E-Mails: Die fünf größten Sicherheits-Irrtümer
von Tina Siering
1972 wagte ein kanadischer IT-Berater namens Ian Sharp eine Prognose, die als eine der größten Fehleinschätzungen der Computertechnologie eingehen sollte. Herr Sharp war damals felsenfest überzeugt, dass die „E-Mail ein total unverkäufliches Produkt“ sei. Heute, 50 Jahre später, ist die elektronische Post zum wichtigsten digitalen Kommunikationsmittel überhaupt geworden. Mehr als 200 Milliarden E-Mails werden 2022 verschickt – und das pro Tag. Doch nicht nur für die Kommunikation zwischen Privatpersonen oder Unternehmen ist die E-Mail unverzichtbar geworden, auch als Marketinginstrument wird die Mail gerne und häufig eingesetzt. Rund zwei Milliarden Euro investiert die deutsche Wirtschaft jährlich in E-Mail-Werbung.
Trotz oder gerade wegen der langen Geschichte ranken sich um die E-Mail immer noch Sicherheits-Mythen. Die fünf größten Sicherheits-Irrtümer im Umgang mit E-Mails haben wir in diesem Beitrag für Sie kompakt zusammengefasst. Es überrascht dabei nicht, dass die E-Mail nach wie vor eines der Haupteinfallstore für Cyber-Angriffe auf Unternehmen darstellt.
Irrtum 1: E-Mails sind nur dann gefährlich, wenn man die Anhänge öffnet
Dass sich hinter Dateianhängen – gerade bei E-Mails aus unbekannten Quellen – häufig Schadcode verstecken kann, die per Mausklick den Rechner des Empfänger infizieren, hat sich weitestgehend herumgesprochen. Hartnäckig hält sich aber der Irrglaube, dass das reine Anschauen einer empfangenen Mail keine Gefahr darstellt. Das ist leider falsch. Denn auch in vermeintlich „harmlosen“ Mails ohne Anhang kann schädlicher Code lauern! Das Problem liegt im Komfortfaktor moderner E-Mails. Im Gegensatz zu reinen Text-E-Mails werden heute vielfach Mails mit HTML-Code versendet. Was den Empfänger mit z. B. angereicherten Grafiken freut, macht auch den Cyberkriminellen glücklich. Denn im Quellcode einer mit HTML formatierten E-Mail lässt sich mühelos Schadcode verstecken, der bereits beim Öffnen der E-Mail auf dem Rechner des Empfängers aktiviert wird. Auch der Versand von Spam-E-Mails wird durch das HTML-Format deutlich vereinfacht. Über kleine, zumeist unsichtbare Bilder – die sogenannten Web Bugs – erhalten Spam-Absender Erfolgsstatistiken zur Öffnungsrate. Die Folge bei Öffnung: Noch mehr Spam an die betroffene Adresse.
Lösung: Deaktivieren Sie unbedingt die Anzeige von E-Mails im HTML-Format in Ihrem Mailprogramm und akzeptieren Sie die weniger komfortable Ansicht des Reintexts, gehen aber auf Nummer sicher. Bei vertrauenswürdigen Absendern können Sie im Nachhinein die HTML-Anzeige per Klick aktivieren und die Inhalte der Mail mit gewohntem Komfort betrachten.
Irrtum 2: Spam-Mails lassen sich mit einem Klick aus dem Verteiler löschen
Spam-Mails können im Alltag sehr lästig sein. Ob unaufgeforderte Werbung oder versuchtes Phishing: Unzählige Spam-Nachrichten flattern täglich in die Postfächer. Viele der Spam-Mails enthalten Links, mit denen sich die eigene Adresse aus dem Verteiler löschen lassen soll. Falls kein Link zum Abmelden vorhanden ist, wird sich auch gerne mit einer Antwort an den Absender gewendet – in der Hoffnung, mit ein paar Zeilen für alle Zeiten Ruhe vor zumindest diesem einen Spam-Absender zu haben. Dummerweise haben sowohl Links als auch Antworten eine einzige Konsequenz: noch mehr Spam.
