Sicherheit

Inhaltsverzeichnis

Einleitung

Als ein am häufigsten genutzter Dienst des Internets ist die Verwendung von E-Mail den meisten Benutzern schon zur Selbstverständlichkeit geworden. Genauso sorglos wird leider aber auch damit umgegangen, und das sowohl im privaten als auch im geschäftlichen Bereich. Da werden vertrauliche und persönliche Daten ungeschützt über das Internet versandt und die Benutzer wundern sich dann, dass diese Daten von unbefugten Dritten eingesehen und weiter verwendet werden. Ebenso wird auf Internet-Seiten unbedarft und häufig ohne Zwang die eigene E-Mail-Adresse bekannt gegeben, und dann wundern sich die Leute, dass ihr Posteingang mit Spam zugemüllt wird. Das folgende Kapitel soll Ihnen einen Leitfaden bieten, Ihre E-Mail-Kommunikation abzusichern und die schädlichsten Nebenwirkungen derselben zu vermeiden.

Grundsätzliches

Eine E-Mail ist kein Brief. Sie ist mit einer Postkarte zu vergleichen, die ebenfalls auf ihrem Transport von jedermann eingesehen werden kann, der sie auf diesem Transportweg in die Finger bekommt. Bei einer Postkarte wäre dies z. B. der Briefträger, bei einer E-Mail jedermann, der Zugriff auf die transportierten Daten hat, z. B. der Betreiber eines Mail-Servers (aber nicht nur dieser). Und glauben Sie mir, es wird sehr häufig auf Daten zugegriffen, die über das Internet transportiert werden. Vertrauliche Daten haben also in einer normalen E-Mail nichts zu suchen!

Ebenso können alle Daten, die in einer E-Mail enthalten sind, auf dem Transportweg gefälscht werden. Eine E-Mail hat also keinerlei juristische Beweiskraft! Auch der Absender einer E-Mail muss nicht immer derjeneige sein, der der eigentliche Besitzer der Absender-E-Mail-Adresse ist. Seien Sie also immer grundsätzlich misstrauisch bei jeder E-Mail-Kommunikation.

Der eigentliche Inhalt der Mail

Ursprünglich waren E-Mails als Kurznachrichten gedacht, die in reinem Text verfasst und auch versandt wurden. Mit den gehobenen Ansprüchen der Benutzer breitete sich aber immer mehr die Unsitte aus, E-Mails in Form von HTML-Nachrichten zu verfassen, d. h., in der Seitenbeschreibungssprache des World Wide Web. Die ermöglicht es zwar Textformatierungen vorzunehmen und z. B. auch Bilder in den Text einzubetten, birgt aber auch gewisse Risiken, die nicht unterschätzt werden sollten. In diese Seitenbeschreibungssprache können auch Elemente eingebettet sein, die in anderen Programmiersprachen verfasst wurden, wie z. B. JavaScript, Java und, auf die Platform Microsoft Windows beschränkt, sogenannte Active-X-Steuerelemente. Diese Erweiterungen der Seitenbeschreibungssprache HTML dienen im World Wide Web der Verbesserung der Funktionalität von Internetseiten und können natürlich auch in HTML-E-Mails eingebettet sein. Damit eine HTML-E-Mail in ihrer vollen Pracht von Ihrem E-Mail-Programm angezeigt werden kann, verwendet dieses zur übersetzung des Codes eine sogenannte Rendering Engine. Die Funktionalität dieses übersetzungsprogramm entspricht in der Regel der des mit diesem E-Mail-Programm assoziierten Browsers. So verwendet der Microsoft E-Mail-Client Outlook und auch Outlook Express die Rendering Engine des Microsoft Internet Explorers; das E-Mail-Programm Mozilla Thunderbird verwendet die des Browsers Mozilla Firefox, genannt Gecko Engine.

Obwohl alle E-Mail-Programme die Option anbieten, für das Verfassen von E-Mails wahlweise HTML oder Text zu verwenden, so besteht nicht bei allen Programmen die Möglichkeit, die Anzeige von HTML zu verbieten. Gute E-Mail-Programme wie der Mozilla Thunderbird oder Kmail, das am häufigsten unter der grafischen Benutzeroberfläche KDE unixoider Betriebssysteme wie z. B. Linux oder BSD verwendete E-Mail-Programm, haben die Anzeige von HTML-Mails standardmäßig abgeschaltet.

