Trotz Twitter, Skype und SMS: Die E-Mail ist das wichtigste geschäftliche Kommunikationsmittel. Ihre Sicherheit kommt aber nach wie vor zu kurz - Spamfallen, Phishing- und Trojaner-Mails sowie unbefugt mitgeschnittene Nachrichten sind nicht im Sinne der Anwender. Was ist zu tun?
von Thomas Bär und Frank-Michael Schlede
Foto: Artyom Yefimov - Fotolia.com
Die Apologeten der neuen "sozialen Medien" wie Facebook und Twitter verkünden zwar immer wieder, das Ende der E-Mail sei gekommen. Aber ebenso wenig, wie wir in absehbarer Zukunft das "papierlose Büro" erleben werden, werden E-Mails als gängiges Mittel zur Kommunikation über das Netz verschwinden. So kommen dann E-Mails jeden Tag an fast jedem Arbeitsplatz wie selbstverständlich zum Einsatz - so selbstverständlich, dass sich die Anwender häufig keine Gedanken mehr über die Sicherheit dieses Kommunikationskanals machen: Oder denken Sie beim Telefonieren immer daran, wie sicher die Übertragung ist?
Doch wer mit E-Mails arbeitet und sie intensiv nutzt, sollte auch über deren Sicherheit ebenso intensiv nachdenken. Wir haben in unserer FAQ einige wichtige Fragen, Antworten und Lösungen rund um das Thema "E-Mail sicher nutzen" zusammengestellt.
Wie sicher ist der Inhalt einer E-Mail?
Foto: Thomas Bär / Frank-Michael Schlede
Es wurde schon oft geschrieben und gesagt, aber viele Anwender scheinen es immer wieder zu vergessen: Der Inhalt einer E-Mail ist grundsätzlich nicht gesichert. Alles was ein Nutzer in einer E-Mail-Nachricht schreibt, geht im Klartext über die Verbindung. Deshalb wird eine solche Nachricht auch immer wieder gerne mit einer Postkarte verglichen: Auch die kann jeder lesen, der sie zufällig (oder absichtlich) in die Hand bekommt. Um Daten mitzulesen, die offen über eine Netzwerkverbindung gesendet werden, bedarf es zudem keiner großartigen "Hacker-Kenntnisse": Werkzeuge zur Netzwerküberwachung - sogenannte Sniffer - wie etwa das bekannte Wireshark oder auch Microsofts Network Monitor erlauben das einfache Mitlesen der Nachrichten im Klartext.
Praxis-Tipp: Überlegen Sie immer gut, was Sie in einer Mail schreiben und überlegen sie, ob Sie diese Informationen auch einer Postkarte anvertrauen würden. Kreditkarten- und Bankkonto-Daten sowie ähnlich sensible Daten haben in einer normalen Mail nichts verloren!
Reicht eine AV-Lösung auf dem System zum Schutz der E-Mail?
Es ist wohl selbstverständlich, dass heute kein System mehr ohne eine entsprechende Antivirus-Lösung betrieben werden sollte. Doch braucht sich ein Anwender keine Gedanken mehr um die Gefahren machen, die aus den E-Mail-Nachrichten drohen, wenn sein System mit einer solchen Sicherheitslösung geschützt ist? Ein großer Teil der Schadprogramme gelangt heute mittels einer E-Mail auf die Systeme und damit häufig auch in die Netzwerke. Antivirus-Programme tragen dieser Entwicklung Rechnung und können häufig bereits auf dieser Ebene eingreifen. Aber gerade wenn eine der ansonsten sehr guten freien AV-Lösungen zum Einsatz kommt, kann es sein, dass diese nicht dezidiert die Nachrichten und - noch viel wichtiger - die diversen Anhänge durchsucht. Einige Anbieter stellten diese Möglichkeiten erst mit den kommerziellen Versionen ihrer Antivirus-Lösungen zur Verfügung. Darum ist eine Antivirus-Software auch in Hinblick auf die Sicherheit der E-Mail nur ein Baustein in der Abwehr von Angriffen auf die Computersysteme. Auch die Gefahren, die beispielsweise durch den Einsatz von HTML-Nachrichten entstehen (wir gehen darauf in diesem Bericht noch detaillierter ein), können durch diese Programme nicht erkannt und bewältigt werden.
