffe verhindern. Doch leider investieren noch längst nicht alle E-Marketer in den Schutz ihres Brands. Einer der wesentlichen Gründe kann die fehlende Unterstützung durch ihre Führungsebene sein.
Von Kunden höre ich folgende Gründe am häufigsten:
• Ich habe keine Zeit, mich damit zu beschäftigen
• Wir erhalten von der IT-Abteilung keine Unterstützung
• Es hat für uns keine Priorität
• Wir haben kein Phishing-Problem
• Wir haben kein Budget für E-Mail Brand Protection Lösungen
Dieser Artikel gilt daher Ihnen in der Führungsetage. Ihre Mitarbeiter brauchen Ihre Unterstützung, um den Markennamen Ihres Unternehmens, das Vertrauen in Ihre legitime E-Mail Kommunikation und nicht zuletzt die personenbezogenen Daten Ihrer Kunden zu schützen und diese Phishing-Attacken abzuwehren. So können Sie dazu beitragen:
Erheben Sie das Thema zur Priorität – Nach den Datenpannen der letzten Tage und Woche ist genau JETZT der richtige Zeitpunkt für neue Initiativen und neue strategische Zielvorgaben. Erheben Sie DMARC und Anti-Phishing-Lösungen zur Priorität in Ihrem Unternehmen. Ich weiß – wir sind alle sehr beschäftigt. Der Tag hat nicht genug Stunden. Was aber ist die Alternative? Sie wollen erst reagieren, wenn eine Sicherheitsverletzung erfolgt ist? Das ist für kein Unternehmen optimal, umso weniger, wenn sich das Risiko von Phishing-Attacken minimieren lässt. Angesichts der aktuellen Daten-Lecks ist es für Unternehmen heute wichtiger denn je, ihre Sicherheitsmaßnahmen zu verstärken.
Bewilligen Sie ein dediziertes Budget – DMARC kostet nichts. Selbst die Berichte, die Sie von den Mailbox Providern erhalten, sind kostenlos. Doch die Implementierung von DMARC und das Auswerten der riesigen Datenmengen, um Einblicke in das (legitime und missbräuchliche) E-Mail-Geschehen zu erhalten, können aufwändig und kostenträchtig sein. Sie können natürlich Ihre IT-Abteilung das Rad neu erfinden und unternehmenseigene Scripts erstellen lassen, um alle Daten, die Mailbox Provider an Ihr Unternehmen weiterreichen, in verwertbare Informationen zu verwandeln. Sie könnten aber auch in Email Brand Protection-Lösungen investieren, die von Experten entwickelt wurden, konsequent weiterentwickelt werden und sich bereits bewährt haben. Die Kosten dafür lassen sich rechtfertigen, wenn man sie ins Verhältnis zu den Kosten einer Phishing-Attacke setzt. So kann ein einziger Angriff einer Marke mehr als 1,4 Millionen US-Dollar kosten.
Übertragen Sie die Aufgabe den relevanten Stellen in Ihrem Unternehmen – Wenn an Mitarbeiter das Thema DMARC und Phishing-Attacken herangetragen wird, reagieren sie spontan häufig mit einer „Ist-nicht-meine-Aufgabe“-Mentalität: „Das ist was für IT. Ich habe damit nichts zu tun.“ – „Wir haben eine Security-Abteilung. Mit denen sollten Sie über Phishing reden, nicht mit mir.“ – oder aber: „Das ist Angelegenheit des Marketings – der Brand ist deren Sache.“ Tatsächlich ist das Thema wahrscheinlich für alle diese Abteilungen in der einen oder anderen Weise relevant. Gehen Sie unter diesem Aspekt vor. Wen würden Sie mit Folgendem in Ihrem Unternehmen betrauen:
* Implementierung von DMARC
* Einleitung pro-aktiver Maßnahmen zur Vereitelung von Phishing-Attacken
* Wiederherstellung der Reputation Ihres Markennamens (ist ein Brand erst einmal kompromittiert, werden 42 Prozent der Kunden eher keine Geschäfte mehr mit diesem Unternehmen machen)
* Benachrichtigung von Take-Down-Anbietern, wenn Phishing-E-Mails von ähnlich aussehenden Domains auftauchen (z.B. d-hl.de statt dhl.de)
* Tägliches Monitoring auf mögliche Phishing-Aktivitäten
* Identifizierung legitimer versus Phishing-E-Mails
Grundsätzlich muss die strategische Richtung von oben vorgegeben werden. Lassen Sie uns Sicherheitsmaßnahmen und E-Mail Brand Protection als zentrale Initiative für 2014 starten – mit hoher Priorität und spezifischen Mitteln.