Lösung: Egal, um welche Art unaufgeforderter und unbekannter E-Mail es sich handelt, klicken Sie unter gar keinen Umständen auf die Links zur vermeintlichen Löschung der E-Mail-Adresse! Denn mit Ihrer Reaktion signalisieren Sie dem Absender, dass Ihre Mail-Adresse aktiv genutzt wird. Schlimmstenfalls wird Ihre Mailadresse in kriminellen Kreisen gehandelt. Ignorieren und löschen Sie diese daher am besten ungelesen. Mit Spam-Filtern, die auch als Freeware erhältlich sind, sowie einer Zweit-Mail-Adresse für die Nutzung von Online-Diensten können Sie Ihr Haupt-Postfach größtenteils von Spam freihalten.
Irrtum 3: Ich kenne die Adresse, die im Absender-Feld der E-Mail steht. Dann kenne ich auch den Absender!
Aktuelle E-Mail-Programme oder Webdienste zeigen zu einer Mail den Namen des Absenders oder eine Organisation an. Wenn der Absender bekannt ist, kommt natürlich auch die Mail von der genannten Person. So die gängige, weit verbreitete Annahme. Die leider komplett falsch ist, denn die Absenderadresse einer E-Mail lässt sich überaus einfach fälschen! Doch nicht nur das: Bei E-Mails von bekannten Personen kann es sich auch dann um Spam handeln, wenn der Absender der richtige ist. Denn wenn ein Rechner von einem Schadprogramm befallen ist, kann dieses automatisch das Adressbuch des Opfers nutzen, beispielsweise um massenhaft Spam zu versenden.
Lösung: Wenn Sie mit dem Mauszeiger über den im Mail-Programm angezeigten Namen fahren, wird Ihnen entweder direkt neben dem Mauszeiger oder am unteren Bildschirmrand der tatsächliche Absender angezeigt. Wenn aus Ihrem bekannten Kollegen Mustermann plötzlich bgfffurf@spam.ru wird, sollten bei Ihnen alle Alarmglocken läuten.
Irrtum 4: Phishing-Mails erkennt man doch ganz leicht!
Phishing ist ein Kofferwort aus dem englischen Begriff „fishing“ für Angeln und dem initialen „P“ für Passwort. Mit dieser Form der Cyberkriminalität versuchen Angreifer, Ihre Zugangsdaten zu E-Mail-Konten, dem Online-Banking oder Ihren Online-Shops abzugreifen. Ein der gängigsten, weit verbreitetsten Methoden ist dabei das Fälschen von bekannten Online-Diensten wie Paypal, Amazon oder auch Ihrer Hausbank. Der bekannte „Prinz aus Namibia“, der Ihnen in gebrochenem Deutsch ein paar Millionen Dollar überlassen will, wenn Sie nur dem beigefügten Link folgen, ist längst passé. Moderne Angreifer setzen vielmehr auf professionell gefälschte E-Mails inklusive Logo des Unternehmens, „offizieller“ Signatur und natürlich der persönlichen Ansprache. Gängig ist es, die Mail mit Hinweisen auf Sicherheitsvorfälle („Ihr Konto wurde gehackt. Bitte aktualisieren Sie jetzt Ihre Zugangsdaten!“) anzureichern. Folgt man den Links in den Mails, landet man regelmäßig auf ebenfalls professionell nachgebauten Webseiten, die sich auf den ersten Blick nicht von den Originalen unterscheiden.
