E-Mail Sicherheit

Sie sind hier: / / / E-Mail Sicherheit

Die E-Mail Sicherheit

Sicher per Mail kommunizieren

E-Mail Sicherheit – E-Mails sind nicht nur für Unternehmen, sondern inzwischen auch für Behörden, Vereine und Privatpersonen oft das wichtigste Kommunikationsmittel. Allerdings sind sie auch der bedeutendste Einfallsweg für Malware. Gerade Firmen- und Behördennetzwerke müssen dringend vor Ransomware, virenverseuchten Attachments, Phishing und Spam geschützt werden.

Grundlagen der E-Mail Sicherheit

Eine wesentliche Grundlage ist das Know-how von Administratoren: Diese müssen wissen, wie sie Mail-Übertragungen in ihrem Netz absichern. Dazu gehört, die Mails nicht unverschlüsselt zu übertragen. Außerdem gilt es, durch einen adäquaten Viren- und Spamschutz kriminelle Malware abzuwehren. Nicht zuletzt müssen die Mitarbeiter ausreichend geschult werden, um Phishing-Links zu erkennen. Virenscanner sollten im Falle von Firmenservern zentral auf diesen und zusätzlich auf den Clients platziert werden. Auch der Internet-Gateway eignet sich für einen zentralen Viren- und Spamschutz. Der Spamschutz ist getrennt vom Schutz vor Malware zu betrachten. Spam-Mails sind immer lästig, aber eher selten schädlich. Dennoch halten sie die Arbeit auf, zudem können sie unter Umständen – als „nur lästige“ Werbung getarnt – ein Einfallstor für Malware sein. Der Umgang mit unverlangt zugesandten Mail ist schwierig: Manch ein Werbeangebot ist vielleicht doch brauchbar, weshalb es sicher verkehrt wäre, jede Werbung sofort als Spam zu kennzeichnen und somit den Absender für die Zukunft zu sperren. Administratoren müssen also genau definieren, welche Mails ohne Weiteres zugestellt, welche markiert, welche blockiert und welche wegen möglicher Gefahren auch in Quarantäne verschoben werden.

Clientbasierte Antivirus- und Antispamprogramme gelten in zwei Fällen als unerlässlich:

  • 1: Die Firma hat zwar einen eigenen Server, wünscht sich aber eine zusätzliche Schutzschicht auf den Arbeitsplatzrechnern. Vielleicht transportieren Mitarbeiter Daten auf USB-Sticks oder CD-ROMs und überspielen sie auf ihren Arbeitsplatzrechner, was eine Verseuchungsgefahr für das gesamte Firmennetz birgt.
  • 2: Die Firma arbeitet schon mit der Cloud eines externen Anbieters. Auf dessen Server hat sie keinen Einfluss. Es kann sinnvoll sein, die eigenen Rechner zu schützen, auch wenn der Anbieter der Cloud höchste Sicherheit verspricht.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt für eine ausreichende Sicherheit des E-Mail-Verkehrs in jedem Fall zusätzliche clientbasierte Lösungen.

Wie sicher ist die E-Mail Kommunikation?

Die Sicherheit der E-Mail-Kommunikation kann von verschiedenen Faktoren abhängen. Hier sind einige Aspekte zu beachten:

  1. Transportverschlüsselung: Die meisten E-Mail-Anbieter unterstützen die Transport Layer Security (TLS)-Verschlüsselung, die den Übertragungsweg zwischen E-Mail-Servern absichert. Dadurch wird verhindert, dass die E-Mail-Inhalte während der Übertragung abgehört oder manipuliert werden können.
  2. End-to-End-Verschlüsselung: Die End-to-End-Verschlüsselung bietet eine zusätzliche Sicherheitsebene, indem die E-Mail-Inhalte direkt auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt werden. Hierbei kommen Standards wie PGP/OpenPGP oder S/MIME zum Einsatz. Allerdings erfordert die Nutzung dieser Verschlüsselungsmethoden die richtige Konfiguration und den Austausch von Schlüsseln zwischen den Kommunikationspartnern.
  3. Sicherheit der E-Mail-Server: Die Sicherheit der E-Mail-Kommunikation hängt auch von der Sicherheit der E-Mail-Server ab. Es ist wichtig, dass die Server angemessene Sicherheitsmaßnahmen implementieren, um unbefugten Zugriff, Datenlecks und anderen Bedrohungen vorzubeugen. Dazu gehören starke Zugriffskontrollen, regelmäßige Updates und Patches, Sicherung der Daten und Überwachung auf Anomalien.
  4. Phishing und Malware: E-Mail ist ein häufiges Ziel für Phishing-Angriffe und das Versenden von Malware. Benutzer sollten daher wachsam sein und verdächtige E-Mails, Anhänge oder Links nicht öffnen. Es ist ratsam, Antiviren- und Antiphishing-Software zu verwenden und regelmäßig Updates durchzuführen.
  5. Sicherheit der E-Mail-Clients: Die Sicherheit der E-Mail-Kommunikation hängt auch von den verwendeten E-Mail-Clients ab. Aktualisierte und sichere E-Mail-Clients bieten Schutz vor bekannten Sicherheitslücken und implementieren Funktionen wie Spam-Filter, Filter für bösartige Anhänge und andere Sicherheitsmechanismen.

Es ist wichtig zu beachten, dass die Sicherheit der E-Mail-Kommunikation von verschiedenen Faktoren abhängt und keine absolut sichere Methode ist. Es ist immer ratsam, zusätzliche Sicherheitsmaßnahmen zu ergreifen, wie z.B. starke Passwörter zu verwenden, Zwei-Faktor-Authentifizierung zu aktivieren und regelmäßige Sicherheitsüberprüfungen durchzuführen.

E-Mail Sicherheit – die größten Irrtümer

Es existieren viele Dutzend Irrtümer und Missverständnisse zur Sicherheit von E-Mails. Das BSI befasst sich ständig mit dem Phänomen dieser Mythen und listet sie aktuell wie folgt auf:

Irrtum #1

Eine nur angesehene E-Mail kann keinen Schaden anrichten. Malware lässt sich nur das Öffnen eines Anhangs übertragen. – Das ist leider falsch. Viele E-Mails verschickt man heute schon im HTML-Format, um sie beispielsweise in Teilen farbig und mit verschiedenen Schriften oder Grafiken gestalten zu können. Wir haben uns inzwischen daran gewöhnt und wissen nicht, dass sich im HTML-Quellcode auch Malware unterbringen lässt. Deren Code wird schon beim Öffnen der Mail auf dem Rechner des Empfängers ausgeführt. Das funktioniert ganz Anhang. Spammer nutzen übrigens auch sehr gern HTML-Mails. Ihr Ziel besteht darin, die Gültigkeit der Empfängeradresse zu verifizieren. Das geschieht über Webbugs. In der Regel handelt es sich um unsichtbare Bilder, deren Öffnen der Server des Spammers erkennt. Verhindern lassen sich solche Angriffe, indem im E-Mail-Programm die Möglichkeit einer Mailanzeige im HTML-Format deaktiviert wird. Bei einem vertrauenswürdigen Absender kann sie wieder aktiviert werden, denn manchmal sind die Mails bei deaktiviertem HTML-Format schlechter lesbar.