Wie kann ich E-Mail-Nachrichten sicherer versenden?
Die einfache Antwort auf diese Frage lautet: Verschlüsseln Sie ihre Nachrichten! Warum aber verschlüsseln dann nicht mehr Anwender ihre Nachrichten standardmäßig? Wer zudem einmal versucht hat, einem Geschäftspartner oder gar einer Bank oder Behörde eine verschlüsselte Nachricht zu übermitteln, wird ebenfalls festgestellt haben, dass die Verbreitung dieser Sicherheitsmaßnahme eher gering ist.
Das liegt unter anderem daran, dass die Anbieter von Mail-Programmen keine entsprechende Standardlösung in ihren Produkten integrieren (oder auch nur so etwas etablieren) und viele Lösungen auf dem Markt leider etwas unpraktisch in der Anwendung sind.
Foto: Thomas Bär / Frank-Michael Schlede
Lösungen zum Verschlüsseln der E-Mails: Eine Freeware-Lösung,deren Einsatz auch vom BSI (Bundesamt für Sicherheit in der Informationstechnik) aktiv unterstützt wird, trägt den Namen GPG4win (GNU Privacy for Windows) und steht zum kostenlosen Download für Windows-Systeme bereit. Die Software kann nicht nur die E-Mail-Nachrichten, sondern auch Dateien und Ordner auf dem PC verschlüsseln. Auch die Integrität der Daten lässt sich mittels der Software durch den Einsatz digitaler Signaturen sichern. Als Standards werden dabei OpenPGP und S/MIME (X.509) unterstützt. Neben dem eigentlichen Verschlüsselungsprogramm GNUPG beinhaltet das Paket eine Software mit Namen "Kleopatra", die als Zertifikatsmanager arbeitet. Die Software ist so angelegt, dass sie sich leicht unter Windows installieren lässt. Sie arbeitet mit Windows XP, Vista und Windows 7 zusammen und unterstützt dabei sowohl 32- als auch 64-Bit-Systeme.
Wer Microsoft Outlook in der Version 2003 oder 2007 verwendet, findet nach der Installation einen neuen Menüpunkt in seinem Programm, der ihm das Verschlüsseln und Signieren seiner Nachrichten erlaubt. Das Programm führt schon bei der Installation durch das Anlegen eines entsprechenden Schlüsselpaares. Kommt allerdings die Outlook-Version 2010 zu Einsatz, bekommt der Anwender keine Integration der Lösung geboten: Er muss die Dateien "von Hand" verschlüsseln und in seine Nachricht übertragen.
Security auch für Thunderbird
Für Anwender von Mozillas Thunderbird bietet sich die Erweiterung EnigMail an, die ebenfalls auf OpenPGP aufsetzt und eine entsprechende Integration in das Mail-Programm bietet: Sie ist im Gegensatz zu GPG4win nicht von der Version des Mail-Programms abhängig und arbeitete in unseren Tests problemlos auch mit der aktuellen Version 13 von Thunderbird zusammen.
Foto: Thomas Bär / Frank-Michael Schlede
Praxis-Tipp: Wer diese beiden Anwendungen einmal testet, wird feststellen, dass es zunächst einmal eine gewisse Lernkurve zu bewältigen gilt. Das größere Problem dürfte es aber sein, sein Gegenüber vom Einsatz einer solchen Lösung zu überzeugen - hier gilt es noch, Pionierarbeit zu leisten. Unser Vorschlag deshalb: Setzen sie eine der gängigen freien Verschlüsselungslösungen wie Truecrypt oder Sophos Free Encryption ein, erzeugen damit einen sicheren Container, schreiben Ihren Text in dem Textverarbeitungsprogramm ihrer Wahl und legen ihn in diesen Container. Dieser wird an den Empfänger als E-Mail-Attachment geschickt, das benötigte Passwort zum Entschlüsseln wird dabei natürlich auf einem anderen Weg (beispielsweise per Telefon oder persönlich) übermittelt.