Lösung: In der Kopfzeile der E-Mail, dem sogenannten Header, verbirgt sich in vielen Fällen der echte Absender der E-Mail. Den Header können Sie sich in Ihrem E-Mail-Programm anzeigen lassen. In den Zeilen, die im Header mit „Received From“ bezeichnet werden, finden Sie den Versender. Aber Achtung: Auch die Header lassen sich fälschen! Oder die Absenderadresse weicht nur minimal von der Original-Adresse ab, sodass Sie mit einem flüchtigen Blick keine Gewissheit erzielen werden. Auch fehlende oder falsche Anreden, wie sie in der Vergangenheit immer mal wieder vorkamen, sind durch die gestiegene Professionalität der Cyberkriminellen kaum noch als Indiz für Phishing-Mails verwendbar. Im Zweifel gilt immer der Grundsatz: Folgen Sie unter keinen Umständen den Links in Mails, die Sie nicht eindeutig einem bekannten Kontakt zuordnen können. Loggen Sie sich direkt auf der Seite des Anbieters ein und prüfen Sie dort, ob tatsächlich eine Aktion notwendig ist.
Linktipp: https://www.secion.de/de/blog/blog-details/woran-erkenne-ich-eine-phishing-mail
Irrtum 5: E-Mails muss man nicht verschlüsseln
Sie verschicken regelmäßig E-Mails mit personenbezogenen Daten und verzichten auf eine Verschlüsselung? Dann könnten Sie unter Umständen ein sehr teures Problem bekommen! Denn was bereits im Bundesdatenschutzgesetz vorgeschrieben war, ist durch die DSGVO nochmals strenger geworden. Ob im privaten oder gewerblichen Bereich: E-Mails mit personenbezogenen Inhalten müssen immer und grundsätzlich vor fremdem Zugriff geschützt werden – eben durch eine sichere Verschlüsselung. Wenn Sie auf die Verschlüsselung verzichten, kann dies gerade im gewerblichen Bereich zu hohen Strafzahlungen führen. Und zusätzlich zu deutlich erhöhtem Aufwand, denn Datenschutzverletzungen müssen gemäß DSGVO den zuständigen Aufsichtsbehörden und den betroffenen Personen gemeldet werden.
Lösung: Jede E-Mail, die personenbezogene Daten beinhaltet, muss tatsächlich verschlüsselt werden. Mit Verschlüsselungs-Gateways, die einfach und schnell implementiert werden, gehören Datenschutzverletzungen ohne weiteres Zutun der Vergangenheit an. Ganz nebenbei erhöht die Verschlüsselung die Sicherheit Ihrer E-Mails deutlich – denn immerhin stellen Sie so sicher, dass nur Sie und der gewünschte Empfänger die Inhalte aufrufen, lesen und verwerten kann.
Linktipp: https://www.secion.de/de/blog/blog-details/die-meist-aufgedeckten-e-mail-sicherheitsluecken-aus-unseren-penetrationstests
Fazit
Die E-Mail ist rund 50 Jahre alt – und gehört noch lange nicht aufs Abstellgleis der Kommunikation. Im Gegenteil: Ohne E-Mail läuft gerade im gewerblichen Bereich fast nichts. So allgegenwärtig die E-Mail auch ist, so umfangreich sind auch die Wissenslücken, wenn es um die Sicherheit geht. Mit kleinen Maßnahmen und dem Grundsatz „Zuerst denken, dann klicken“ lassen sich die größten Sicherheits-Irrtümer zuverlässig und dauerhaft beseitigen.
Denken Sie daran: E-Mails sind immer noch eines der Haupteinfallstore für Malware und Ransomware-Angriffe! Phishing, virenverseuchte Attachments und auch Spam stellen konkrete Bedrohungen für Ihre IT-Sicherheit dar. Der Schlüssel zu einem hohen Sicherheitsniveau in der IT ist eine Sicherheitsstrategie, die alle potenziellen Gefahrenquellen berücksichtigt. Dazu gehören auch die eigenen Mitarbeitenden. Mit gezielten Social-Engineering-Trainings sowie Sicherheitslösungen wie einer geeigneten Lösung zur Angriffsfrüherkennung lässt sich das Niveau der IT-Sicherheit deutlich steigern.