E-Mail Sicherheit – Warum und wie?

47 / 100

Vermutlich sind Sie hier gelandet, weil Sie sich eines der folgenden Fragen stellen:

  • Was kann ich tun, um E-Mails sicher zu machen?
  • Wie erkenne ich eine Phishing E-Mail?
  • Wie kann ich überprüfen, ob der E-Mail Anhang sicher ist?
  • Ist mein E-Mail Anbieter sicher? 
  • Wie wichtig ist das Thema E-Mail Sicherheit?

Oder Sie möchten einen generellen Überblick zu dem Thema E-Mail Sicherheit bekommen. Ganz gleich, warum Sie hier sind, wir werden Ihnen ein paar interessante Fakten und Maßnahmen mit auf dem Weg geben. 

Was bedeutet E-Mail Sicherheit?

Allgemein könnte man das Thema folgendermaßen definieren: E-Mail-Sicherheit befasst sich mit der Gesamtheit aller Maßnahmen, die dem Schutz von E-Mail-Konten und Inhalten, vor Unberechtigten dienen. Konkret umfasst die E-Mail Kommunikation folgende Angriffsflächen:

  • Bösartige Mails, mit denen:
    • Phishing betrieben wird,
    • Malware eingeschleust werden kann 
  • das Mitlesen von E-Mails 
  • der unberechtigte Zugriff auf E-Mail-Konten

Auf die Bedeutung dieser Methoden werden wir später eingehen. Zunächst einmal möchten wir erläutern, warum E-Mail-Sicherheit für Sie oder Ihr Unternehmen eine wichtige Rolle spielen sollte.

Warum ist E-Mail Sicherheit wichtig?

In Deutschland liegt der Anteil der E-Mail-Nutzer bei rund 86%. Es wird prognostiziert, dass die Anzahl der weltweiten E-Mail Nutzer im Jahr 2024 bei 4,48 Mrd. Menschen liegen könnte [1]. Die Kommunikation per E-Mail gehört sowohl für Unternehmen als auch Privatpersonen zur Normalität. E-Mails sind akzeptiert, beliebt und vielseitig nutzbar. 

Diese hohe Nutzerzahl sorgt auch bei Cyberkriminellen für Aufsehen. E-Mails stellen ein hervorragendes Einfallstor in Netzwerke dar und bieten eine Angriffsfläche für das Abfangen, Manipulieren, Vernichten und Veröffentlichen von sensiblen Daten. Außerdem können durch Schadsoftware, die mithilfe von E-Mails in das Netzwerk gelangen, Unternehmen erpresst werden.

  • Unternehmensnetzwerke könnten durch Malware ausgespäht und interne Daten geleakt werden.
  • Kriminelle könnten E-Mails mitlesen.
  • Durch Phishing können Kontodaten und Passwörter abgegriffen werden. 

Die Folgen, insbesondere für Unternehmen, sind verheerend. Der finanzielle Schaden kann extrem hoch ausfallen. Außerdem sollte der mögliche Imageschaden nicht außen vor gelassen werden. 

Phishing und wie Sie sich davor schützen 

So könnte es ablaufen

Es ist 9 Uhr Morgens. Sie sitzen am Schreibtisch und möchten Ihre E-Mails überprüfen. Sie haben eine neue E-Mail erhalten. Der Betreff lautet: “Ihre Daten sind veraltet”. Durch einen Klick auf die Nachricht wird klar, dass die E-Mail von der Sparkasse zu sein scheint. Dies verrät die außerordentlich gelungene Formatierung, mit dem Logo und den Farben der Sparkasse. Die Nachricht beginnt mit einer persönlichen Anrede. In der Nachricht werden Sie aufgefordert, Ihre veralteten Daten zu aktualisieren. Hierzu sollen Sie sich mithilfe des angegebenen Links auf die Online-Banking-Seite der Sparkasse einloggen. Wenn Sie dem binnen 14 Tagen nicht nachkommen, droht ein Entgelt.

Doch irgendetwas stimmt hier nicht. Eigentlich hatten Sie Ihre Daten doch erst vor kurzem der Sparkasse mitgeteilt. Nach einem kurzen Blick auf die E-Mail-Adresse fällt auf: Diese E-Mail kommt nicht von der Sparkasse. Hier sind Kriminelle am Werk. Sie löschen die E-Mail und sind froh, dank Ihrer Scharfsinnigkeit einer Katastrophe entgangen zu sein.

So oder so ähnlich könnte eine Phishing Attacke ablaufen. In unserem Szenario ist nochmal alles gut gegangen. Doch wie würde die Geschichte enden, wenn Sie nicht so aufmerksam gewesen wären? 

So könnte es ablaufen: Ihnen ist nicht aufgefallen, dass es sich um eine Phishing-Mail handelt. Sie folgen der Link zur Sparkasse und loggen sich in den Banking-Account ihrer Firma ein. Kriminelle können den Anmeldenamen und die PIN abfangen. Jetzt haben nicht nur Sie Zugriff auf den Banking-Account. Informationen zu Ihren Überweisungen könnten mitgelesen werden. Cyberkriminelle sehen, wen Sie wann wie viel überwiesen haben. Die Daten können geleakt werden und an die Öffentlichkeit gelangen. Für den Ruf Ihres Unternehmens wäre das katastrophal. Dieser könnte über Jahre hinweg geschädigt sein. Kunden werden zur Konkurrenz abwandern. Auch datenschutzrechtlich kann dies dem Unternehmen teuer zu stehen kommen. 

Was bedeutet Phishing genau?

Durch gefälschte E-Mails versuchen Kriminelle an persönliche Daten zu gelangen. Hierzu geben Sie sich in der E-Mail als vertrauenswürdige Person oder Institution aus. Beispielsweise als Bank oder Onlineshop. Ziel ist es Passwörter, Kreditkartennummern oder andere sensible Daten abzugreifen. Oft sind Fälschungen schwer zu erkennen. In den meisten Fällen befindet sich in der E-Mail ein Link zu der Webseite. Dabei handelt es sich um eine Nachahmung.

Hinweis: Streng genommen setzt sich der Begriff aus den Wörtern Fishing und Password zusammen (Fischen nach Passwörtern). In den meisten Fällen umfasst der Begriff aber auch das Abfangen von anderen sensiblen Daten.

Phishing Mails erkennen

Grundsätzlich erkennen Sie Phishing-Mails an folgenden Punkten:

Aufforderung zur Eingabe von Daten

Kein Zahlungsdienstleister wird Sie jemals per E-Mail dazu bitten, persönliche Daten wie die PIN oder TAN anzugeben. Allein aus Datenschutz-Rechtlichen Gründen können Sie in diesem Fall mit Sicherheit davon ausgehen, dass es sich um eine Phishing-Mail handelt.

Anhänge und die Aufforderung diese zu öffnen

Hierbei sollten sie vorsichtig sein. Denn bei dem Anhang könnte es sich um eine schädliche Datei handeln.

Schreibweise

E-Mails die mit Übersetzungsdiensten verfasst worden sind, lassen sich schnell als Phishing enttarnen. Noch einfacher wird es, wenn die E-Mail in einer anderen Sprache verfasst worden ist. Voraussetzung hierfür ist natürlich, dass Sie kein Kunde einer Institution im Ausland sind.

Ausgeübter Druck

Phishing E-Mails beinhalten meistens eine Handlungsaufforderung. Damit dieser nachgegangen wird, übt der Cyberkriminelle druck auf sein Opfer aus. Hierfür werden Fristen gesetzt. Sollten diesen nicht nachgegangen werden, wird mit einer Sanktion gedroht.

Beispiele für Sanktionen sind die Sperrung eines Kontos oder die Zahlung einer Mahngebühr.

Expertentipp: In den letzten Jahren hat sich gezeigt, dass Kriminelle immer besser darin werden, Phishing-Mails täuschend echt aussehen zu lassen. Eine korrekte Anrede und plausibler Inhalt allein garantieren keine Gewissheit. Im Zweifelsfall vergewissern Sie sich beim Absender, ob die E-Mail von Ihm verschickt wurde. Neben der theoretischen Erkennung von Phishing-Mails können Ihre Mitarbeiter durch praktische Fälle geschult werden. Bestimmte Unternehmen haben sich auf die Schulung von Mitarbeitern zum Thema Phishing spezialisiert. Durch simulierte Phishing-Attacken wird  geprüft, wie fit Sie und Ihr Personal in der Erkennung bösartiger E-Mails sind. Passende Anbieter können Sie durch securious ermitteln.

