Internet-Schutz: Irrtümer über E-Mail-Sicherheit

 

Unser Leben und unsere Kommunikation werden zunehmend digitaler. Dementsprechend wächst das Gefahrenpotenzial dafür, wie Internetbetrüger in unsere IT Systeme und Endgeräte und an unsere Daten kommen könnten. Hilfreich kann nur sein, sein Wissen über entsprechende Betrugsmaschen sowie über Schutz- und Präventionsmaßnahmen stets auf dem aktuellsten Stand zu halten.

 

Deshalb beleuchten wir in unserem Blog in loser Reihenfolge einige Gefahrenherde näher. In diesem Beitrag haben wir Experten- Tipps für die E-Mail Sicherheit zusammengetragen:

 

E-Mails bilden nach wie vor ein beliebtes Einfallstor für Cyberkriminelle. Die ominöse Mail aus dem Ausland mit obskuren Gewinnversprechen ist längst perfideren Betrugsmethoden gewichen. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat einige gängige Irrtümer im Umgang mit E-Mails identifiziert. Wer sie kennt, kann die Risiken schon mit einfachen Schutzmaßnahmen minimieren.

 

Viele professionelle Mail-Clients sind standardmäßig so konfiguriert, dass die Nutzer Nachrichten im HTML-Format versenden und auch empfangen. Gerade Firmen wie beispielsweise Online Shops ziehen dieses Format der reinen Text-E-Mail vor, denn Nachrichten können mit aller Formen, Farben und Bildern entsprechend aufbereitet werden. Zudem können Links geschickt versteckt und auch andere Dateiformate direkt eingebettet werden.

 

Das HTML-Format birgt deshalb auch Risiken. Diese lauern schon im sogenannten Quellcode. Dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der HTML-E-Mail auf dem Computer des Empfängers ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss. Auch Spammer greifen gerne auf HTML-E-Mails zurück, um die Gültigkeit einer E-Mail-Adresse zu verifizieren. Dies erfolgt über sogenannte "Webbugs", kleine meist unsichtbare Bilder, welche beim Öffnen der E-Mail von einem Server der Spammer geladen werden und diesen damit den Empfang der E-Mail signalisieren.

 

Wer sichere E-Mail-Kommunikation betreiben will, muss in der Regel sein Mail-Programm selbst entsprechend konfigurieren und das "Nur Text"-Format einstellen. Zum Glück lassen sich E-Mail-Clients wie Outlook so konfigurieren, dass sie auch eingehende Mails, die in HTML sind, automatisch in eine reine Textdarstellung umwandeln. Möglich ist, dass in der reinen Textdarstellung die Lesbarkeit leidet oder die E-Mail unvollständig erscheint. Bei vertrauenswürdigen Absendern kann der Empfänger die HTML-Ansicht der E-Mail per Klick auf eine Schaltfläche aktivieren und die Inhalte vollständig betrachten.

 

 

Als Spam werden verschiedene Arten unerwünschter E-Mails zusammengefasst. Dazu gehören unaufgefordert zugesandte Werbung, Nachrichten mit merkwürdigen Inhalten und so genannte Phishing-Mails. Meist will man dem Empfänger unter Vorspiegelung falscher Tatsachen Zugangsdaten zu Online-Shops oder Zahlungsdiensten entlocken.

 

Egal, um welche Art unaufgeforderter E-Mail es sich handelt, sollten Empfänger diese ignorieren und ungeöffnet sofort löschen. Auf gar keinen Fall sollten Sie Links folgen, die vermeintlich dazu führen, dass die Empfängeradresse aus der Liste gelöscht wird. Denn sobald Sie als Empfänger auf solch eine E-Mail reagieren, weiß der Versender, dass Ihre Adresse gültig und aktiv ist. Was folgt, ist eine regelrechte Spam-Flut im Postfach. Empfehlenswert ist, sich eine zweite E-Mail-Adresse für die Nutzung von Online-Diensten etc. anzulegen. So lässt sich das Haupt-E-Mail-Postfach weitgehend Spam frei halten. Empfehlenswert ist auch Spam-Filter zu nutzen. Diese gibt es auch als Freeware.