Das Verhindern der Anzeige von HTML-Mails unterbindet natürlich auch, dass Erweiterungen von HTML, wie JavaScript, Java oder Active-X-Steuerelementen ausgeführt werden können. Dadurch ist man auf der sicheren Seite, da Schadroutinen, die Spam- und Phishing-Mails (siehe weiter unten) versuchen über diese Mechanismen auf Ihren Rechner einzuschleusen, außen vor bleiben.

E-Mail-Anhänge (Attachments)

Neben dem eigentliche Inhalt einer E-Mail, also der Nachricht, die Sie sofort lesen können, kann an eine E-Mail auch noch etwas angehängt werden. Es handelt sich dabei um Dateien unterschiedlichsten Inhalts. Solche Attachments sind die eigentlichen Gefahrenquellen bei der E-Mail-Kommunikation. Während die eigentliche Nachricht, zumindest sofern es sich um reine Textnachrichten handelt, im Regelfall ungefährlich ist, können solche E-Mail-Anhänge Sachen enthalten, die Sie eigentlich gar nicht haben wollen, nämlich Viren, Trojanische Pferde (fälschlicherweise oft auch als Trojaner bezeichnet), Würmer und sonstige Schadroutinen.

Rechner mit dem Betriebssystem Microsoft Windows sind hier besonders gefährdet. Dies liegt vor allem daran, dass dieses Betriebssystem die Dateinamenserweiterung dazu verwendet, um zu entscheiden, mit welcher Anwendung (Programm) die Datei geöffnet wird, besser gesagt, was passiert, wenn auf das betreffende Objekt ein Doppelklick ausgeführt wird. Leider ist in der Standardeinstellung von Microsoft Windows dieser Teil von sogenannten registrierten oder bekannten Dateien ausgeblendet. Auch das Symbol der Datei ist kein sicheres Erkennungsmerkmal, um was es sich wirklich handelt. Dies wird oft ausgenutzt, indem an den eigentlichen Dateinamen 2 Dateinamenserweiterungen angehängt werden und der Datei ein Symbol hinzugefügt wird, das mit ihrem eigentlichen Dateityp nichts zu tun hat, was dazu führt, dass der Benutzer in der Standardeinstellung nur die erste Dateinamenserweiterung (die ja in diesem Fall eigentlich kar keine ist) und ein unverfängliches Dateisymbol sieht und ahnungslos versucht, das Attachment mit einem Doppelklick zu öffnen. Und schon ist es passiert. Irgendeine Schadroutine nistet sich auf Ihrem Rechner ein. Dies ist vor allem dann gefährlich, wenn Sie mit Administratoren-Rechten arbeiten, was wiederum der Standardeinstellung von Microsoft Windows (bis Windows XP) entspricht, zumindest bei Einzelplatzrechnern. Wie Sie Ihren Windows-Rechner absichern können, beschreibt die Seite Windows absichern.

Generell sollten Sie Vorsicht walten lassen, wenn Sie eine E-Mail mit einem Datei-Anhang empfangen. Zügeln Sie Ihre Neugier und öffnen Sie ein solches Attachment nur, wenn Sie sich absolut sicher sind, dass die Mail aus einer sicheren Quelle kommt. Sichere Quelle heißt hier nicht, dass Sie den Absender kennen. Denn auch der Rechner einer Ihnen bekannten Person kann infiziert sein und als Virenschleuder dienen. Im Zweifelsfall fragen Sie beim Absender nach, ob er diese Mail wirklich bewusst verschickt hat. Falls nicht, löschen Sie die Mail umgehend und machen den Absender darauf aufmerksam, dass er ein Problem hat.

Spam

Spam ist eine der lästigsten Begeleiterscheinungen der heutigen E-Mail-Kommunikation. Es wird geschätzt, dass zur Zeit ca. 90% des weltweiten E-Mail-Verkehrs aus Spam besteht. Moderne E-Mail-Clients bieten Spam-Filter (manchmal auch Junk-Mail-Filter genannt) an, die auch entsprechend lernfähig sind. Sie helfen Ihnen, Ihren Posteingang vor unerwünschem Werbemüll und Phishing-Mails frei zu halten.

