Sie sind hier: Home » Literatur » Schriften

Managed E-Mail-Security für Unternehmen


Compliance-Leitfaden: Datenschutz und Rechtssicherheit sollten zentrale Komponenten jedes E-Mail-Sicherheitskonzepts sein
Rechtssicherheit und Compliance: Sollen Spam- und Malware-Nachrichten von einem externen Dienstleister ausgefiltert werden, ist es ratsam, als Spam oder andere gefährliche E-Mail erkannte Nachrichten schon während des SMTP-Dialogs abzuweisen


(08.05.12) - Die E-Mail-Sicherheit zählt nach wie vor zu den wichtigsten Aufgaben für Unternehmen im Bereich der IT-Security. Vor allem die Bedrohung durch Malware- und Phishing-Angriffe per E-Mail hat in den vergangenen zwölf Monaten deutlich zugenommen und erfordert umfangreiche Sicherheitskonzepte. Bei der Sicherung der E-Mail-Infrastruktur sind jedoch eine Reihe rechtlicher Anforderungen zu beachten, deren Nichteinhaltung erhebliche Risiken für Unternehmen zur Folge haben. Dies gilt insbesondere für Cloud-basierte Lösungen und Managed Services.

eleven hat einen vom Datenschutzexperten Rechtsanwalt Michael Bock erstellten Leitfaden veröffentlicht, der die wichtigsten Punkte enthält, die Unternehmen beachten sollten, wenn sie ihre E-Mail-Kommunikation sichern und gleichzeitig ein Höchstmaß an Rechtssicherheit und Compliance sicherstellen wollen.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Unternehmen, die ihre E-Mail-Sicherheit als Managed Service auslagern wollen, sollten eine Reihe wichtiger Aspekte beachten:

1. Abweisen statt Löschen
Sollen Spam- und Malware-Nachrichten von einem externen Dienstleister ausgefiltert werden, ist es ratsam, als Spam oder andere gefährliche E-Mail erkannte Nachrichten schon während des SMTP-Dialogs abzuweisen (Reject) – und damit, bevor sie vom E-Mail-Server des Empfängers angenommen wurden. Werden sie erst nach erfolgter Annahme geprüft, gelten sie als zugestellt. Eine Löschung ist dann erheblich problematischer.

2. Datenschutz
Bei der Auswahl eines Managed E-Mail Security Providers ist entscheidend, dass wesentliche Datenschutzvoraussetzungen erfüllt sind. Neben Zertifizierungen der Infrastruktur (zum Beispiel ISO 27001) und verschlüsselter Datenübertragung und -speicherung, ist vor allem der Standort des Dienstleisters entscheidend. Deutsche Anbieter unterliegen der strengen deutschen Datenschutzgesetzgebung und bieten dadurch deutlich mehr Sicherheit als beispielsweise US-amerikanische Dienstleister. Selbst wenn deren Infrastruktur in Deutschland betrieben wird, bestehen beispielsweise Zugriffsmöglichkeiten über den Patriot Act oder andere gesetzliche Bestimmungen.

3. Private E-Mail-Kommunikation
Erlaubt ein Unternehmen die private E-Mail-Kommunikation, ergeben sich daraus womöglich Folgen für die Zulässigkeit der Spam- und Virenfilterung, insbesondere der Löschung von E-Mails. Generell empfiehlt sich (insbesondere auch auf Grund der gesetzlich vorgeschriebenen langfristigen Archivierung geschäftlicher E-Mails), die private E-Mail- Nutzung nicht zuzulassen. Geschieht dies doch, sollte der Umgang mit privater E-Mail bei der Spam- und Virenfilterung über Betriebsvereinbarungen sowie vertraglich mit dem Dienstleister geregelt werden.

