Trends in e-mailbeveiliging 2025

E-mail is en blijft een essentieel onderdeel van de professionele communicatie. We zien echter een grote leemte tussen de vele, snel evoluerende compliance-vereisten rond e-mail enerzijds, en de trage ontwikkeling en implementatie van de nodige robuuste veiligheidsmaatregelen anderzijds.

De inzichten in dit rapport benadrukken het belang van een realistisch perspectief. Medewerkers periodiek opleiden en verwachten dat ze steeds de juiste acties zullen ondernemen, verschuift alle verantwoordelijkheid naar het individu. In de plaats daarvan kunnen organisaties tools en processen implementeren die van nature het veiligheidsbesef verbeteren en zo de compliance met steeds evoluerende regels als NIS2, DORA, de AVG en HIPAA vereenvoudigen.

Dit rapport nodigt bedrijven uit om met een frisse blik te kijken naar hun e-mailbeveiliging. Organisaties kunnen hun e-mailbeleid wel degelijk afstellen op de vereisten van ons steeds veranderende digitale landschap: met een cultuur van verantwoordelijkheid, waarbij gebruikers ondersteund worden om de juiste keuzes te maken, gecombineerd met investeringen in slimme, geïntegreerde technologieën die voor robuuste beveiliging zorgen. We hopen dat de inzichten in dit rapport je inspireren om een veiligere én efficiëntere werkomgeving te creëren voor je teams, in 2025 en tot ver in de toekomst. 

E-mail is en blijft de standaard in moderne zakelijke communicatie. Meer dan 90% van de medewerkers beschouwt e-mail als ‘belangrijk’ of ‘zeer belangrijk’ in hun dagelijks werk. Ook in 2025 blijft e-mail het communicatiekanaal bij uitstek voor het communiceren en delen van gevoelige gegevens – maar net daarom maakt het organisaties bijzonder kwetsbaar.

We zien een verontrustende kloof ontstaan tussen het risico dat e-mail gevoelsmatig met zich meebrengt, en de dagelijkse realiteit op het vlak van beveiliging en risicobeheer. IT-leiders richten hun aandacht terecht op inkomende dreigingen zoals phishing – voor 47% is dat hun grootste bezorgdheid. Twee derde van de IT-leiders in onze research gaf echter aan dat fouten met uitgaande e-mails, vaak veroorzaakt door onschuldige menselijke vergissingen, veel vaker resulteren in datalekken dan kwaadaardige pogingen tot social engineering.

De groeiende beveiligingskloof brengt ook problemen met de compliance met zich mee. Van de AVG, NIS2 en DORA in de EU tot HIPAA, GLBA en CCPA in de VS en globale standaarden als ISO/IEC 27001 – allemaal regels die vereisen dat e-mailbeveiliging geëvalueerd wordt als onderdeel van de risicobeheerstrategie: organisaties moeten met heel wat zaken rekening houden.

Deze compliance-doelen worden vaak geïntegreerd in het interne bedrijfsbeleid; maar hoewel 73% van de medewerkers zich bewust is van beveiligingsbeleid rond e-mail, volgt slechts 52% de regels.

Pogingen om de risico’s rond e-mail te beperken, draaien vaak in grote mate rond training – maar die training voldoet meestal niet. 64% van de medewerkers geeft aan dat ze training kregen rond e-mailbeveiliging, maar meer dan een derde van de medewerkers in grote organisaties vindt deze training weinig effectief of is ontevreden over hoe de training gegeven wordt. De ontevredenheid is nog groter bij medewerkers die frequent fouten maken, en diezelfde medewerkers geven vaker aan dat ze het bedrijfsbeleid als verwarrend ervaren.

De conclusie is duidelijk: het is essentieel dat bedrijven operationele vangnetten en intelligente beveiligingsoplossingen introduceren om hun e-mail te beveiligen en medewerkers in staat te stellen dit communicatiekanaal veilig en vol vertrouwen te gebruiken. Maar hoewel IT-leiders aangeven dat ze dit jaar willen inzetten op automatisering en het gebruik van AI-tools, valt het nog af te wachten of de providers van wie ze afhankelijk zijn de boodschap ook begrepen hebben.