Link zu einer gefälschten Webseite

Sobald sich in der Phishing Mail ein Link zu einer Webseite befindet, ist die Webseite womöglich gefälscht. Sie sollten keinesfalls auf den Link klicken (auch nicht aus Neugierde). Hierdurch könnte ein automatischer Download von Malware starten. Sollten Sie dennoch auf den Link geklickt haben, geben Ihnen folgende Indizien Aufschluss darüber, ob die Seite nachgeahmt wurde:

  • Die Seite verfügt über kein HTTPS Zertifikat 

(Dies erkennen Sie daran, dass die Seite mit “https://” beginnt. Außerdem erscheint ein Schlosssymbol neben der Adresszeile des Browsers)

  • Der Domainname ist falsch geschrieben 
  • Das Logo sieht dem originalen nicht gleich aus
  • Das Login-Formular enthält merkwürdige Eingabefelder

Eine weitere Möglichkeit, um Phishing-Seiten zu erkennen, besteht in der Verwendung eines Passwort-Managers. Wenn Sie Ihr Passwort für eine bestimmte Seite im Manager hinterlegt haben, erkennt dieser automatisch, dass Sie sich einloggen wollen. Daraufhin werden Ihre Login Daten ausgefüllt. Falls es sich um eine Phishing Seite handelt, geschieht dies nicht automatisiert, da keine Login Daten hinterlegt wurden.

Cyber Kriminelle gehen nicht nur beim Fälschen von E-Mails immer raffinierter vor. Dies gilt auch bei der Nachahmung von Webseiten. Es war noch nie einfacher als heute, das Design einer Webseite zu kopieren. Auch ein HTTPS Zertifikat bedeutet nicht, dass eine Seite keine Phishing-Seite ist. Dies liegt daran, dass nahezu jeder anonym und kostenlos ein Zertifikat erhalten kann.

Tipp: 

Bei Phishing Mails wird mit der Gutgläubigkeit und den Ängsten der Nutzer gespielt. Durch Wachsamkeit gehen wir den Betrügern seltener an den Haken, als Ihnen lieb ist.

Bösartige Anhänge in E-Mails (Malware)

Befindet sich Schadsoftware in der E-Mail, dann spricht man von Malware. E-Mails stellen für die Verbreitung von Malware das am häufigsten genutzten Mittel dar. Rund 94 % der Malware wird per E-Mail übertragen [2]. Sobald Sie den E-Mail-Anhang öffnen und dadurch einen Programmcode ausführen, wird Ihr System befallen. Das heimtückische hierbei: Ist die Schadsoftware erst einmal aktiv, können auch weitere Systeme befallen werden.  

Insbesondere bei Office Dokumenten also Anhängen mit Endungen wie .doc/.xls/.ppt sollte Vorsicht geboten sein. Rund 48% der E-Mail Anhänge die Malware enthalten, sind Office Dokumente [2]. Aber auch komprimierten Dateien (.zip/.rar) sowie .exe und .html – Dateien sind gute Kandidaten für das Einschleusen von Malware. 

Häufig wird angenommen, dass die Bezeichnung “Virus” als Oberbegriff für sämtliche Malware steht. Dies ist aber nicht der Fall. Vielmehr gehört dieser Begriff zur Unterkategorie der Malware. Neben den Viren gibt es noch einige andere Arten von Schadsoftware. Hierunter zählen z.B. Computerwürmer, Trojaner, Spyware und Ransomware. Jedoch haben diese Malware-Arten alle dasselbe Ziel: Cyberkriminelle wollen Gewinn machen. Mithilfe von Malware werden Daten abgefangen oder gelöscht, Zugänge geschaffen und Ihr Unternehmen ausspioniert. Sobald das System oder Netzwerk befallen wurde, machen sich Unternehmen schnell erpressbar. 

Schutzmaßnahmen gegen Malware und Phishing

Den Versand von Spam E-Mails verhindern

Wussten Sie, dass Kriminelle E-Mail-Adressen Ihres Unternehmens nutzen könnten, um damit Malware zu verbreiten? Wenn eine Person Ihre E-Mail benutzt, um Ihre Identität vorzutäuschen, spricht man auch von Mail-Spoofing. Hierfür kann ein Angreifer einen beliebigen E-Mailserver nehmen und einfach den Absender fälschen.

Jedoch gibt es gängige Methoden, um die Echtheit des Absenders zu gewährleisten und somit den Empfang von Spam- und Virenmails mit gefälschten Absender zu verhindern. Diese nennen sich: SPF, DMARC und DKIM 

Am einfachsten ist es das SPF (Sender Policy Framework) zu implementieren. SPF stellt sicher, dass E-Mails nur von einem bestimmten Server gesendet werden dürfen.

Somit kann eine gefälschte E-Mail sofort als Spam gekennzeichnet werden, wenn die E-Mail von einem anderen Server gesendet wird. Ein weiterer Vorteil von SPF ist, dass vertrauenswürdige E-Mails nicht mehr in dem Spam Ordner landen werden.  