4. Folgen mangelhafter E-Mail-Sicherheit
Auch mangelhafte Sicherungsmaßnahmen können rechtliche Folgen haben. So kann auf Grund der Infektion von Unternehmensrechnern durch Trojaner das Unternehmen selbst zum Spam-Versender werden und hierfür rechtlich belangt werden. Fehlerhafte E-Mail-Sicherheitsmaßnahmen können auch zur Einschleusung von Malware und im schlimmsten Fall zu massiven Schäden an der gesamten IT-Infrastruktur führen.

5. Mitbestimmungsrechte
Verfügt das Unternehmen über einen Betriebsrat oder eine Personalvertretung, dann sind bei der Nutzung eines externen Dienstleisters bestehende Mitbestimmungsrechte zwingend zu beachten. Eine detaillierte Auflistung dieser und weiterer rechtlicher Anforderungen hat eleven in Zusammenarbeit mit dem Datenschutzexperten Rechtsanwalt Michael Bock im Leitfaden "Rechtliche Anforderungen an E-Mail Sicherheitslösungen" zusammengestellt.
(eleven: ra)

eleven: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Schriften

  • Was versteht man unter einer Lieferkette?

    Das am 1.1.2023 in Kraft getretene Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (Lieferkettensorgfaltspflichtengesetz - LkSG) folgt als logische Konsequenz der Entwicklungen der letzten Jahre. Ziel des Gesetzes ist die Einhaltung und der Schutz der Menschenrechte und bestimmter Umweltstandards durch Vermeidung von Risiken, die im Rahmen der unternehmerischen Tätigkeit entstehen können.

  • Praxishilfe für Mitarbeiter-Policy

    Mit dem Laptop unter Palmen sitzen, den Kunden-Call in den Bergen machen: In vielen Branchen ist im Zuge der Corona-Pandemie flexibles und ortsunabhängiges Arbeiten fernab der Fünftagewoche im Büro selbstverständlich geworden - eine steigende Anzahl an Beschäftigten will dies auch aus dem Ausland tun. Um als Arbeitgeber attraktiv zu bleiben, wollen viele Unternehmen Remote Work ermöglichen - und wünschen sich dabei eine aktive politische Flankierung.

  • Was wird aus dem Beschäftigtendatenschutz?

    Die Ampelkoalition verspricht im Koalitionsvertrag ein Beschäftigtendatenschutzgesetz. Das Gesetz ist aber noch nicht wirklich in Sicht. Was bisher geschah, was nötig ist und welche Probleme dabei behandelt werden müssen - das ist das Thema des aktuellen Hefts der Datenschutz-Nachrichten, der DANA 4/2022.

  • IT-Sicherheitsgesetz, Datenschutz, IT-Grundrecht

    Trend Micro stellt die Neuauflage ihres juristischen Leitfadens vor. Dieser unterstützt Unternehmen bei rechtlichen Themen, die im Kontext der IT-Sicherheit zu beachten sind. Nicht zuletzt durch die Verabschiedung des IT-Sicherheitsgesetz 2.0 haben sich die Anforderungen für Organisationen in Deutschland verändert. Was IT-Verantwortliche beachten sollten, welche Herausforderungen es bei den kritischen Infrastrukturen (KRITIS) gibt und wie die Cloud auch in Sachen IT-Compliance sicher bleibt, sind Kernthemen der siebten Auflage.

  • Cybersicherheit im Gesundheitswesen

    Am 01.01.2022 lief für Betreiber von Krankenhäusern, Praxen und Laboren die zweite Frist für die Umsetzung der im Patientendatenschutz-Gesetz (PDSG) vorgeschriebenen Maßnahmen ab. Dies sorgt für viele Fragen bei Betreiber:innen von Krankenhäusern, Arztpraxen und Laboren. Welche Vorschriften gelten für wen? Wie können sie pragmatisch umgesetzt werden? Welche Sanktionen drohen bei Verstößen? Die Beratungsboutique für Cybersicherheit carmasec hat zu diesem Anlass ein Dossier mit ausführlichen Informationen zu "IT-Sicherheit für Praxen, Labore und Krankenhäuser" zusammengestellt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen