Die E-Mail Sicherheit

Sicher per Mail kommunizieren

E-Mail Sicherheit – E-Mails sind nicht nur für Unternehmen, sondern inzwischen auch für Behörden, Vereine und Privatpersonen oft das wichtigste Kommunikationsmittel. Allerdings sind sie auch der bedeutendste Einfallsweg für Malware. Gerade Firmen- und Behördennetzwerke müssen dringend vor Ransomware, virenverseuchten Attachments, Phishing und Spam geschützt werden.

E-Mail Sicherheit

E-Mail Sicherheit

Grundlagen der E-Mail Sicherheit

Eine wesentliche Grundlage ist das Know-how von Administratoren: Diese müssen wissen, wie sie Mail-Übertragungen in ihrem Netz absichern. Dazu gehört, die Mails nicht unverschlüsselt zu übertragen. Außerdem gilt es, durch einen adäquaten Viren- und Spamschutz kriminelle Malware abzuwehren. Nicht zuletzt müssen die Mitarbeiter ausreichend geschult werden, um Phishing-Links zu erkennen. Virenscanner sollten im Falle von Firmenservern zentral auf diesen und zusätzlich auf den Clients platziert werden. Auch der Internet-Gateway eignet sich für einen zentralen Viren- und Spamschutz. Der Spamschutz ist getrennt vom Schutz vor Malware zu betrachten. Spam-Mails sind immer lästig, aber eher selten schädlich. Dennoch halten sie die Arbeit auf, zudem können sie unter Umständen – als „nur lästige“ Werbung getarnt – ein Einfallstor für Malware sein. Der Umgang mit unverlangt zugesandten Mail ist schwierig: Manch ein Werbeangebot ist vielleicht doch brauchbar, weshalb es sicher verkehrt wäre, jede Werbung sofort als Spam zu kennzeichnen und somit den Absender für die Zukunft zu sperren. Administratoren müssen also genau definieren, welche Mails ohne Weiteres zugestellt, welche markiert, welche blockiert und welche wegen möglicher Gefahren auch in Quarantäne verschoben werden.

Clientbasierte Antivirus- und Antispamprogramme gelten in zwei Fällen als unerlässlich:

  • 1: Die Firma hat zwar einen eigenen Server, wünscht sich aber eine zusätzliche Schutzschicht auf den Arbeitsplatzrechnern. Vielleicht transportieren Mitarbeiter Daten auf USB-Sticks oder CD-ROMs und überspielen sie auf ihren Arbeitsplatzrechner, was eine Verseuchungsgefahr für das gesamte Firmennetz birgt.
  • 2: Die Firma arbeitet schon mit der Cloud eines externen Anbieters. Auf dessen Server hat sie keinen Einfluss. Es kann sinnvoll sein, die eigenen Rechner zu schützen, auch wenn der Anbieter der Cloud höchste Sicherheit verspricht.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt für eine ausreichende Sicherheit des E-Mail-Verkehrs in jedem Fall zusätzliche clientbasierte Lösungen.

E-Mail Sicherheit – die größten Irrtümer

Es existieren viele Dutzend Irrtümer und Missverständnisse zur Sicherheit von E-Mails. Das BSI befasst sich ständig mit dem Phänomen dieser Mythen und listet sie aktuell wie folgt auf:

Irrtum #1

Eine nur angesehene E-Mail kann keinen Schaden anrichten. Malware lässt sich nur das Öffnen eines Anhangs übertragen. – Das ist leider falsch. Viele E-Mails verschickt man heute schon im HTML-Format, um sie beispielsweise in Teilen farbig und mit verschiedenen Schriften oder Grafiken gestalten zu können. Wir haben uns inzwischen daran gewöhnt und wissen nicht, dass sich im HTML-Quellcode auch Malware unterbringen lässt. Deren Code wird schon beim Öffnen der Mail auf dem Rechner des Empfängers ausgeführt. Das funktioniert ganz Anhang. Spammer nutzen übrigens auch sehr gern HTML-Mails. Ihr Ziel besteht darin, die Gültigkeit der Empfängeradresse zu verifizieren. Das geschieht über Webbugs. In der Regel handelt es sich um unsichtbare Bilder, deren Öffnen der Server des Spammers erkennt. Verhindern lassen sich solche Angriffe, indem im E-Mail-Programm die Möglichkeit einer Mailanzeige im HTML-Format deaktiviert wird. Bei einem vertrauenswürdigen Absender kann sie wieder aktiviert werden, denn manchmal sind die Mails bei deaktiviertem HTML-Format schlechter lesbar.