Die Nachrichten über die Daten-Lecks im E-Mail Umfeld mehren sich. Erst im Januar war bekannt geworden, dass 16 Millionen Zugangsdaten zu E-Mail-Konten gehackt worden waren – nun, nur wenige Monate später, wiederholte sich der Fall in ähnlicher Weise. Die Staatsanwaltschaft Verden meldete, dass 18 Millionen gestohlener E-Mail-Adressen inklusive Passwörter sichergestellt wurden, wobei derzeit mit drei Millionen betroffenen Nutzern in Deutschland gerechnet wird.
Und auch im eCommerce Umfeld gibt es aktuell mehrere Aufsehen erregende Fälle. So musste Target zugeben, dass die Namen, Anschriften, Telefonnummern oder E-Mailadressen von bis zu 110 Millionen Personen ausgespäht wurden.
Wenn eine Datenpanne solchen Ausmaßes passiert, fragen wir in der E-Mail-Branche: Welche Art von Attacke kommt als nächstes? Wenn Sie auf Phishing-Attacken tippen, haben Sie leider recht. Seit diesem oben erwähnten Vorfall hat Target mehr als ein Duzend Online-Phishing-Betrugsversuche oder gefälschte E-Mails aufgespürt, die den Target Brand nutzten und Kunden zur Preisgabe persönlicher Informationen bewegen sollten, um dann weitere gefährliche Attacken nach sich zu ziehen.
Nehmen Sie sich doch einen Moment Zeit und überdenken Sie die Situation Ihres Unternehmens, ganz speziell, wenn Sie eine Führungsposition bekleiden und für den Brand (CMO) oder die Sicherheit im Unternehmen (CISO) verantwortlich sind. Haben Sie bereits Maßnahmen ergriffen, um solche Phishing-Attacken zu verhindern, bevor diese Ihre Kunden erreichen? Können Sie nachts ruhig schlafen in dem Bewusstsein, das Risiko dieser Bedrohungen aktiv durch vorbeugende Maßnahmen auf ein Minimum geschraubt zu haben? Oder gehören Sie zu denjenigen, die sich erst um fünf nach zwölf über DMARC, Anti-Phishing-Lösungen und Take-down-Anbieter informieren?
Ich bemühe mich täglich darum, das Bewusstsein für DMARC und die Mittel zu wecken, die Phishing- und Spoofing-Angriffe verhindern. Doch leider investieren noch längst nicht alle E-Marketer in den Schutz ihres Brands. Einer der wesentlichen Gründe kann die fehlende Unterstützung durch ihre Führungsebene sein.
