Die Botschaft klingt deprimierend: Das Problem E-Mail-Sicherheit wird nie hundertprozentig in den Griff zu kriegen sein. Dennoch: In Punkten wie Malware-Menge, Produktivitätsverlust und Kosten schneiden manche Unternehmen deutlich besser ab als der Durchschnitt. Der Grund dafür ist in den unterschiedlichen Strategien zu finden. Zu diesem Ergebnis kommen zumindest die Analysten von Aberdeen.
Ihre These: Eine effektive E-Mail-Sicherheitsstrategie kombiniert den Technologie-Einsatz mit viel Schulung und Trainings für die Mitarbeiter. Außerdem integriert sie Mail- und Web-Security-Fragen.
Das konkretisieren die Analysten für den Bereich Technologie an folgenden Beispielen: 64 Prozent der besonders erfolgreichen Unternehmen ("Best in class"/"BiCs") verifizieren die Echtheit eines E-Mail-Senders. Im Schnitt tut das mit 49 Prozent noch nicht einmal jedes Zweite. Außerdem scannen 65 Prozent der Klassenbesten Mail-Anhänge, aber nur 35 Prozent der Durchschnittsfirmen.
Hinzu kommt, dass E-Mail-Security für die "Best in Class"-Unternehmen nicht vor der eigenen Haustür endet. 81 Prozent von ihnen prüfen auch ausgehende Nachrichten auf Spam und Malware, im Durchschnitt sind es nur 57 Prozent. Dadurch halten die "BiCs" ihr Partner- und Kundennetzwerk sauberer, lobt Aberdeen.
Zum Bereich Mitarbeiter stellen die Analysten fest, dass 77 Prozent der besonders erfolgreichen Unternehmen die Belegschaft mit dem sicheren E-Mail-Umgang vertraut machen. Im Schnitt sind es nur 54 Prozent. Darüberhinaus nehmen die "Best in Class"-Studienteilnehmer ihre Mitarbeiter stärker in die Pflicht: Überdurchschnittlich oft verpflichten sie sie, Anti-Malware-Reports zu lesen.
All der Aufwand scheint sich zu lohnen. Nach den Zahlen von Aberdeen konnten 67 Prozent der zu "Best in Class" geadelten Unternehmen die Menge an Spam um mehr als ein Fünftel verringern. Im Schnitt gelang das nur elf Prozent der Studienteilnehmern, den besonders erfolglosen Firmen ("Laggards") sogar nur zu vier Prozent.
Ein paar weitere Ergebnisse: 26 Prozent der Klassenbesten konnten die Kosten, die mit E-Mail-Attacken verbunden sind, um mehr als ein Fünftel reduzieren (Durchschnitt: Null Prozent). Außerdem ist der Produktivitätsverlust, den E-Mail-Attacken mit sich bringen, bei den "BiC"-Unternehmen ebenfalls um ein Fünftel zurückgegangen (Durchschnitt: drei Prozent, besonders erfolglose Firmen: Null Prozent).
Compliance ist für alle ein Thema
Entsprechend unterschiedlich fallen die Antworten auf die Frage nach den Treibern für eine verbesserte E-Mail-Sicherheit aus. Während sich im Schnitt 41 Prozent der Firmen um den Produktivitätsverlust sorgen, sind es in der Kategorie "Best in Class" nur 33 Prozent. Für sie geht es mit 56 Prozent der Nennungen in erster Linie darum, lästigen, aber vergleichsweise harmlosen Spam abzuwehren.
Weitgehend einig sind sich die Befragten darin, dass eine hohe Gefahr von Datenverlust durch Spyware, Key Loggers oder Phishing besteht. Nicht zuletzt behalten sie auch das übergeordnete Thema Compliance im Blick.
Die Analysten raten, für den Umgang mit E-Mails Policies festzulegen und nie zu vergessen, dass letztlich in allen Sicherheitsfragen der User den Dreh- und Angelpunkt bildet. Richtlinien müssen entsprechend kommuniziert und trainiert werden. Der Begriff Sicherheit erstreckt sich dabei auf eingehende, ausgehende und interne Mails. Und: E-Mail-Security ist immer auch Web-Security.
Aberdeen hat für den "The 2008 Email Security Report" mit Entscheidern aus rund 170 Unternehmen gesprochen.