Wichtig: Die meisten Verschlüsselungsprogramme bieten auch die Möglichkeit, selbst-entpackende, ausführbare Dateien zu erstellen. Auch wenn dieses Vorgehen zunächst wie eine gute Idee erscheint, sollten Sie diese Methode nicht verwenden: Diese Programme erzeugen zumeist Dateien mit der Endung *.exe und solche Anhänge werden aus Sicherheitsgründen von einem Großteil der Mail-Server und -Gateways blockiert und nicht angenommen.
Warum sollte man keine HTML-Nachrichten verwenden?
Reine Textnachrichten sind langweilig - jedenfalls scheinen das sowohl die Entwickler der meisten E-Mail-Programme als auch die Absender eines Großteils der Nachrichten zu meinen: Nachrichten im HTML-Format sind zumeist Standard. Vom Standpunkt der Sicherheit aus betrachtet stellt der Einsatz dieses Formats allerdings ein erhebliches Risiko da. Durch die Möglichkeit, in HTML auch entsprechende Skripte einzubetten, können so ungewollt potenziell gefährliche Programme auf den Rechner gelangen. Auch wenn die Nachrichten dann keine "bunten" Überschriften und eingebetteten Bildern bieten - das reine Textformat ist der sicherere Weg.
Welche Sicherheitseinstellungen sind bei Outlook sinnvoll?
Foto: Thomas Bär / Frank-Michael Schlede
In Zusammenhang mit der vorherigen Frage ist es zunächst einmal sehr sinnvoll, das Mail-Programm so zu konfigurieren, dass es automatisch alle Nachrichten nur noch im Textformat anzeigt. Dies gelingt in neueren Outlook-Versionen über das sogenannte Vertrauensstellungscenter (bis Outlook 2007) oder Sicherheitscenter (ab Outlook 2010). Erreicht werden können diese Einstellungen über den Weg: Datei/Optionen/Sicherheitscenter/Einstellungen für das Sicherheitscenter/E-Mail-Sicherheit. Dort kann ein Anwender festlegen, dass Standardnachrichten (und auch signierte Nachrichten) nur im Textformat angezeigt wird. Zeigt sich beim Lesen einer derart konvertierten E-Mail, dass sie im Textformat nur schwer oder überhaupt nicht lesbar ist, lassen sich die ursprünglichen Formatierungen wiederherstellen. Dies geschieht per Mausklick auf "als HTML anzeigen". Bitte nur anwenden, wenn die Nachricht aus einer verlässlichen Quellen stammt!
Wer nicht ganz auf HTML-Nachrichten verzichten will, dabei aber die Sicherheit verbessern möchte, kann im Sicherheits- oder Vertrauensstellungscenter auch den Eintrag "Automatischer Download" auswählen. Hier sind verschiedene Konfigurationen möglich, wie das Ausschalten des automatischen Bilder-Downloads in HTML-Nachrichten. Höchste Sicherheit bietet nur das Sperren aller angebotenen Optionen - seien Sie sich jedoch darüber im Klaren, dass die Nachrichten dann nicht mehr unbedingt "leserfreundlich" aussehen.
Ist vom Einsatz einer Web-Mail-Lösung grundsätzlich abzuraten?
Grundsätzlich können Web-Mail-Lösungen heute ebenso gut eingesetzt werden wie "althergebrachte" E-Mail-Lösungen auf dem Rechner. Allerdings gilt beim Einsatz von Web-Mail-Anwendungen der gleiche wie für Cloud-Dienste ganz allgemein. Wer eine Web-Mail-Lösung verwendet, muss immer ein besonderes Augenmerk auf die Client-Server-Verbindung haben (sei es auf Notebook, Tablet oder Smartphone) und die folgenden Grundsätze beachten:
-
Zugriff auf Web-Mail-Konten nur und ausschließlich über SSL-Verbindungen - nie eine offene Verbindung zulassen.
-
Sicherstellen, dass die Webseite auch schon bei der Anmeldung verschlüsselt ist - mache Seiten schalten die SSL-Verbindung erst NACH dem Verbindungsaufbau ein, wodurch der Name und das Passwort des Anwenders unverschlüsselt übertragen werden.
-
Kommt das Mail-Konto für geschäftliche Zwecke zum Einsatz, sollte sichergestellt sein, dass der Provider die Daten in Deutschland oder mindestens in der EU hostet.