Um sicherzustellen, dass das SPF bei Ihnen (richtig) implementiert ist, können Sie auf Anbieter wie mail-tester.com zurückgreifen. Hierfür geben Sie einfach den Namen Ihrer Domain an und das Tool ermittelt, ob das SPF vorhanden ist.

Tipp: Sind Sie schon ein Securious Mitglied? Dann ermittelt unser Tool automatisch für Sie, ob SPF vorhanden ist und wie Sie dieses einrichten können. 

Antivirenprogramm

Antivirenprogramme gehören zur Basisausstattung in puncto IT-Sicherheit. Auch für die E-Mail-Sicherheit sind sie unumgänglich. So können Antivirenprogramme Mails während des Empfanges auf Schädlinge prüfen.

Verwendung eines dedizierten Mail-Anbieters

Große E-Mail Anbieter wie Google Workspace (früher G Suite) oder Office 365 bieten erweiterte Schutzmaßnahmen gegen Spam und Viren. Außerdem muss das Unternehmen hier den Server nicht selber verwalten, da dies durch den Anbieter gemacht wird und im Regelfall somit eine höhere Sicherheit bietet.

Das Mitlesen von E-Mails verhindern

Wenn E-Mails auf ihren Versandwegen von Cyberkriminellen mitgelesen oder abgefangen werden, spricht man auch von einem Man-in-the-Middle-Angriff. Stellen Sie sich eine unverschlüsselte E-Mail wie eine Postkarte vor. Jeder der diese in den Händen hält, kann den Inhalt lesen, verändern oder die E-Mail unter falschen Namen weiterschicken. Insbesondere die Nutzung eines öffentlichen Netzwerkes (Hotspot, Café, Flughafen), macht das Abfangen von E-Mails für Cyberkriminelle zu einem leichten Spiel.

Verschlüsselungsmethoden

Um die Kommunikation zwischen Sender und Empfänger zu schützen, können diverse Verschlüsselungsmethoden zum Einsatz kommen. 

Punkt-zu-Punkt Verschlüsselung

Eine TLS/SSL Verschlüsselung ist bei den gängigen E-Mailanbietern der Standard.

SSL ist der Vorgänger von TLS. Bei diesen Verfahren wird der Übertragungskanal verschlüsselt. Sie können sich die Verschlüsselung wie eine Reise durch einen sicheren Tunnel vorstellen. Die E-Mails reisen als Datenpakete zwischen Servern. Dabei durchqueren Sie Zwischenstationen (Knotenpunkte).

Falls Sie E-Mail-Programme wie beispielsweise Outlook nutzen, sollte sichergestellt werden, dass TLS richtig konfiguriert und aktiviert ist. Außerdem sollten ausschließlich TLS- Protokolle benutzt werden. Ebenfalls ist es wichtig, die aktuelle Version zu benutzen. Ansonsten könnten Angreifer in der Lage sein, Ihre E-Mails mitzulesen und auch zu verändern. Sobald Sie Online auf Ihre E-Mails zugreifen, achten Sie darauf, dass der Anbieter HTTPS auf seiner Seite benutzt.

Ende-zu-Ende Verschlüsselung 

Hiermit werden die Inhalte der E-Mail verschlüsselt. Dies geschieht mit dem sogenannten Schlüssel-Schloss Prinzip. Allerdings wird diese Verschlüsselungsmethode nicht automatisch angewandt. Die beiden gängigsten Methoden nennen sich:

  • PGP/GPG
  • S/MIME

Für eine Ende-zu-Ende Verschlüsselung brauchen sowohl der Absender als auch der Empfänger eine Verschlüsselungssoftware. Leider ist die Implementierung relativ schwierig und führt oftmals zu Komplikationen. Ein weiterer Nachteil besteht darin, dass keine automatische Prüfung auf Schadsoftware vom E-Mail Anbieter erfolgen kann. Dies ist deshalb nicht möglich, da der E-Mail Provider keinen Zugriff mehr auf den Inhalt der Mail hat. 

Auch wenn also eine E-Mail Verschlüsselung sicherstellt, dass diese nur der Empfänger unverändert lesen kann, wird dies nur bei Inhalten angewandt, die streng Geheim sind. Dies wird also für die meisten kleinen Unternehmen nicht von großer Relevanz sein.