Dit rapport, gebaseerd op een onderzoek in oktober 2024 bij 400 IT-leiders en 2.000 medewerkers in de VS, het VK, Nederland, Frankrijk, Duitsland en België, onderzoekt objectief de gevolgen van de hierboven beschreven problemen. Op basis van deze inzichten, verzameld bij organisaties met meer dan 250 medewerkers in verschillende sectoren, biedt het rapport direct bruikbare aanbevelingen om bedrijven te helpen met compliance, het risico op datalekken te verminderen, en de beveiliging te verbeteren. Met slimmere investeringen, medewerkers die zich gesteund voelen en de naadloze implementatie van technologische oplossingen kunnen bedrijven van e-mail zowel de handigste als de veiligste communicatietool maken.

E-mail is een onmisbare tool voor moderne bedrijven, maar het bevindt zich ook op de vuurlinie tussen evoluerende cyberdreigingen en steeds strengere regelgeving. E-mail werd in de jaren 70 ontwikkeld, zelfs nog voor het internet, als een eenvoudige tool voor het uitwisselen van berichten – niet als platform voor beveiligde communicatie. Doorheen de jaren werden protocols als DKIM (DomainKeys Identified Mail) en SPF (Sender Policy Framework) retroactief geïmplementeerd om de beveiliging te verbeteren, maar deze ongecoördineerde aanpak heeft geleid tot een wildgroei aan tijdelijke oplossingen die e-mail net kwetsbaar maakt. Die inherente kwetsbaarheid wordt nog versterkt door steeds gerichtere kwaadaardige aanvallen, een gebrekkige adoptie van beveiligingsstandaarden, ontoereikende authenticatieprotocollen, en datalekken door menselijke fouten.

Kwaadaardige aanvallen van buitenaf, ook wel ‘inkomende dreigingen’ genoemd, worden door IT-leiders als het belangrijkste risico rond e-mail beschouwd: 47% bevestigt dat inkomende dreigingen hen meer zorgen baren dan uitgaande mail. Het is niet onlogisch dat deze kwaadaardige aanvallen de conversatie rond beveiliging overheersen. Advanced Threat Protection (ATP) en detectie van malware (50%), training voor en bewustzijn bij medewerkers (48%) en preventie van phishing (43%) zijn de drie grootste prioriteiten voor investeringen in e-mailbeveiliging volgens IT-leiders – belangrijker dan encryptie en het vermijden van menselijke fouten.

Hoewel de focus op kwaadaardige aanvallen heeft geleid tot nieuwe ontwikkelingen in detectie en preventie, beschouwen IT-leiders de bestaande preventiemaatregelen nog steeds als ontoereikend: 67% van de IT-leiders geeft aan dat providers van beveiligingsoplossingen niet snel genoeg innoveren om adequaat om te gaan met nieuwe AI-dreigingen. Bovendien maakt 59% van de medewerkers zich zorgen dat AI het moeilijker zal maken om te weten of inkomende mails en links al dan niet legitiem zijn.

De conclusie is duidelijk: voor IT-leiders ligt de focus momenteel resoluut op het neutraliseren van dreigingen, maar de huidige beveiligingstools schieten daarbij tekort. En bovenop de uitdagingen rond inkomende mail, toont ons onderzoek aan dat er nog een tweede aspect is bij e-mailbeveiliging dat vaak over het hoofd gezien wordt, maar net zo belangrijk is.

Uitgaande e-mail: de blinde vlek 

Regelgevende organisaties op het vlak van gegevensbescherming, zoals de Autoriteit Persoonsgegevens in Nederland en de ICO in het Verenigd Koninkrijk, zien al jarenlang consequent dat menselijke fouten de hoofdoorzaak zijn van datalekken. Toch krijgen inkomende dreigingen steevast de meeste aandacht. Deze dramatische leemte tussen waar de aandacht naartoe gaat en wat echt belangrijk is, wordt pas recent echt duidelijk, nu bedrijven steeds meer gevoelige gegevens verwerken en de compliance-regels strikter worden.

Ons onderzoek wijst uit dat fouten met uitgaande e-mail alarmerend vaak gebeuren. Medewerkers versturen de verkeerde bijlage (33%), sturen mails naar de verkeerde ontvanger (32%), of gebruiken de Cc- en Bcc-velden verkeerd (20%). Deze fouten komen het vaakst voor wanneer medewerkers gehaast (54%) of gestresseerd zijn (40%), of wanneer ze zich overweldigd voelen door een overvloed aan e-mails (40%). 

De contradictorische prioriteiten rond e-mailbeveiliging

Zowat de helft (47%) van de IT-leiders ziet phishing en malware als de belangrijkste dreiging. Slechts 20% maakt een prioriteit van de risico’s rond uitgaande e-mail en maar 39% ziet preventie van datalekken en menselijke fouten als een prioritaire investeringspost. Maar ondanks deze lage inschatting geeft twee derde (66%) toe dat fouten die medewerkers maken in uitgaande e-mail leiden tot meer gegevensverlies dan inkomende kwaadaardige aanvallen.

Natuurlijk is beveiliging tegen inkomende dreigingen belangrijk, maar niet ten koste van uitgaande beveiliging. Dit gebrek aan afstemming gaat verder dan alleen perceptie: slechts 25% van de IT-leiders vindt dat hun uitgaven op het vlak van beveiliging ‘zeer goed afgestemd’ zijn op de eigenlijke risico’s. Om de zaak nog ingewikkelder te maken, zegt 38% dat ‘medewerkers die het beveiligingsbeleid verkeerd begrijpen’ een van de grootste risico’s voor het bedrijf zijn, terwijl wel 60% van de medewerkers aangeeft dat ze actief manieren zoeken om rond het beleid heen te komen. Dat wijst op een verschil tussen de inschattingen van leidinggevenden en de realiteit op de werkvloer.

Compliance is misschien wel de meest dringende uitdating voor IT-leiders in 2025. In Europa treden belangrijke wetten in werking, zoals DORA (Digital Operational Resilience Act) voor financiële instellingen en NIS2 (Network and Information Systems Directive) voor essentiële sectoren. Tegelijk introduceert het VK de Cyber Security and Resilience Bill. In de VS ondergaan bestaande federale wetten als HIPAA (Health Insurance Portability and Accountability Act) en GLBA (Gramm-Leach-Bliley Act) continu revisies en hebben verschillende staten daarnaast elk hun eigen wetten rond gegevensbescherming.

Deze wetten bevatten allemaal vereisten rond risicobeheer, informatieclassificatie, veilige gegevensoverdracht, bewustzijnstraining en het voorkomen van datalekken, waardoor e-mail onder nauw toezicht komt te staan.

Essentiële wettelijke vereisten voor veilig informatiebeheer:

Veel van de nieuwe wetten bevatten gelijkaardige clausules die een directe impact hebben op e-mail. Het is voor je bedrijf van groot belang om deze punten aan te pakken als je de compliance wil verzekeren:

• Robuuste protocollen voor risicobeheer: Organisaties moeten proactief omgaan met phishing door middel van uitgebreide protocollen voor risicobeheer, incidentmanagement en doorlopende evaluatie van hun cybersecurity-strategieën.
• Informatieclassificatie: Organisaties moeten informatie classificeren op basis van gevoeligheid om de juiste veiligheidsmaatregelen te bepalen voor overdracht via e-mail en onbedoelde datalekken te voorkomen.
• Veilige informatieoverdracht: Gepaste encryptie en traceerbaarheid zijn vereist om informatie tijdens de overdracht te beschermen tegen toegang door onbevoegden.
• Toegangscontrole: Toegang tot gevoelige informatie moet beperkt worden tot geautoriseerde personen, waarvoor betrouwbare authenticatie van afzender en ontvanger vereist is.
• Bewustzijn en training: Regelmatige training en opfrissing rond beveiligingsbeleid is verplicht om te verzekeren dat je medewerkers zich bewust zijn van de veiligheid.
• Preventie van datalekken: Organisaties moeten maatregelen implementeren om het risico op datalekken door menselijke fouten te beperken, onder andere door het monitoren en blokkeren of afzonderen van e-mails met gevoelige informatie die niet voldoende beveiligd zijn of fouten bevatten.

