Wie geht man richtig mit E‑Mails und Sicherheit um?
Der richtige Umgang mit unbekannten Absendern, E‑Mail Anhängen und Spam-Mails ist sehr wichtig.
Ein Hacker-Angriff oder Befall durch Schad-Software entspricht oft einem Datenschutzvorfall.
Das eigene Passwort oder Kreditkartendaten sollten besser nicht in falsche Hände geraten.
Umso wichtiger ist es, erhaltene E‑Mails so zu handhaben, dass Bedrohungen ausgeschaltet sind.
Nicht benötigte Mails zu löschen ist auch ein Gebot des Datenschutzes.
Umgang mit E‑Mails und Sicherheit
Heutige Spam-Filter sind verhältnismäßig gut, sodass die meisten Mails, die im Posteingang landen, relevant erscheinen.
Jedoch lauern zahlreiche Fallen in E‑Mails, die zu entschärfen sind.
Schließlich geht es nicht nur darum, ob ein Inhalt relevant ist, sondern auch, ob entsprechender Inhalt ungefährlich ist.
Erhaltene Mails
Wird eine Mail empfangen, so landet sie in einer Liste ungelesener Mails.
Manche Mail-Programme bieten eine Vorschaufunktion an. Wenn Sie eine Mail lesen, wird deren Inhalt zuvor geladen. In einer Mail können neben reinen Texten auch Scripte oder Bilder integriert sein.
Sogar das Einbinden von Trackern wie Google Analytics ist möglich.
Bekannt sind die sogenannten Tracking-Pixel in E‑Mails.
Diese dienen einigen Newsletter-Versendern dazu, die Empfangs- bzw. Öffnungsquote von Mails nachverfolgen zu können.
Weniger seriöse Anbieter:innen verwenden die Pixel, um Nutzeraktionen für Werbezwecke nachzuverfolgen.
Hacker:innen nutzen derartige Pixel oder sogar Scripte nicht nur, um den Erhalt einer E‑Mail zu überprüfen. Sie können damit auch Schadcode in Ihr System einschleusen.
Das Setzen eines schädlichen Links in einer E‑Mail ist auf einfache Weise möglich.
Dazu wird eine Mail an Sie geschickt, die seriös aussieht und womöglich sogar angeblich von einer Institution stammt, bei der Sie tatsächlich Kunde sind.
Sogar die Absenderadresse ist oft extrem leicht gefälscht.
Nun gibt es mehrere Varianten, die einem Hacker offenstehen.
Eine Möglichkeit ist ein gefälschtes Login-Formular.
Jede Webseite kann visuell leicht nachgebildet werden. Optisch sieht es so aus, als wäre das Anmeldeformular auf einer Ihnen bekannten Webseite. Wenn Sie nun Benutzernamen und Passwort eingeben, landen die Daten beim Hacker.
Eine andere Möglichkeit ist das Injizieren von JavaScript-Code, das sogenannte Cross Site Scripting (XSS).
Dazu sind Schwachstellen auf Webseiten, die Ihnen bekannt sein könnten, ausgenutzt. Sie landen nach Klicken auf den Link tatsächlich auf der Webseite, die Sie ansonsten auch besuchen würden. Durch einen Code, der an den Link als Parameter angehängt ist, ist die Webseite nach Aufruf manipuliert. Beispielsweise ist eine Passworteingabe oder die Angabe Ihrer Kreditkartendaten forciert.
Der Hacker oder die Hackerin muss nun die erhaltenen Daten an seine oder ihre Datenbank schicken. Das geht heutzutage sogar mithilfe von Google Analytics.
Der Vorteil des Nutzens bekannter Tools ist die schwerere Entdeckbarkeit und somit Abwehr des Vorfalls.
Empfehlungen
- Externe Bilder für erhaltene Mails im Mail-Programm deaktivieren.
- Die externen Bilder nur durch manuelles Freigeben nachladen, wenn die Mail seriös ist und die Bilder unbedingt erforderlich sind.
- Unseriöse Absender:innen auf die Sperrliste setzen. So werden Mails solcher Absender:innen zukünftig in den Spam-Ordner geschickt.
