Illustration Absmeier foto freepik ki

Ein digitaler Alltag ohne E-Mails ist für die meisten kaum vorstellbar. Das kann jedoch auch Gefahren bergen – nicht nur weil das E-Mail-Postfach ein beliebtes Ziel von Phishing-Angriffen ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Deutschland sicher im Netz (DsiN) möchten daher gemeinsam darüber aufklären, wie Verbraucherinnen und Verbraucher E-Mails sicher nutzen können. Zum Safer Internet Day (SID) nehmen sie Mythen rund um die Sicherheit von E-Mail-Kommunikation unter die Lupe. Der Safer Internet Day ist ein Aktionstag rund um den sicheren Umgang mit digitalen Medien.

Caroline Krohn, Fachbereichsleiterin Digitaler Verbraucherschutz im BSI: »Bereits der Absender einer E-Mail ist vergleichsweise leicht manipulierbar. Daher empfiehlt sich, immer auch die vollständige E-Mail-Adresse des Absenders anzeigen zu lassen. Passen der angezeigte Absendername und die E-Mail-Adresse nicht zusammen, ist Vorsicht geboten. Generell gilt: Links und Anhänge sollten nur mit Vorsicht geöffnet werden, denn auch das Gerät eines eigentlich vertrauenswürdigen Absenders kann mit einem Schadprogramm infiziert sein.«

BSI und DsiN empfehlen außerdem, den Zugriff zum eigenen E-Mail-Postfach mit einer Kombination aus starkem Passwort und Zwei-Faktor-Authentisierung zu schützen. Gelangen Unbefugte zum Beispiel durch einen Phishing-Angriff an das Passwort, reicht dies dann nicht mehr aus, um das jeweilige Benutzerkonto zu übernehmen. Eine sichere Alternative zu Passwörtern bieten außerdem Passkeys: Da Nutzerinnen und Nutzer sich dank des passwortlosen Verfahrens kein Passwort mehr merken müssen, kann dies auch nicht mehr in falsche Hände geraten.

Isabelle Rosière, DsiN-Geschäftsführerin: »Phishing-Maschen werden immer geschickter: Mitunter gelingt es dabei auch, die Zwei-Faktor-Authentisierung zu umgehen. Cyberkriminelle erstellen etwa täuschend echt aussehende Webseiten, die bekannte Seiten imitieren. Während Nutzerinnen und Nutzer ihr Passwort und den Einmalcode aus ihrer Authentifizierungs-App eingeben, lesen Angreifer die Daten in Echtzeit mit und greifen auf das Benutzerkonto zu. Misstrauen ist etwa dann angebracht, wenn eine Institution per E-Mail oder am Telefon um die Weitergabe von Zugangsdaten bittet.«

Von Phishing-Mails bis E-Mail-Verschlüsselung untersucht das BSI auf seiner Webseite bekannte Mythen rund um die Sicherheit von E-Mail-Kommunikation genauer und gibt Verbraucherinnen und Verbrauchern niedrigschwellige Handlungsempfehlungen zur Prävention. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Sicherheitsirrtuemer/irrtuemer-e-mail-sicherheit.html

Auf sicher-im-netz.de gibt es außerdem weitere Hinweise rund um E-Mail-Sicherheit von DsiN. https://www.sicher-im-netz.de/e-mail-und-messenger-sicher-nutzen

Im vierten Teil der Reihe »Sicherheits-Irrtümer im Internet« beschäftigt sich das BSI mit dem Thema »E-Mail-Sicherheit«. Es existieren Dutzende Missverständnisse, die ständig wiederholt und allzu schnell als Wahrheit hingenommen werden, ohne dass sie tatsächlich belegbar sind. Das BSI hat einige gängige Irrtümer identifiziert und zeigt auf, wie die Risiken, die aus einem falschen Verständnis von IT-Sicherheit resultieren, minimiert werden können.

Irrtum 1: »Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts passieren.«

Das trifft leider nicht zu.

Viele E-Mails werden heute im HTML-Format verschickt. Im Gegensatz zu reinen Text-E-Mails sind diese oftmals farbig, mit verschiedenen Schriften und Grafiken gestaltet. Im sogenannten Quellcode einer HTML-formatierten E-Mail lauert die Gefahr: Denn dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der HTML-E-Mail auf dem Computer des Empfängers ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss.

Auch Spammer greifen gerne auf HTML-E-Mails zurück, um die Gültigkeit einer E-Mail-Adresse zu verifizieren. Dies erfolgt über sogenannte »Webbugs«, kleine meist unsichtbare Bilder, welche beim Öffnen der E-Mail von einem Server der Spammer geladen werden und diesen damit den Empfang der E-Mail signalisieren. Deshalb sollten Nutzer in ihrem E-Mail-Programm die Anzeige von E-Mail im HTML-Format deaktivieren. Die E-Mails werden dann zwar nur im Reintext angezeigt und können schlecht lesbar und unvollständig erscheinen, bergen dafür aber weniger Gefahren. Bei vertrauenswürdigen Absendern kann die Empfängerin oder der Empfänger der E-Mail per Klick auf eine Schaltfläche die HTML-Ansicht aktivieren und die Inhalte vollständig betrachten.

Irrtum 2: »Das Antworten auf Spam-Mails birgt keine Gefahr, man kann auch den Links zum Löschen aus dem Verteiler folgen.«

Das stimmt nicht.

Unter dem Begriff Spam werden verschiedene Arten unerwünschter E-Mails zusammengefasst. Dazu gehören unaufgefordert zugesandte Werbung für teilweise zweifelhafte Produkte und Dienstleistungen, Nachrichten mit merkwürdigen Inhalten und sogenannte Phishing-E-Mails, die der Empfängerin oder dem Empfänger unter Vorspiegelung falscher Tatsachen Zugangsdaten zu Online-Shops oder Zahlungsdiensten entlocken wollen.