Irrtum #2

Man kann auf eine Spam-Mail ruhig antworten – am besten, indem man in dieser Mail dem Link folgt, der zum Löschen der eigenen Mail-Adresse aus dem Verteiler des Absenders führen soll. – Natürlich gibt es solche Links, natürlich gibt es auch Werbeversender, die daraufhin wirklich die Mailadresse des Empfängers aus ihrem Verteiler löschen. Das ist sogar juristisch vorgeschrieben. Es gibt aber auch höchst unseriöse Spamversender, die diese Reaktion des Empfängers gerade dafür nutzen, dessen Mail-Adresse zu verifizieren und in der Folge mit vielen weiteren Spam-Mails zu bombardieren – natürlich von anderen Absendern aus. Daher empfiehlt das BSI in seinen Hinweisen zur Sicherheit von E-Mails, Spam-Mails in jedem Fall ungeöffnet und ungelesen zu löschen. Wie erwähnt können sie zwar lästig, aber dennoch unter dem Blickwinkel der Sicherheit harmlos sein. Vielfach ist es unaufgefordert zugesandte Werbung, die beworbenen Produkte und Dienstleistungen können teilweise zweifelhaft sein. Teilweise sind aber Spam-Mails auch Phishing-Mails und manchmal sind sie mit Malware verseucht. Die Grenzen zwischen einfach unaufgeforderter Werbung (auch für halbwegs seriöse Produkte), Werbung für zweifelhafte Produkte und kriminellen Handlungen via Spam sind fließend. Daher empfiehlt das BSI, unaufgefordert erhaltene E-Mails niemals zu öffnen, sondern sofort zu löschen. Dass niemand Anhänge solcher Mails öffnen sollte, hat sich längst herumgesprochen. Doch auch Links in den Mails sollte niemand folgen, egal, was damit versprochen wird (Abmeldung aus dem Verteiler des Absenders). Wie unter #1 erwähnt kann es ja sogar schon genügen, die Mail einfach nur zu öffnen, um sich Malware auf den Rechner zu holen.

Irrtum #3

Von wem eine E-Mail stammt, lässt sich doch leicht am Absender erkennen. – Wiederum leider falsch, denn Absender lassen sich fälschen, indem sie unsichtbare Zeichen oder Buchstaben enthalten. Das bedeutet: Der Absender sieht wirklich ganz genau so aus wie der einer bekannten Person, doch der Fälscher (Versender der Mail) hat ein winziges Zeichen hinzugeschmuggelt, das einfach weiß und damit auf den meisten Bildschirmen nicht sichtbar ist. Es könnte ein Punkt oder auch ein accent aigu sein. Der wahre Absender heißt vielleicht frank.mueller@gmail.com, der falsche Absender heißt frank.múeller@gmail.com, das accent aigu über dem u ist weiß und daher auf dem Desktop nicht zu sehen. Solche Tricks lassen sich durchschauen, indem sich der Empfänger den Quelltext im E-Mail-Header anzeigen lässt. Allerdings werden neuerdings auch Header gefälscht. Wiederum bleibt der BSI-Hinweis gültig: Im Zweifelsfall sollte so eine Mail nicht geöffnet werden. Zweifel könnten zum Beispiel aufkommen, wenn die Mail von diesem Empfänger aus verschiedensten Gründen unerwartet kommt und schon die Betreffzeile merkwürdig anmutet.