- Sollte das Mail-Programm die Junk-Mail Funktion nicht prominent anbieten, arrangieren Sie das Menü neu, sodass ein schneller Zugriff auf diese Funktion möglich ist.
- Bei massenweise erhaltenen Mails von unseriösen Absender:innen die Sperrfunktion auf Ebene des Mail-Servers nutzen. So kommen Mails bei Ihnen gar nicht erst an. Hierfür ggf. Techniker:innen fragen.
Bekannte Absender:innen
Heutzutage ist es ein Kinderspiel, eine Mail mit einer nahezu beliebigen Absenderadresse zu versehen.
Dazu sind nur wenige Zeilen Programmcode notwendig. Jemand könnte also eine E‑Mail an eine Person schicken, sodass die/der Empfänger:in denkt, die Mail käme von Ihnen.
Genauso kann es passieren, dass Sie Mails erhalten, die vorgeblich von bekannten Absender:innen stammen. Sicher haben Sie auch schon einmal Mails von der Sparkasse oder von eBay erhalten. Bei genauerem Hinsehen stellen sich solche Mails meist als Fake heraus.
Der Blick in den Betreff der Mail verrät oft direkt, ob die Mail in den Papierkorb wandern sollte oder weiter zu berücksichtigen ist.
Viele Mails sind auf den ersten Blick als wertlos zu erkennen.
Das fällt besonders leicht, wenn eine persönliche Anrede fehlt, die Mail unerwarteterweise in Englisch gehalten ist oder einen Text enthält, der keinen näheren Bezug zur Empfänger:in erkennen lässt.
Solche Mails werden am besten direkt gelöscht.
Empfehlungen
- Sprachliche Gestaltung der Mail prüfen. Oft sind unseriöse Mails grammatikalisch falsch und enthalten merkwürdige Formulierungen.
- Bei vorhandenen Hyperlinks mit der Maus auf den Link fahren. Die Adresse zum Link erscheint nun in der Statuszeile des Mailprogramms, die sich meist unten im Fenster befindet. Den Link ansehen. Kommt er Ihnen verdächtig vor, klicken Sie nicht darauf. Das funktioniert nur auf einem PC. Auf Smartphones sollten Links nur angeklickt werden, wenn Sie wissen, was Sie tun. Alternativ hilft es oft, eine Mail in den Spam-Ordner zu verschieben, weil dort Verlinkungen (je nach Mail-Client) im Klartext angezeigt werden.
- Wenn die Mail an weitere Empfänger:innen geschickt wurde, die im Kontext der Mail merkwürdig erscheinen oder Ihnen unbekannt sind, handelt es sich meist um eine nicht relevante Mail, die gelöscht werden kann.
- Wenn Sie einen Link öffnen und dann Daten eingeben sollen, lassen Sie es sein. Rufen Sie stattdessen die Webseite direkt auf, entweder durch Auswahl aus den Bookmarks oder durch manuelle Eingabe der Ihnen bekannten Adresse im Browser.
- Den Betreff lesen und verdächtige Mails löschen oder in den Spam-Ordner legen. Im Spam-Ordner können Mails recht gefahrloser weiter untersucht werden, auch weil viele Mail-Clients dort Verlinkungen im Klartext anzeigen und verdächtige Links so leichter auffallen.
- Im Zweifel eine Mail lieber löschen. War die Mail wichtig, wird der oder die Absender:in sich melden.
- Bei Bedarf beim vermeintlichen Absender:in anrufen und nachfragen oder diesem eine ganz neue Mail schreiben, ohne die fragwürdige Mail mit aufzunehmen (da ansonsten schädliche Links mitgeschickt werden würden).
Unbekannte Absender:innen
E‑Mails von unbekannten Absender:innen sind offensichtlich verdächtiger als solche von Absender:innen, die Sie kennen.
Spam-Mails oder schädliche Mails sind leichter zu erkennen, wenn der Ursprung unbekannt ist.
Generell gilt ansonsten das gleiche wie für Mails von bekannten Absender:innen.
Hier lohnt sich die Mühe, unliebsame Absender:innen analog zu den Empfehlungen für erhaltene Mails zu sperren.