Egal, um welche Art unaufgeforderter E-Mail es sich handelt, Empfängerinnen und Empfänger sollten diese ignorieren und umgehend löschen, am besten ohne sie zuvor überhaupt zu öffnen.

Auf gar keinen Fall sollten Nutzerinnen und Nutzer Links folgen, die vermeintlich dazu führen, dass die Empfängeradresse aus der Liste gelöscht wird. Denn sobald Sie als Empfängerin oder Empfänger auf solch eine E-Mail reagieren, weiß der Versender, dass Ihre Adresse gültig und aktiv ist. Die Folge ist ein umso höheres Spam-Aufkommen in Ihrem E-Mail-Eingang. Es kann empfehlenswert sein, sich eine zweite E-Mail-Adresse für die Nutzung von Online-Diensten etc. anzulegen. So kann man Spam-E-Mails zumindest aus seinem Haupt-E-Mail-Postfach weitgehend fernhalten. Zudem können als Freeware erhältliche Spam-Filter genutzt werden.

Irrtum 3: »Eine E-Mail kommt immer von der Adresse, die im Absender-Feld steht.«

Das ist falsch, denn Absenderadressen von E-Mails können mit geringem Aufwand beliebig gefälscht werden.

Hinter dem in einer E-Mail angezeigten Namen einer Person oder Organisation kann sich ein ganz anderer Absender verbergen – dies ist üblicherweise bei illegalen Aktivitäten der Fall, wie Spam-Versand oder dem Versuch, den Computer einer Nutzerin oder eines Nutzers mit Schadsoftware zu infizieren.

Einen ersten Hinweis auf den Absender erhält man, wenn man mit der Maus über den angezeigten Namen fährt. Je nach E-Mail-Programm wird dann neben der Maus oder am unteren Bildschirmrand die – angeblich – verwendete E-Mail-Adresse angezeigt.

Die Echtheit des Absenders lässt sich durch die Verifikation des so genannten E-Mail-Headers ermitteln. Der Header beziehungsweise Quelltext der E-Mail kann im E-Mail-Programm angezeigt werden. In den mit »Received From« bezeichneten Zeilen können Nutzer den Weg der E-Mail verfolgen. Der Versender findet sich in der letzten Received-From-Zeile. Teilweise manipulieren Angreifer aber auch die Received-Zeilen, sodass es schwieriger wird, die tatsächliche Herkunft der E-Mail festzustellen. Deswegen gilt bei Zweifeln an der Herkunft einer E-Mail immer: Nicht öffnen, sondern direkt löschen.

Auch bei E-Mails von scheinbar bekannten Absendern kann es sich um Spam handeln, beispielsweise wenn ein Rechner von einem Schadprogramm befallen wurde, das automatisch Nachrichten an die Personen im Adressbuch des Opfers versendet. Hier hilft oftmals schon ein Blick auf die Betreffzeile, um zu beurteilen, wie wahrscheinlich es ist, dass gerade diese Person beispielsweise eine englische Formulierung oder einen für sie untypischen Ausdruck verwendet. Weiterführende Informationen zu E-Mails mit gefälschtem Absender finden Sie hier.

Irrtum 4: »Phishing-E-Mails sind leicht zu erkennen.«

Das ist nicht korrekt.

Ziel von Phishing (zusammengesetzt aus dem englischen Begriff »fishing« für Angeln und dem vorangestellten »P« wie Passwort) ist, den Opfern Zugangsdaten zu Online-Shops, Online-Banking, E-Mail-Konten oder anderen Internet-Diensten zu entlocken. Eine der beliebtesten Methoden dabei ist, E-Mails von Diensten wie Paypal oder Amazon zu fälschen und die Empfänger darin aufzufordern, einem Link zu folgen, um dort beispielsweise Stornierungen oder eine angeblich sicherheitsrelevante Bestätigung der Nutzerdaten vorzunehmen.

Die Aufmachung solcher E-Mails und auch der Webseiten, auf die darin enthaltene Links führen, sehen den Original-E-Mails und Webseiten oftmals täuschend ähnlich. Einen Hinweis, ob es sich um eine Phishing-Mail handelt, gibt die bereits in Irrtum 3 erwähnte Kopfzeile der E-Mail (Header), wo die vollständige Absenderadresse sichtbar wird und teilweise nur marginal vom Original-Absender abweicht. Manchmal fehlt auch die Anrede im E-Mail-Text. Die Versender von Phishing-E-Mails agieren jedoch immer professioneller, sodass auch eine korrekte Anrede oder ein plausibler Inhalt keine Gewissheit bieten.

Auf keinen Fall sollten Sie Links in solchen E-Mails folgen! Im Zweifel können Sie die Seite des Anbieters im Browser aufrufen und sich direkt auf der dortigen Plattform einloggen, um sich zu vergewissern. Empfehlenswert ist zudem die Deaktivierung der HTML-Anzeige im E-Mail-Programm (siehe Irrtum 1).

Weitere Informationen zum Thema Phishing: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/spam-phishing-co.html?nn=132646

Textquelle: BSI

2634 Artikel zu „E-Mail Sicherheit“

News | Geschäftsprozesse | IT-Security | Kommunikation | Tipps

E-Mail-Sicherheit: Die Kommunikation mit Zertifikaten verschlüsseln

4. Juni 2024

In einer Zeit, in der die digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken ist, ist die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit. Die Verschlüsselung von E-Mails und ihren Anhängen ist sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. Darauf machen die Sicherheitsexperten der PSW…