Irrtum #4

Phishing-Mails würde ich sofort erkennen. – Leider wieder falsch. Diese Mails, die einen Empfänger dazu verleiten, freiwillig sehr wichtige und geheime Informationen preiszugeben (Passwörter, PINs und TANs), werden von täuschend echt aussehenden vermeintlichen Absendern verschickt – darunter Paypal, eBay, Amazon oder die eigene Hausbank. Die Nachrichten wirken brisant. So wird ein schwerer Schaden vorgetäuscht, der umgehend eintreten soll, wenn der Nutzer nicht sein Passwort, eine PIN oder TAN preisgibt. Solche Nachrichten lösen Stress und Zeitdruck aus. Die Nutzer glauben, sie müssten nun in der Tat schnell reagieren. Damit lassen sie sich überrumpeln und geben diese Informationen preis. Es bleibt aber Tatsache: Kein seriöser Partner verlangt von uns jemals ein Passwort, eine PIN oder TAN.

3 Regeln für die E-Mail Sicherheit

Die drei Grundregeln für die Sicherheit von E-Mails lauten:

  1. Sicheres Passwort
  2. Spam-Disziplin
  3. E-Mails verschlüsseln

Sichere Passwörter sind mindestens achtstellig, besser sogar zehn- bis zwölfstellig, und enthalten Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Sie haben keinerlei semantischen Bezug. Das bedeutet: Es tauchen darin keine Geburtsjahre, Vornamen, Begriffe etc. auf. So ein Passwort merkt sich nicht leicht, doch nur so erhalten Sie die nötige Sicherheit. Spam-Disziplin bezieht sich auf die obigen Hinweise: Öffnen Sie verdächtige Mails gar nicht erst, sondern löschen Sie diese sofort. Ein Verschlüsselungsprogramm für Ihre E-Mails gilt als absolut unumgänglich, sobald Sie sensible Informationen wie etwa Geschäftsdaten per Mail verschicken. In manchen Programmen wie Outlook ist schon die kryptografische Verschlüsselungsmöglichkeit per Zertifikat inkludiert. Es gibt auch professionelle Lösungen, die als noch deutlich sicherer gelten und mit normalen technischen Methoden nicht oder kaum zu knacken sind. Prinzipiell gibt es zwar keine absolut sichere Verschlüsselung, doch ab einem bestimmten Niveau ist der Aufwand für die Kriminellen einfach zu groß.

E-Mail-Sicherheit prüfen

Sie können überprüfen, ob jemand Ihr Passwort geknackt und Ihren E-Mail-Account gekapert hat. Geben Sie hierfür Ihre E-Mail-Adresse bei haveibeenpwned.com oder sec.hpi.de/ilc (Hasso-Plattner-Institut) ein. Wenn Sie gehackt wurden, ändern Sie umgehend Ihr Passwort. Sollten Sie auf mehreren Webseiten verschiedene Passwörter verwenden, wie es empfohlen wird, müssen Sie diese möglicherweise alle ändern. Das ist mühselig, aber leider unumgänglich, wie auch das BSI empfiehlt.


Sie haben Fragen oder möchten eine SAP System Demo?
Gerne beraten wir Sie in einem persönlichen Gespräch.

Sie benötigen Unterstützung oder haben Fragen?

Kontaktieren Sie uns. Wir beraten Sie gerne!


Produkte SAP Mail – MailCenter

SAP Mail


Produkte SAP Monitoring – HotM

SAP Monitoring


Weitere Blogbeiträge
peppol xrechnung zugferd munich enterprise software
digitale rechnung, xrechnung, erechnung im unternehmenRichVintage_istock__id_1172587375
xrechnung_erechnung_b2g_pflicht
Di Geschichte der E-Mail
SAP HANA S/4HANA
sap gui 7.60 download softwarecenter downloads
E-Mail Knigge
SAP Gateway
E-Mail Sicherheit