 

 

Das ist falsch, Absenderadressen von E-Mails können mit geringem Aufwand beliebig gefälscht werden. Hinter dem angezeigten Namen einer Person oder Organisation kann sich ein ganz anderer Absender verbergen. Üblicherweise ist dies bei illegalen Aktivitäten der Fall, wie Spam-Versand oder Versuchen, den Computer eines Nutzers mit Schadsoftware zu infizieren. Einen ersten Hinweis auf den Absender erhält der Nutzer, wenn er mit der Maus über den angezeigten Namen fährt. Je nach E-Mailprogramm wird dann neben der Maus oder am unteren Bildschirmrand die – angeblich – verwendete E-Mail-Adresse angezeigt.

 

Die Echtheit des Absenders lässt sich durch die Verifikation des E-Mail-Headers ermitteln. Der Header (Kopfzeile der Mail) beziehungsweise Quelltext der E-Mail kann im E-Mail-Programm angezeigt werden. In den mit "Received From" bezeichneten Zeilen können Nutzer den Weg der Mail verfolgen. Der Versender findet sich in der letzten Received From-Zeile. Teilweise manipulieren Angreifer aber auch die Received-Zeilen, sodass es schwieriger wird, die tatsächliche Herkunft der E-Mail festzustellen. Deswegen gilt bei Zweifeln an der Herkunft einer E-Mail immer: Nicht öffnen, sondern direkt löschen.

 

Auch bei E-Mails von scheinbar bekannten Absendern kann es sich um Spam handeln. Beispielsweise, wenn ein Rechner mit einem Schadprogramm infiziert ist, das automatisch Nachrichten an die Personen im Adressverzeichnis des Opfers versendet. Hier hilft oftmals schon ein Blick auf die Betreffzeile, um zu beurteilen, wie wahrscheinlich es ist, dass gerade diese Person beispielsweise eine englische Formulierung oder einen für sie untypischen Ausdruck verwendet.

 

 

Ziel von Phishing (zusammengesetzt aus den englischen Begriff "fishing" für Angeln und dem voran gestellten "P" wie Passwort) ist, den Opfern Zugangsdaten zu Online-Shops, Online-Banking, E-Mail-Konten oder anderen Internet-Diensten zu entlocken. Sehr gern und oft werden E-Mails von Diensten wie PayPal, Amazon oder Banken gefälscht. Die Empfänger werden darin aufgefordert, einem Link zu folgen, um dort beispielsweise Stornierungen oder eine angeblich sicherheitsrelevante Bestätigung der Nutzerdaten vorzunehmen.

 

Die Aufmachung solcher Mails und der Webseiten, auf die sie verlinken, sieht den Originalen meist täuschend ähnlich. Einen Hinweis auf eine Phishing-Mail gibt die bereits in Irrtum 3 erwähnte Kopfzeile der E-Mail (Header), wo die vollständige Absenderadresse sichtbar wird und teilweise nur marginal vom Original-Absender abweicht. Manchmal fehlt auch die Anrede im E-Mail-Text. Die Versender von Phishing-Mails agieren jedoch immer professioneller, sodass auch eine korrekte Anrede oder ein plausibler Inhalt keine Gewissheit bieten.

 

Auf keinen Fall sollten Empfänger Links in solchen E-Mails folgen! Im Zweifel können Nutzer die Seite des Anbieters im Browser aufrufen und sich direkt auf der dortigen Plattform einloggen, um sich zu vergewissern. Empfehlenswert ist zudem die Deaktivierung der HTML-Anzeige im E-Mail-Programm siehe Irrtum 1.

 

Wenn Sie auf Nummer sicher gehen wollen – ein umfangreiches Schutzpaket für die Gefahren bei der Nutzung des Internets erhalten Sie mit dem Sparkassen-Internet-Schutz.