Transparantie in e-mail: omgaan met verborgen dreigingen

IT-leiders schatten dat slechts 34% van de incidenten met uitgaande e-mail formeel gerapporteerd worden. Daarnaast blijkt dat medewerkers vaak informeel omgaan met fouten: 50% zegt dat ze de (onbedoelde) recipiënt rechtstreeks zouden contacteren wanneer ze een fout maken met e-mail, maar slechts 9% zou het incident melden aan het IT-departement. Daardoor blijven IT-teams in het ongewisse over de werkelijke omvang van incidenten met de e-mailbeveiliging, wat het op zijn beurt moeilijker maakt om systemische problemen op een proactieve manier aan te pakken.

Compliance als culturele norm

Volgens IT-leiders zijn de drie belangrijkste kwetsbaarheden op het vlak van beveiliging respectievelijk medewerkers die niet-geautoriseerde platformen gebruiken, een gebrek aan bewustzijn rond veiligheid, en de wildgroei aan verschillende communicatietools die gebruikt worden.

Medewerkers zijn de rode draad doorheen de meest gekozen antwoorden, maar ze zijn eerder symptomen van het probleem dan de oorzaak ervan. Medewerkers zijn afhankelijk van de omgeving waarin ze werken. Zolang de tools, training en processen in de organisatie er niet in slagen om veiligheidsbewustzijn te laten doordringen in de cultuur, zullen deze kwetsbaarheden niet opgelost worden.

Als antwoord op de vraag waar hun focus op het vlak van beveiliging zal liggen de komende twee tot drie jaar, zegt bijna een derde van de IT-leiders (31%) dat compliance met regels rond gegevensbescherming de prioriteit wordt. 28% zegt dat ze op zoek gaan naar een ‘allesomvattende’ oplossing die zowel inkomende als uitgaande mail beveiligt. 45% van de respondenten gaf aan dat deze verschuiving in de prioriteiten gemotiveerd was door de groeiende dreiging van AI, waarmee phishing-aanvallen steeds accurater worden. Tegelijk gaf 38% aan dat de druk van nieuwe regelgevingen en zorgen om de compliance de drijvende factor waren.

Medewerkers zijn vragende partij voor meer ondersteuning om hen te helpen met het behalen van de compliance-doeleinden van de organisatie. Beveiligingsbeleid moet helder en gebruiksvriendelijk zijn, anders is het onvermijdelijk dat medewerkers manieren zullen zoeken om eromheen te komen.

Zo’n 60% van de medewerkers zegt dat ze geregeld manieren zoeken om om het IT-beleid heen te komen, zodat ze gewoon hun werk kunnen doen en tijd of moeite besparen

Gebrek aan bewustzijn van beleid

Veel medewerkers hebben een gebrekkig begrip van het beveiligingsbeleid van hun organisatie: 38% zegt dat ze de regels rond e-mailgebruik niet helemaal begrijpen. Bij medewerkers die toegeven dat ze vaak fouten maken, stijgt dat percentage naar 52%, wat een duidelijke link aantoont tussen begrip van het beleid en de kans op fouten.

Training over e-mailbeveiliging heruitvinden

Hoewel zowat alle organisaties wel een vorm van training aanbieden, blijft de effectiviteit bijzonder beperkt. Nochtans zien organisaties wel in dat training belangrijk is: 95% van de IT-leiders bevestigt dat hun bedrijf training aanbiedt. Toch gelooft maar 26% dat deze training een significante impact heeft op hoe medewerkers omgaan met gevoelige gegevens, en bijna de helft (46%) geeft toe dat er zeker ruimte is voor verbetering. De gigantische kloof tussen hoeveel training wordt aangeboden en hoe weinig vertrouwen er is in de effectiviteit ervan, toont aan dat zowel de inhoud van de training als de manier waarop die wordt aangeboden fundamenteel ontoereikend is.

Eén van de problemen met training is dat hij niet gemaakt is op maat van de medewerkers, maar op maat van de organisatie. Meer dan een derde (36%) van de medewerkers in grote bedrijven geeft aan dat training over e-mailbeveiliging weinig effectief of zelfs tijdverlies is – en dat percentage stijgt naar 54% onder medewerkers die geregeld fouten maken met e-mail. Net deze groep, die veel baat zou hebben bij effectieve training, vindt vaak dat training te algemeen is en geen rekening houdt met de specifieke uitdagingen waarmee ze in hun baan te maken krijgen.