Irrtum #2

Man kann auf eine Spam-Mail ruhig antworten – am besten, indem man in dieser Mail dem Link folgt, der zum Löschen der eigenen Mail-Adresse aus dem Verteiler des Absenders führen soll. – Natürlich gibt es solche Links, natürlich gibt es auch Werbeversender, die daraufhin wirklich die Mailadresse des Empfängers aus ihrem Verteiler löschen. Das ist sogar juristisch vorgeschrieben. Es gibt aber auch höchst unseriöse Spamversender, die diese Reaktion des Empfängers gerade dafür nutzen, dessen Mail-Adresse zu verifizieren und in der Folge mit vielen weiteren Spam-Mails zu bombardieren – natürlich von anderen Absendern aus. Daher empfiehlt das BSI in seinen Hinweisen zur Sicherheit von E-Mails, Spam-Mails in jedem Fall ungeöffnet und ungelesen zu löschen. Wie erwähnt können sie zwar lästig, aber dennoch unter dem Blickwinkel der Sicherheit harmlos sein. Vielfach ist es unaufgefordert zugesandte Werbung, die beworbenen Produkte und Dienstleistungen können teilweise zweifelhaft sein. Teilweise sind aber Spam-Mails auch Phishing-Mails und manchmal sind sie mit Malware verseucht. Die Grenzen zwischen einfach unaufgeforderter Werbung (auch für halbwegs seriöse Produkte), Werbung für zweifelhafte Produkte und kriminellen Handlungen via Spam sind fließend. Daher empfiehlt das BSI, unaufgefordert erhaltene E-Mails niemals zu öffnen, sondern sofort zu löschen. Dass niemand Anhänge solcher Mails öffnen sollte, hat sich längst herumgesprochen. Doch auch Links in den Mails sollte niemand folgen, egal, was damit versprochen wird (Abmeldung aus dem Verteiler des Absenders). Wie unter #1 erwähnt kann es ja sogar schon genügen, die Mail einfach nur zu öffnen, um sich Malware auf den Rechner zu holen.

Irrtum #3

Von wem eine E-Mail stammt, lässt sich doch leicht am Absender erkennen. – Wiederum leider falsch, denn Absender lassen sich fälschen, indem sie unsichtbare Zeichen oder Buchstaben enthalten. Das bedeutet: Der Absender sieht wirklich ganz genau so aus wie der einer bekannten Person, doch der Fälscher (Versender der Mail) hat ein winziges Zeichen hinzugeschmuggelt, das einfach weiß und damit auf den meisten Bildschirmen nicht sichtbar ist. Es könnte ein Punkt oder auch ein accent aigu sein. Der wahre Absender heißt vielleicht frank.mueller@gmail.com, der falsche Absender heißt frank.múeller@gmail.com, das accent aigu über dem u ist weiß und daher auf dem Desktop nicht zu sehen. Solche Tricks lassen sich durchschauen, indem sich der Empfänger den Quelltext im E-Mail-Header anzeigen lässt. Allerdings werden neuerdings auch Header gefälscht. Wiederum bleibt der BSI-Hinweis gültig: Im Zweifelsfall sollte so eine Mail nicht geöffnet werden. Zweifel könnten zum Beispiel aufkommen, wenn die Mail von diesem Empfänger aus verschiedensten Gründen unerwartet kommt und schon die Betreffzeile merkwürdig anmutet.

Irrtum #4

Phishing-Mails würde ich sofort erkennen. – Leider wieder falsch. Diese Mails, die einen Empfänger dazu verleiten, freiwillig sehr wichtige und geheime Informationen preiszugeben (Passwörter, PINs und TANs), werden von täuschend echt aussehenden vermeintlichen Absendern verschickt – darunter Paypal, eBay, Amazon oder die eigene Hausbank. Die Nachrichten wirken brisant. So wird ein schwerer Schaden vorgetäuscht, der umgehend eintreten soll, wenn der Nutzer nicht sein Passwort, eine PIN oder TAN preisgibt. Solche Nachrichten lösen Stress und Zeitdruck aus. Die Nutzer glauben, sie müssten nun in der Tat schnell reagieren. Damit lassen sie sich überrumpeln und geben diese Informationen preis. Es bleibt aber Tatsache: Kein seriöser Partner verlangt von uns jemals ein Passwort, eine PIN oder TAN.