Einige unbekannte Absender:innen kommen allerdings von online Plattformen, auf denen man sich zuvor registriert hatte. Oft handelt es sich um automatisiert erstellte Benachrichtigungs-Mails. Wird eine solche Mail gelöscht, hält sich der Schaden meist in Grenzen, sofern er überhaupt existiert.
Anhänge in Mails
Schädliche Anhänge werden durch Anti-Viren-Software und Mail-Programme oft automatisch entfernt. Manchmal geht das so weit, dass sogar erwünschte Anhänge eliminiert werden.
Generell sollten nie Anhänge angeklickt werden, die ausführbare Dateien enthalten. Wenn Sie kein IT-Experte sind, klicken Sie nicht auf solche Anhänge, auch nicht, wenn sie von jemandem stammen, der bisher als Freund:in angesehen wurde. Auch die eigene Verwandtschaft kann gelegentlich kriminelle Energie oder zumindest Neugier entwickeln.
Empfehlungen
- Ausführbare Dateien in E‑Mails niemals anklicken. Niemand muss Ihnen ein ausführbares Programm senden (und falls doch, dann sind Sie wahrscheinlich IT-Experte und wissen damit umzugehen).
- Im Zweifel Anhänge abspeichern und mit einem Viren-Scanner untersuchen. Aber auch hier gilt: Ausführbare Dateien dennoch nicht anklicken, auch wenn der Viren-Scanner keinen Alarm geschlagen hat.
- Anhänge von unbekannten Absender:innen ignorieren, außer, die Mail erscheint seriös und es geht um ein PDF o. ä. als Anhang, in dem Informationen zur Geschäftsanbahnung enthalten sein sollen.
- Auch in PDF-Dateien oder Bildern kann Schadcode enthalten sein. Daher höchstens mit einem Programm öffnen, das nicht zu den beliebtesten seiner Art gehört, denn hier lohnt sich für Mutwillige das Suchen und Ausnutzen von Sicherheitslücken besonders. Also nicht den Acrobat PDF Reader nutzen, sondern eines der vielen anderen Programme, die es gibt und die m. E. oft besser sind.
- Auf Warnungen des Betriebssystems achten, nachdem auf einen Anhang geklickt wurde. Leider ist Windows teilweise sehr restriktiv und mühsam. Jeder muss hier selber ein Gefühl dafür entwickeln, wie ernst die Warnmeldungen von Windows zu nehmen sind. Bei Bedarf empfehle ich eine Anpassung der Sicherheitseinstellungen des Betriebssystems. Eine permanente Anzeige von Warnungen ist genauso wenig hilfreich wie keine Anzeige von Warnungen.
Spam-Mails
Spam-Mails können oft automatisch erkannt werden.
Sie landen dann für gewöhnlich im Spam-Ordner des Posteingangs im Mail-Programm. Nicht selten werden relevante und unschädliche Mails als Spam klassifiziert.
Gelegentlich finden sich dort auch nicht angekommene Mails wieder, die als Anhang in einem technischen Report des Mail-Servers zu finden sind. Deswegen werden sie wohl des Öfteren als Spam markiert.
Daher lohnt sich ein regelmäßiger Blick in den Spam-Ordner.
Wer den Spam-Ordner vernachlässigt, übersieht unter Umständen einige relevante Mails.
Weiterhin geht die Chance verloren, schädliche Absender:innen zu erkennen und zu sperren.
Erkennt man in einer Spam-Mail einen Verteiler, der anscheinend von Dritten „geklaut“ ist, könnte man darüber nachdenken, entsprechende Dritte darauf hinzuweisen, dass auf deren Endgerät womöglich eine Späh-Software vorhanden ist.
Mails, die im Spam-Ordner empfangen werden, unterliegen bei vielen Mail-Clients höheren Sicherheitsbeschränkungen.
So werden externe Bilder und Tracking Pixel automatisch geblockt. Ein erstes Überfliegen der Mail ist so gefahrlos möglich.
Oft verrät bereits ein Blick in den Betreff einer Mail, ob es sich um eine unerwünschte Zusendung handelt. Links werden im Spam-Ordner als Text angezeigt und können so besser überprüft werden.
Bei der Verwendung von Anti-Spam-Lösungen ist darauf zu achten, dass eine möglicherweise angebotene globale Spam-Datenbank Datenschutzprobleme mit sich bringen kann.