Besser ist es natürlich, wenn es erst gar nicht soweit kommt, dass einem der Posteingang vor lauter Werbemüll überläuft. Wichtig hierbei ist, seine E-Mail-Adresse nicht bei jeder Gelegenheit an die große Glocke zu hängen. Zum Beispiel wird beim Herunterladen von Daten, in Online-Shops und ähnlichen Angeboten oft die Eingabe einer gültigen E-Mail-Adresse verlangt. Besorgen Sie sich für diesen Zweck eine separate E-Mail-Adresse, die Sie auch nur dafür nutzen. Wird das Spam-Aufkommen auf diese Adresse zu groß, dann löschen Sie diese Adresse wieder, und Sie haben Ruhe. Außerdem findet man in vielen Internetauftritten E-Mail-Adressen, die dort im Klartext zu lesen sind. So etwas ist unbedingt zu vermeiden. Spammer senden kleine Programme durch das Internet, die alles einsammeln, was das Zeichen @ enthält, denn dies ist ein unabdingbarer Bestandteil jeder E-Mail-Adresse. Sie müssen zwar nach dem Telemedien-Gesetz von Ihrer Website aus per E-Mail erreichbar sein. Dennoch ist es unnötig, dies auf diese oft verwendete primitive Art zu tun, dass man seine E-Mail-Adresse einfach im Klartext angibt. Es gibt hier bessere Methoden, die wir auch bei der Erstellung von Websites für unsere Kunden einsetzen, um Ihnen hier schon mal eine Quelle von Werbemüll zu ersparen.

Die bereits erwähnten Phishing-Mails (Phishing ist ein Kunstwort zusammengesetzt aus Password und Fishing) sind ebenfalls eine sehr üble Sache, die einem den Spaß an der E-Mail-Kommunikation verleiten kann. Es handelt sich dabei um Mails, die Links in das World Wide Web beinhalten. Diese Links verweisen in der Regel auf Seiten, die von Ihnen verlangen irgendwelche Passwörter, sei es nun von Ihrer Bank oder einem von Ihnen benutzten Online-Shops oder ähnlichem einzugeben. Ignorieren Sie solche Mails grundsätzlich, auch wenn sie noch so authentisch aussehen mögen. Keine der genannten Institutionen wird jemals eine solche Mail an Sie schicken. Es handelt sich immer um Kriminelle, die aus der Ahnungslosigkeit und auch Vertrauensseeligkeit der Empfänger solcher Mails Kapital schlagen wollen, natürlich immer auf deren Kosten.

Vertraulichkeit

Wie bereits oben erwähnt, ist eine E-Mail nicht geeignet für den Versand vertraulicher Daten, da der gesamte Inhalt im Klartext übertragen wird. Wie Sie auch vertrauliche Daten via E-Mail verschicken und sicherstellen können, dass diese Daten beim Transport nicht verfälscht werden, beschreibt die Seite Verschlüsselung und digitale Signatur. Die Verschlüsselung sorgt dafür, dass der Inhalt der E-Mail für Dritte nicht einsehbar ist, während die digitale Signatur zum einen die Aufgabe hat, dass der Empfänger überprüfen kann, ob der Absender die Person ist, die er vorgibt zu sein. Zum Anderen hat die digitale Signatur die Aufgabe, eine überprüfung der Integrität der Daten zu ermöglichen, um feststellen zu können, ob die Nachricht auf dem Transport verändert worden ist oder nicht. Der Aufwand E-Mails zu verschlüsseln und zu signieren ist nicht sehr hoch. Sie müssen nur beim Signieren Ihr Passwort eingeben, das Sie bei der Erzeugung der Schlüssel irgendwann einmal vergeben haben. Die meisten E-Mail-Clients bieten die Möglichkeit, Einstellungen vorzunehmen, die es erlauben, dieses Passwort für eine bestimmte Zeit zwischenzuspeichern, so dass nicht bei jeder neuen, zu signierenden Mail das Passwort eingegeben werden muss.

Hüten Sie sich generell davor vertrauliche Daten unverschlüsselt per E-Mail auszutauschen. Leider ist auch hier das Bewusstsein eines Großteils der Internet-Nutzer in den meisten Fällen sehr unterentwickelt. Auch im geschäftlichen Bereich wird hier häufig sehr sorglos verfahren. Generell besteht die Gefahr, dass der Daten- und speziell der E-Mail-Verkehr abgehört wird. Besonders eklatante Beispiele sind hierbei das Echelon-Projekt und in neuerer Zeit Prism (USA) sowie Tempora (Großbritannien), die nicht nur zur Fahndung nach Terroristen und der militärischen Informationsbeschaffung sondern auch zur Wirtschaftsspionage genutzt werden können und vermutlich auch genutzt werden.