3 Regeln für die E-Mail Sicherheit

Die drei Grundregeln für die Sicherheit von E-Mails lauten:

  1. Sicheres Passwort
  2. Spam-Disziplin
  3. E-Mails verschlüsseln

Sichere Passwörter sind mindestens achtstellig, besser sogar zehn- bis zwölfstellig, und enthalten Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Sie haben keinerlei semantischen Bezug. Das bedeutet: Es tauchen darin keine Geburtsjahre, Vornamen, Begriffe etc. auf. So ein Passwort merkt sich nicht leicht, doch nur so erhalten Sie die nötige Sicherheit. Spam-Disziplin bezieht sich auf die obigen Hinweise: Öffnen Sie verdächtige Mails gar nicht erst, sondern löschen Sie diese sofort. Ein Verschlüsselungsprogramm für Ihre E-Mails gilt als absolut unumgänglich, sobald Sie sensible Informationen wie etwa Geschäftsdaten per Mail verschicken. In manchen Programmen wie Outlook ist schon die kryptografische Verschlüsselungsmöglichkeit per Zertifikat inkludiert. Es gibt auch professionelle Lösungen, die als noch deutlich sicherer gelten und mit normalen technischen Methoden nicht oder kaum zu knacken sind. Prinzipiell gibt es zwar keine absolut sichere Verschlüsselung, doch ab einem bestimmten Niveau ist der Aufwand für die Kriminellen einfach zu groß.

E-Mail-Sicherheit prüfen

Sie können überprüfen, ob jemand Ihr Passwort geknackt und Ihren E-Mail-Account gekapert hat. Geben Sie hierfür Ihre E-Mail-Adresse bei https://haveibeenpwned.com oder https://sec.hpi.de/ilc/ (Hasso-Plattner-Institut) ein. Wenn Sie gehackt wurden, ändern Sie umgehend Ihr Passwort. Sollten Sie auf mehreren Webseiten verschiedene Passwörter verwenden, wie es empfohlen wird, müssen Sie diese möglicherweise alle ändern. Das ist mühselig, aber leider unumgänglich, wie auch das BSI empfiehlt.

Noch sicherer –  Welcher E-Mail-Standard bietet End-to-End-Sicherheit?

Der E-Mail-Standard, der End-to-End-Sicherheit bietet, ist Pretty Good Privacy (PGP) bzw. OpenPGP (Open Pretty Good Privacy). PGP ist ein Verschlüsselungsprogramm, das entwickelt wurde, um die Vertraulichkeit und Integrität von E-Mails zu gewährleisten.

Mit PGP können Benutzer ihre E-Mails verschlüsseln und digitale Signaturen verwenden, um sicherzustellen, dass nur der beabsichtigte Empfänger die Nachricht lesen und überprüfen kann, dass sie nicht verändert wurde. Die Verschlüsselung erfolgt auf der Seite des Absenders und kann nur vom Empfänger entschlüsselt werden, wodurch eine End-to-End-Sicherheit erreicht wird.

Die OpenPGP-Spezifikation basiert auf dem PGP-Standard und ermöglicht die Interoperabilität verschiedener E-Mail-Clients und -Dienste, die PGP/OpenPGP unterstützen. Es gibt eine Vielzahl von E-Mail-Clients und Erweiterungen, die PGP/OpenPGP-Funktionen bereitstellen, darunter Thunderbird mit der Enigmail-Erweiterung, Outlook mit der Gpg4win-Erweiterung und Mailvelope als Browser-Erweiterung.

Es ist wichtig zu beachten, dass die Verwendung von PGP/OpenPGP zur Erreichung von End-to-End-Sicherheit die Zusammenarbeit zwischen Absender und Empfänger erfordert. Beide Parteien müssen über PGP-Schlüssel verfügen, um die Verschlüsselung und Entschlüsselung durchführen zu können. Darüber hinaus müssen die Schlüssel sicher ausgetauscht oder über vertrauenswürdige Zertifizierungsstellen verifiziert werden, um die Integrität der Schlüssel zu gewährleisten.

Es ist zu beachten, dass PGP/OpenPGP zwar eine weit verbreitete Methode für End-to-End-Verschlüsselung in E-Mails ist, jedoch auch andere Standards und Protokolle existieren, die ähnliche Sicherheitsfunktionen bieten, wie z.B. S/MIME (Secure/Multipurpose Internet Mail Extensions).

Sie benötigen Unterstützung oder haben Fragen?
Jetzt Kontakt aufnehmen
Unsere Produktangebote zu diesem Bereich

SAP Mail

SAP Monitoring

Verwandte Know-How Themen