Bei Antispam Bee für WordPress etwa ist diese Option nicht zu verwenden, weil so personenbezogene Daten von Dritten in der Welt herumreisen.
Stattdessen eine lokale Spam-Datenbank verwenden.
Empfehlungen
- Den Spam-Ordner regelmäßig prüfen.
- Verdächtige Mails löschen.
- Unseriöse Absender:innen, die häufiger schreiben, sperren.
- Seriöse Absender:innen auf die weiße Liste setzen, damit deren Mails nicht aus Versehen verloren gehen.
- Bei unerlaubt zugesandten Werbe-Mails ist eine juristische Verfolgung möglich. Enthält eine Mail etwa Google Analytics, ohne dass hierin eingewilligt wurde, beträgt der Streitwert gerne mal 15.000 Euro (LG Wiesbaden, Beschluss vom 14.05.2020 – 8 O 94/19)
- Lokale Anti-Spam-Datenbank statt globaler Datenbank nutzen, um Datenschutzprobleme zu vermeiden.
Mail-Client
Konfigurieren Sie Ihr E‑Mail-Programm so, dass es eine Transportverschlüsselung verwendet, wenn die Empfänger:innen diese unterstützen.
Achten Sie darauf, dass Ihre Mail-Dienstleister eine Transportverschlüsselung für eingehende Mails unterstützt und aktivieren Sie SSL/TLS.
Die Transportverschlüsselung sorgt immerhin für ein erhöhtes Schutzniveau, kann aber schadhafte Links nicht verhindern.
Zusammen mit einer Mailsignatur über PGP oder S/MIME kann eine Inhaltsverschlüsselung vorgenommen werden. Damit sind vertrauenswürdige Absender:innen indirekt besser erkannt.
Kaum ein:e Hacker:in wird sich die Mühe machen, PGP zu nutzen und erst recht nicht das meist kostenpflichtige S/MIME.
PGP bietet einen Schutz vor Phishing und Spoofing (Arten des Identitätsdiebstahls), kann aber gefährliche Links nicht verhindern.
Datenschutzaspekte bei E‑Mails und Sicherheit
Mails nicht länger als nötig aufbewahren.
Jede Mail birgt potentiell personenbezogene Daten.
Gelangen diese Daten, etwa durch einen Hackerangriff, in falsche Hände, haften Sie ggf. mit dafür.
Zudem entlasten vom Server gelöschte Mails den Speicherplatz.
Die DSGVO schreibt vor, personenbezogene Daten nicht länger als nötig aufzubewahren.
Eine Mail in Ihrem Besitz bedeutet immer eine Verpflichtung, beispielsweise das Bedienen eines Auskunftsrechts nach Art. 15 DSGVO. Prüfen Sie also von Zeit zu Zeit, welche Nachrichten zu löschen sind.
Mails, die zur Beweisführung bei unerlaubt erhaltener Werbung und anderen unerlaubten Handlungen dienen, sind hingegen so lange wie nötig aufzubewahren.
Jede erhaltene Mail kritisch betrachten.
Das ist oft einfach möglich. Etwa, weil Mails sich oft aus einer vorigen Kommunikation ergeben. Hatten Sie gerade ein Telefonat und erhielten daraufhin wie besprochen eine Mail, ist die Wahrscheinlichkeit sehr hoch, dass diese von zuvoriger Gesprächspartner:in stammt. Aber auch diese sollten auf ihre Seriosität hin geprüft werden.
Unaufgefordert erhaltene Mails besonders kritisch prüfen.
Das gilt unabhängig von Hacker-Angriffen. Auch Wettbewerber:innen schreiben gelegentlich Mails mit bösen Absichten. Dabei geht es oft weniger um das Einschleusen von Schadcodes, sondern mehr um das Herausfinden von Informationen oder das Aufhalsen von unnötiger Arbeit.
Mit dem gesunden Menschenverstand und etwas Erfahrung sind Mails schnell als harmlos oder schadhaft erkannt.
Besonders kritisch sind Verlinkungen in Mails zu behandeln. Die richtigen Sicherheits-Einstellungen im Mail-Programm sorgen für zusätzliches Wohlbefinden.
Also lassen Sie sich gut beraten.
1 Kommentar