Von Kunden höre ich folgende Gründe am häufigsten:
• Ich habe keine Zeit, mich damit zu beschäftigen
• Wir erhalten von der IT-Abteilung keine Unterstützung
• Es hat für uns keine Priorität
• Wir haben kein Phishing-Problem
• Wir haben kein Budget für E-Mail Brand Protection Lösungen
Dieser Artikel gilt daher Ihnen in der Führungsetage. Ihre Mitarbeiter brauchen Ihre Unterstützung, um den Markennamen Ihres Unternehmens, das Vertrauen in Ihre legitime E-Mail Kommunikation und nicht zuletzt die personenbezogenen Daten Ihrer Kunden zu schützen und diese Phishing-Attacken abzuwehren. So können Sie dazu beitragen:
Erheben Sie das Thema zur Priorität – Nach den Datenpannen der letzten Tage und Woche ist genau JETZT der richtige Zeitpunkt für neue Initiativen und neue strategische Zielvorgaben. Erheben Sie DMARC und Anti-Phishing-Lösungen zur Priorität in Ihrem Unternehmen. Ich weiß – wir sind alle sehr beschäftigt. Der Tag hat nicht genug Stunden. Was aber ist die Alternative? Sie wollen erst reagieren, wenn eine Sicherheitsverletzung erfolgt ist? Das ist für kein Unternehmen optimal, umso weniger, wenn sich das Risiko von Phishing-Attacken minimieren lässt. Angesichts der aktuellen Daten-Lecks ist es für Unternehmen heute wichtiger denn je, ihre Sicherheitsmaßnahmen zu verstärken.
Bewilligen Sie ein dediziertes Budget – DMARC kostet nichts. Selbst die Berichte, die Sie von den Mailbox Providern erhalten, sind kostenlos. Doch die Implementierung von DMARC und das Auswerten der riesigen Datenmengen, um Einblicke in das (legitime und missbräuchliche) E-Mail-Geschehen zu erhalten, können aufwändig und kostenträchtig sein. Sie können natürlich Ihre IT-Abteilung das Rad neu erfinden und unternehmenseigene Scripts erstellen lassen, um alle Daten, die Mailbox Provider an Ihr Unternehmen weiterreichen, in verwertbare Informationen zu verwandeln. Sie könnten aber auch in Email Brand Protection-Lösungen investieren, die von Experten entwickelt wurden, konsequent weiterentwickelt werden und sich bereits bewährt haben. Die Kosten dafür lassen sich rechtfertigen, wenn man sie ins Verhältnis zu den Kosten einer Phishing-Attacke setzt. So kann ein einziger Angriff einer Marke mehr als 1,4 Millionen US-Dollar kosten.
Übertragen Sie die Aufgabe den relevanten Stellen in Ihrem Unternehmen – Wenn an Mitarbeiter das Thema DMARC und Phishing-Attacken herangetragen wird, reagieren sie spontan häufig mit einer „Ist-nicht-meine-Aufgabe“-Mentalität: „Das ist was für IT. Ich habe damit nichts zu tun.“ – „Wir haben eine Security-Abteilung. Mit denen sollten Sie über Phishing reden, nicht mit mir.“ – oder aber: „Das ist Angelegenheit des Marketings – der Brand ist deren Sache.“ Tatsächlich ist das Thema wahrscheinlich für alle diese Abteilungen in der einen oder anderen Weise relevant. Gehen Sie unter diesem Aspekt vor. Wen würden Sie mit Folgendem in Ihrem Unternehmen betrauen:
* Implementierung von DMARC
* Einleitung pro-aktiver Maßnahmen zur Vereitelung von Phishing-Attacken
* Wiederherstellung der Reputation Ihres Markennamens (ist ein Brand erst einmal kompromittiert, werden 42 Prozent der Kunden eher keine Geschäfte mehr mit diesem Unternehmen machen)
* Benachrichtigung von Take-Down-Anbietern, wenn Phishing-E-Mails von ähnlich aussehenden Domains auftauchen (z.B. d-hl.de statt dhl.de)
* Tägliches Monitoring auf mögliche Phishing-Aktivitäten
* Identifizierung legitimer versus Phishing-E-Mails
Grundsätzlich muss die strategische Richtung von oben vorgegeben werden. Lassen Sie uns Sicherheitsmaßnahmen und E-Mail Brand Protection als zentrale Initiative für 2014 starten – mit hoher Priorität und spezifischen Mitteln.