Fazit

E-Mail-Sicherheit spielt sowohl für Unternehmen als auch Privatleute eine extrem wichtige Rolle. Insbesondere Unternehmen setzen sich durch Cyberkriminelle einem hohen Risiko aus. Hackerangriffe sind mit einem immensen Schaden verbunden und E-Mail Kommunikation dient hier oft als Einfallstor. Mithilfe eines richtig konfigurierten TLS Protokolls, SPF, Antivirenprogrammen und einem dezidierten E-Mail Anbieter, machen Sie es Angreifern schwer. Darüber hinaus ist ein wachsames Auge für das Erkennen von bösartigen E-Mails wichtig. 

FAQ

Wie kann ich verhindern, dass meine E-Mails im Spam Ordner landen?

Mithilfe von Methoden, wie SPF, DMARC oder DKIM können Sie Providern zeigen, dass es sich um eine seriöse und verifizierte E-Mail handelt. So wird die Wahrscheinlichkeit verringert, dass Ihre E-Mails im Spam Ordner landen.

Wie kann ich sichergehen, dass Angreifer meine E-Mail nicht für den Versand von Malware oder Phishing E-Mails an meine Kunden benutzen können?

Auch hierbei hilft die Verwendung von Frameworks und Methoden, wie SPF, DMARC oder DKIM. Am einfachsten ist es SPF zu implementieren. Hierdurch stellen Sie sicher, dass Ihre E-Mails auch nur von Ihrem Server gesendet werden dürfen.

Bin ich sicher, solange ich den E-Mail-Anhang nicht öffne?

Nicht unbedingt. Nicht nur den Anhang könnte Schadcode enthalten. Viele E-Mails werden heutzutage nicht mehr als reine Text E-Mails verschickt. Oftmals werden diese mittels HTML-formatiert. Dadurch kann sich im Quellcode bösartiger Code verstecken. Sie sollten die Anzeige von E-Mails im HTML-Format standardmäßig deaktiviert lassen.

Kann ich E-Mails auf Malware prüfen?

Dedizierte E-Mail Anbieter wie Google Workspace (früher G Suite) untersuchen alle eingehenden und ausgehenden E-Mail auf Viren. Weiterhin ist das Antiviren-Programm auf den eigenen Rechner ein  Abwehrmechanismus, der die E-Mails und die heruntergeladenen Anhänge auf Gefahren untersucht. Seien Sie sich dennoch bewusst, dass solche Programme nicht alle bösartigen Inhalte finden können.

Sind E-Mails immer verschlüsselt?

Die meisten E-Mails werden zwischen den Servern verschlüsselt transportiert. Wenn man ein Programm zum Abruf der E-Mail benutzt (zb Outlook), sollte sichergestellt werden, dass dies stets mithilfe von TLS/SSL gemacht wird, damit andere Personen die E-Mail nicht mitschneiden können.

[1]https://de.statista.com/statistik/daten/studie/204272/umfrage/nutzung-des-internets-fuer-versenden-empfangen-von-e-mails-in-deutschland/

[2] https://www.phishingbox.com/news/phishing-news/verizon-data-breach-investigations-report-dbir-2019

Ist Ihr Unternehmen vor Hackern geschützt? 

Mithilfe der Lösung von securious können Sie selbstständig das Sicherheitsniveau Ihres Unternehmens ermitteln. Darüber hinaus schlagen wir Ihnen konkrete Maßnahmen mit Anleitungen zur Einführung eines Basisschutzes vor.

Sie haben keine Zeit oder Expertise um die Maßnahmen umzusetzen? Kein Problem! Wir verfügen über einen breiten Pool von IT-Sicherheitsexperten, die nur darauf warten, die Welt ein Stück sicherer zu machen. 

Jetzt Demo-Termin vereinbaren*

*Unverbindlich und kostenlos

Similar News:
News
Teilnahme am Ignition Accelerator Programm
Wir freuen uns am Ignition Accelerator Programm in Düsseldorf teilnehmen zu dürfen. Das Ignition-Programm...
Read More
News
Wir sind Startup of the Month!
Wir wurden vom ruhr:HUB zum Startup of the Month ausgewählt.  Der ruhr:HUB fördert die...
Read More
E-Mail Sicherheit
Allgemein
E-Mail Sicherheit – Warum und wie?
Vermutlich sind Sie hier gelandet, weil Sie sich eines der folgenden Fragen stellen: Was...
Read More
News
Teilnahme am Ignition Accelerator Programm
Wir freuen uns am Ignition Accelerator Programm in Düsseldorf teilnehmen zu dürfen. Das Ignition-Programm...
Read More
News
Wir sind Startup of the Month!
Wir wurden vom ruhr:HUB zum Startup of the Month ausgewählt.  Der ruhr:HUB fördert die...
Read More