Der Untersuchung zufolge verfügen zurzeit nur 38 Prozent der Unternehmen über Richtlinien für den ausschließlichen Gebrauch von E-Mail. 20 Prozent haben Leitsätze für den Gebrauch von Instant-Messaging und E-Mail und lediglich sechs Prozent für Instant-Messaging allein.
Gleichzeitig ist die Zahl der gesendeten E-Mails im ersten Quartal 2006 um 17 Prozent gestiegen. Zusätzlich wurden auch 20 Prozent mehr Nachrichten empfangen als im Vorjahreszeitraum.
"Eine effektive E-Mail-Governance-Strategie muss ein breites Spektrum an Verwundbarkeiten, Risiken und Technologien ansprechen", sagt Michael Osterman, Gründer von Osterman Research. Firmen müssten eine Balance zwischen der Offenheit der Kommunikation und dem Schutz der User, Systeme und Information finden.
Folgende Schlüsselbereiche müssen betrachtet werden, um eine effektive E-Mail-Governance zu garantieren:
1. Sicherer Eingang von E-Mails
Ein gutes E-Mail-Management erfordert mehr als das traditionelle Spam- und Virus-Scanning. Effektive Sicherheit muss einen Schutz vor dem wachsenden Problem von "Zero-Day"-Viren bieten. Auch Phishing, Domain-Manipulation und Pharming sollte vorgebeugt werden. Daher sind Absender-authentifizierte Protokolle wie "DomainKeys Identified Mail" (DKIM) auf dem Vormarsch und können zusammen mit Reputation Services die Legitimität des Absenders bewerten.
Weil ankommende E-Mails durch verschiedene Filter laufen, müssen die Administratoren eine bessere Kontrolle über die verschiedenen, angewandten Richtlinien bekommen. So ist es beispielsweise eine Verschwendung wertvoller Ressourcen, wenn eine als Spam erkannte E-Mail nochmals gescannt wird. Unnötig ist es außerdem, Spam oder Virus enthaltende Nachrichten zu archivieren.
2. Schutz vor gezielten Angriffen
Erfolgreiche Angriffe auf das Adressbuch können den Ablauf der Nachrichten-Server erheblich stören. Schuld daran ist die Begrenzung im einfachen E-Mail-Übertragungsverfahren (SMTP). Weil dabei erlaubte Spams nicht aufgeführt werden, können neue E-Mail-Adressen für zukünftige Angriffe und gezieltes Phishing missbraucht werden.
Attacken, die einen Service-Ausfall verursachen, können ein Nachrichten-System oder Netzwerk für Stunden oder Tage blockieren.
Kontrollen über die Übertragungen von E-Mails und über den Verkehr können genutzt werden, um sich vor diesen Bedrohungen zu schützen. Das E-Mail-System sollte fähig sein, auffällige Verbindungen in Echtzeit zu erkennen und dadurch entweder die Anzahl zu begrenzen, oder sie komplett abzulehnen.
Nachrichten, die an unerwünschte Empfänger gesendet werden, sollten abgelehnt werden, bevor der Inhalt bezüglich Spam oder Viren gescannt und an einen internen Mailserver gesendet wird.
3. Change Management für ausgehende Nachrichten
Die Sicherheitsrichtlinien der meisten Firmen konzentrieren sich nur auf die eingehenden Bedrohungen wie Spam und Viren, während ausgehende Nachrichten größtenteils nicht überwacht werden. Dabei wird es immer wichtiger Geschäftsrisiken zu kontrollieren, die durch versendete E-Mails entstehen können.
Um zu verhindern, dass vertrauliche Informationen wie Kundendaten, Verkaufszahlen oder die Kommunikation bezüglich einer Fusion, extern verbreitet werden, sollten Unternehmen entsprechende Kontrollen durchführen. So ist es ratsam ausgehende und eingehende Nachrichten zu scannen.
Verschickte Inhalte müssen je nach der Position des Mitarbeiters untersucht werden. Beispielsweise sollte eine E-Mail, die von einem Kundenservice-Mitarbeiter versendet wird, anderen Richtlinien unterworfen sein, als Nachrichten, die von der Geschäftsführung abgeschickt werden. Dafür sind gemeinsame Regelungen und die Systeme verantwortlich. Gleichzeitig sollten sie auch Informationen des Adressbuchs berücksichtigen und immer auf den aktuellen Stand bezüglich der jeweiligen Positionen und Erlaubnissen der Mitarbeiter gebracht werden.
4. Einfacher verschlüsseln
E-Mails werden meistens versendet, um wichtige Informationen zwischen einer Firma und ihren Partnern auszutauschen Ein sicherer Versand bringt eine Reihe von Applikationen wie die Kommunikation mit Outsourcing-Partnern und Geschäftsführern mit sich.
Die Verschlüsselung von Nachrichten ist seit einiger Zeit weit verbreitet. Der Grund: Es ist einfacher geworden, sie zu entwickeln. In den meisten Anwendungen ist die Verschlüsselung vom Desktop des Users in den zentralisierten E-Mail-Eingang übergegangen. Dabei wird überwiegend ein solides Richtlinien-Management-System eingesetzt. Es erlaubt Administratoren, Regeln für eine automatische Verschlüsselung auf der Grundlage des Inhaltes, den Funktionen und anderen Eigenschaften der Nachricht zu definieren.
5. Sparen bei der Archivierung
Außerhalb des normalen Backup und der Erfordernisse zum Aufdecken von Störfällen ordnen die Behörden an, dass bestimmte E-Mails für eine gewisse Zeitspanne archiviert werden müssen. In manchen Fällen müssen E-Mails sogar in ihrer ursprünglichen Form erhalten werden.
Da die Menge der E-Mails weiter steigt, ist es für eine Firma sehr teuer alle eingehenden und ausgehenden Nachrichten zu archivieren. Mit einem System, dass die Eigenschaften der E-Mails nach Inhalten und in Stichproben sammelt, kann ein Unternehmen viel Geld sparen.
Im Auftrag des Lösungsanbieters Sendmail befragte Ostermann Research in einer Online-Umfrage 500 Unternehmen. Die Mehrheit der Umfrageteilnehmer verfügt über ein jährliches IT-Budget von mehr als einer Million US-Dollar.