Für viele sind E-Mails ein zentraler Bestandteil des täglichen Lebens – beispielsweise in der Arbeitswelt. Dabei denken sie im Zusammenhang mit dem Thema Cybersecurity oft nur an das Passwort, welches das E-Mail-Konto vor Fremden schützt. Darüber hinaus existiert aber noch eine Reihe anderer Sicherheitsfeatures, die E-Mailing sicherer gestalten.
E-Mail-Sicherheit: Wann sind E-Mails sicher?
In diesem Beitrag bezieht sich E-Mail-Sicherheit sowohl auf den Inhalt von E-Mails als auch auf den Login-Vorgang, um in das E-Mail-Postfach zu gelangen.
E-Mail-Sicherheit endet gewiss nicht mit dem Authentifizierungsprozess beim Login. Auch die Nachrichteninhalte können überprüft und gesichert werden. Ein Absender kann durch eine Authentifizierung beispielsweise seine Identität bestätigen. Selbst die Integrität und Funktionalität der E-Mail-Anwendung kann sicher gestaltet sein.
Dem Administrator eines E-Mail-Accounts bieten sich naturgemäß weitaus mehr Optionen, als jemanden, dessen E-Mail-Account verwaltet wird.
E-Mails sicher verschicken
Nur wenige Menschen sind sich offenbar bewusst, dass das Versenden einer E-Mail oft dem Verschicken einer Postkarte gleicht – der Inhalt ist gut sichtbar. Beim E-Mailversand besteht aber die Möglichkeit, zusätzliche Schutzbarrieren durch E-Mail-Verschlüsselung zu errichten, um den Nachrichteninhalt zu schützen. Eine Methode ähnelt einer Umhüllung mit einem Briefumschlag. Zwar können Fremde immer noch sehen, von wo der Brief kommt und an wen er gerichtet ist. Den Inhalt können sie aber nur beim Empfänger oder Absender einsehen.
Bei der sogenannten „End-to-End“-Verschlüsselung wird die Nachricht beim Sender verschlüsselt, bevor sie „ins Netz“ geschickt wird und erst beim Empfänger wieder entschlüsselt. Unterwegs besteht der Nachrichteninhalt lediglich aus unleserlichen Zeichenketten. Cyberangreifer bräuchten neben der Nachricht auch den Entschlüsselungsschlüssel, um die Nachricht entziffern zu können.
Server-Administratoren entscheiden sich häufig für die Transport Layer Protection, da diese Methode transparent ist und normalerweise keine direkten Interaktionen erfordert. Wenn „End-to-End“-Verschlüsselung erforderlich ist, sollte man sich auch auf Technologien verlassen, die Verschlüsselung einfach und effizient gestalten. Außerdem muss man Regeln schaffen, die greifen, wenn Verschlüsselung unbedingt notwendig ist.
E-Mail-Sicherheit: Nachrichten-Filter
Im Nachrichteneingang des E-Mail-Kontos befinden sich fast täglich ungewollte Nachrichten. Addiert man die Nachrichten-Mengen mit Spam, Scam, Phishing oder Malware-Anhang, lässt sich nur erahnen, wie viel unnötigen Traffic diese Mails verursachen. Viele Webmail-Anbieter bemühen sich, ihre Filterregeln stets auf den aktuellsten Stand zu bringen, damit ihre Kunden vom allermeisten Spam verschont bleiben. Je nach Filterstärke landen mal mehr, mal weniger Spam-Mails im Posteingang.
Die meisten E-Mail-Provider arbeiten mit einer einfachen Blacklist, bestehend aus bekannten Spam-, Phishing- oder Malware-Absendern. Viele Unternehmen wären allerdings gut beraten, ihr Filtern proaktiver zu gestalten. E-Mails können beispielsweise auch anhand des Anhangs gefiltert werden. Man implementiert eine Regel, die Dateiendungen eines E-Mail-Anhangs mit einer Whitelist (bspw. eine Liste mit zulässigen Dateitypen) abgleicht. Ist der Anhang zulässig, wird die Mail zum Empfänger durchgelassen.
Einige Dateitypen scheinen sicherer zu sein als andere. Allerdings können auch diese mächtigen Makro-Code oder schädliche, eingebettete Dateien verstecken. Kein Dateityp ist komplett sicher. Es hilft wenig, sie in Bezug auf ihre potenzielle Gefahr hin zu betrachten. Vielmehr sollte man den Zusammenhang zwischen Risiko und potenziellem Einfluss auf den Workflow prüfen. In Unternehmen werden eben des Öfteren Dokumente, Excel-Tabellen oder Präsentationen per Mail ausgetauscht, als ausführbare .exe-Dateien. Letztere können durch ein Minimum an Aufwand vom E-Mailing ausgeschlossenen werden.
Manche Unternehmen entscheiden sich für das Prüfen von E-Mails, bevor sie das Unternehmensnetzwerk verlassen. Geprüft wird, ob die Nachrichten Malware oder vertrauliche Daten enthalten. Viele Unternehmen operieren mit sensiblen Daten oder Informationen über Kreditkartendaten, Gesundheitszustand oder streng vertraulichen Firmendaten. Sie sind gut damit beraten, stets über den Aufenthaltsort der Daten informiert zu sein. Empfindlicher eingestellte Anti-Malware Gateway-Scanner tragen dazu bei, das E-Mail-Anhänge langsamer und gewissenhafter gescannt werden; was gleichzeitig als weniger auffällig und störend empfunden wird.
E-Mail-Autorisierung und Authentifizierung
Verschleierte E-Mails (Spoofing) sind für Betrüger ein vergleichsweise einfaches Spiel. Die bestehenden Möglichkeiten zur Bekämpfung werden allerdings kaum angewandt. Es gibt Techniken, die helfen, Unzulänglichkeiten im Zusammenhang mit Authentifizierungsproblemen beim E-Mail-Versand zu beheben. E-Mail-Programme können Mitarbeiter und E-Mail-Konten identifizieren und richtige E-Mail-Header verifizieren. Fehlgeschlagene Authentifizierungsversuche kann man für Nachforschungen protokollieren. Leider nutzen noch zu wenige Unternehmen E-Mail-Autorisierungs- und Authentifizierungstechniken. Deren Implementierung trägt aber dazu bei, dass geschäftliche E-Mail-Adressen weniger oft kompromittiert werden.
E-Mail-Autorisierungs- und Authentifizierungstechniken sollten einen Teil der administrativen Hygiene darstellen – genau wie das unverzügliche Löschen nicht länger benötigter E-Mail-Accounts ausgeschiedener Mitarbeiter.
E-Mail-Konten richtig schützen
Jeder, der ein E-Mail-Konto benutzt, ist auch mit der Authentifizierung (Anmeldung) vertraut. Da Login-Daten aber immer mal wieder gestohlen werden, bedarf es zusätzlicher Methoden, um die Kompromittierung von E-Mail-Accounts einzudämmen. Eine ist die Multi-Factor-Authentication – wie beispielsweise die Zwei-Faktor-Authentifizierung. Damit schafft man eine zusätzliche Authentifizierungs-Schutzschicht gegen Cyber-Kriminelle.
Software beeinflusst E-Mail-Sicherheit
Die Sicherheit von E-Mail-Konten hängt auch von der Sicherheit der verwendeten Geräte ab. Diese wird durch Software, dem Betriebssystem oder von Apps beeinflusst. Regelmäßige Aktualisierungen schließen Schwachstellen und tragen zur höheren Sicherheit des System und damit auch zur E-Mail-Sicherheit bei.