-
Wer mit seinem mobilen Client auf eine Web-Mail-Lösung oder auch auf den regulären Mail-Server zugreift, sollte dazu NIEMALS einen öffentlichen nicht verschlüsselten WLAN-Hotspot verwenden.
Foto: Thomas Bär / Frank-Michael Schlede
Ein Web-Mail-Konto eignet sich gut als "Zweit-Postfach": Wer sein eigenes "echtes" Mail-Postfach konsequent nur für die wichtige Kommunikation mit vertrauenswürdigen Absendern/Empfänger verwendet, kann ein solches (zumeist kostenloses) Zweitkonto gut dazu verwenden, um beispielsweise interessante Beiträge von Firmenseiten herunterzuladen, die zumeist die Eingabe einer E-Mail-Adresse verlangen. Auch die Teilnahme an Gewinnspielen und ähnlichen Aktivitäten wird so sicherer: Werden im Rahmen dieser Kontakte Spam-Nachrichten ausgelöst (was leider immer noch der Fall ist), landen diese nur auf dem Zweitkonto und verstopfen nicht die wirklich wichtige Adresse.
Last but not least: Sichern, sichern, sichern…
Foto: Thomas Bär / Frank-Michael Schlede
Einen Ratschlag sollte jeder Anwender immer beherzigen: Sichern Sie ihre Mail regelmäßig und häufig. Heute werden sehr viele wichtigen Nachrichten und Informationen über diesen Kanal verschickt, die für den Geschäftsbetrieb wichtig sind. Geht die komplette gesammelte Mail verloren, weil beispielsweise der die Festplatte im Rechner defekt ist, kann es im günstigsten Fall möglich sein, die Nachrichten mit Hilfe des Providers wiederherzustellen. Wer eine gehostete E-Mail-Lösung verwendet, kann sich in der Regel darauf verlassen, dass der Provider grundsätzlich entsprechende Sicherungsmaßnahmen einsetzt und so die Nachrichten wiederherstellbar sind. Kommen aber in kleinen und mittleren Betrieben oder in SOHO-Umgebungen (Small Office/ Home Office) beispielsweise nur individuelle Systeme mit Outlook zum Einsatz, ist der Anwender gefordert, seine Nachrichten selbst zu sichern.
Die einfachste Möglichkeit der Sicherung besteht beim Einsatz von Microsoft Outlook darin, die zentrale Datenbank des Mail-Programms regelmäßig in einer Sicherungskopie abzulegen. Bei dieser PST-Datei (Personal Store) handelt es um ein proprietäres Dateiformat von Microsoft. Es enthält nicht nur die Nachrichten, sondern auch die Kontakte, Notizen und Kalenderdaten, die der Anwender in Outlook gespeichert hat. Während diese Datei bei früheren Outlook-Versionen in den Ordner des Benutzerprofils zu finden war, wird sie heute standardmäßig unter dem Pfad C:\Benutzer\(Benutzername)igene Dokumente\Outlook-Dateien abgelegt und kann von dort einfach kopiert werden. Thunderbird verwendet mehrere Dateien, die bei Windows 7 unter dem Pfad C:\Benutzer\(Benutzername)\AppData\Roaming\Thunderbird\Profiles zu finden sind. Auch diese Dateien können von dort kopiert und gesichert werden.
Foto: Thomas Bär / Frank-Michael Schlede
Praxis-Tipp: Sichern ist eine lästige Aufgabe, die man sich so einfach wie möglich gestalten sollte. Deshalb ist es sinnvoll, auf eine der vielen Free- und Shareware-Lösungen zurückzugreifen, die diese Aufgabe deutlich erleichtern können. So hat sich bei uns unter anderem die Lösung MailStore Home bewährt, die für den privaten Bereich kostenlos ist und sowohl mit den verschiedenen Outlook-Versionen als auch mit Thunderbird und Web-Mail-Lösungen zusammenarbeitet. Wer nur mit Mozilla-Tools arbeitet, sollte einen Blick auf MozBackup werfen, eine Open-Source-Lösung, die dann auch noch die Daten des Firefox-Browsers mitsichert.
Auf jeden Fall darf eine regelmäßige Sicherung der E-Mail-Daten nicht vernachlässig werden und sollte fester Bestandteil eines jeden Sicherheitskonzept rund um die elektronischen Nachrichten sein. (sh)