Uit onze research blijkt dat medewerkers een sterke voorkeur hebben voor interactieve training gebaseerd op levensechte scenario’s die ze ook in hun dagelijks werk tegenkomen. Directe uitleg en contextuele feedback die geïntegreerd wordt in hun dagelijkse workflow zijn twee bijzonder effectieve manieren om veilig gedrag te promoten.

Managers: tijd om in actie te schieten

De e-mailbeveiliging verbeteren is een dringende prioriteit voor bedrijven. De risico’s verbonden aan behoud van het status quo zijn duidelijk en kostbaar: meer datalekken, financiële straffen, erosie van klantvertrouwen, en zelfs mogelijke persoonlijke aansprakelijkheid voor leidinggevenden onder de nieuwe regelgeving.

Bedrijven moeten ervoor zorgen dat hun investeringen in beveiliging strategisch afgestemd zijn op de belangrijkste dreigingen voor hun organisatie. Het feit dat momenteel slechts 24% van de IT-leiders er vertrouwen in heeft dat hun huidige systeem voldoende bescherming biedt, toont dat veel bedrijven bijzonder kwetsbaar zijn. Bovendien worden de risico’s verbonden aan uitgaande e-mail vaak naar de achtergrond verschoven en wordt vooral ingezet op het tegenhouden van inkomende dreigingen, terwijl beiden in realiteit evenveel aandacht vereisen om menselijke fouten en datalekken effectief te voorkomen. Om een robuust, effectief beveiligingsbeleid uit te bouwen, is het essentieel dat de investeringen gaan naar allesomvattende oplossingen die ook bescherming bieden tegen risico’s die vaak over het hoofd gezien worden. Deze oplossingen ondersteunen niet alleen de compliance: ze bieden een tastbare meerwaarde voor het bedrijf, wat helpt om ook in de toekomst goedkeuring voor investeringen te krijgen van het bestuur. Vergeet niet: slechts een op vier IT-leiders gelooft momenteel dat de investeringen in beveiliging goed afgestemd zijn op de werkelijke risico’s.

Bedrijfsleiders moeten hun e-mailcommunicatie beveiligen met een gestructureerde, proactieve aanpak die focust op vijf essentiële elementen:

1. Een uitgebreide audit van de e-mailbeveiliging
2. Investeren in geavanceerde oplossingen voor e-mailbeveiliging
3. Robuuste encryptie en authenticatie instellen
4. Medewerkers ondersteunen met strategieën voor het voorkomen van datalekken
5. Een cultuur van veiligheidsbewustzijn stimuleren

Met deze stappen kunnen organisaties hun e-mailbeveiliging transformeren van een zwakte in een krachtig strategisch hulpmiddel. Zo wordt niet alleen de compliance gegarandeerd, maar versterkt het bedrijf ook zijn competitieve positie en bouwt het vertrouwen op bij klanten en investeerders.

In 2025 is de e-mailbeveiliging verbeteren niet alleen strategisch intelligent, het is ook essentieel voor de compliance. Onder nieuwe wetgeving kunnen bestuursleden persoonlijk aansprakelijk gesteld worden voor falingen in de beveiliging, wat besluitvaardige actie nog essentiëler maakt. Robuuste encryptie en authenticatie zijn niet langer optioneel: ze zijn essentieel om communicatiekanalen te beschermen tegen steeds meer gesofisticeerde cyberaanvallen.

De foutenmarge wordt vandaag steeds kleiner en de gevolgen van aanmodderen alleen maar groter. Het is nu tijd om in te grijpen. Door te investeren in robuuste beveiliging, medewerkers beter op te leiden, en je bedrijfsvoering af te stellen op internationale standaarden, kan je als organisatie de belangrijkste risico’s opvangen, je kritieke communicatiekanalen beschermen, en ervoor zorgen dat e-mail ook in 2025 een vertrouwde steunpilaar blijft voor je zakelijk succes.