Security-Kompendium 2023: Geräte und Dienste absichern in wenigen Minuten
Seite 6: Checkliste: E-Mail
(Bild: Andreas Martini)
Auch wenn sich immer mehr Kommunikation auf andere Kanäle verlagert: Ganz ohne E-Mails kommt kaum jemand aus, weshalb Kriminelle sehr gerne dieses alte Medium nutzen. Umso wichtiger ist es, die Gefahren zu kennen.
Wachsam sein
Plumpe, leicht erkennbare Spam-Mails gibt es nach wie vor. Aber auch die Mail vom langjährigen Kunden, die mit passender Anrede fehlerfrei formuliert ist und Bezug auf Nachrichten von letzter Woche nimmt, kann gefälscht sein. Angreifer konnten solche gut gemachten Fälschungen auch schon vor der Verbreitung von Sprach-KI-Systemen weitgehend automatisch erstellen und verschicken. Man muss also keineswegs einer gezielten Attacke ausgesetzt sein und die Annahme "uns kleine Fische wird es schon nicht treffen", ist eine ganz schlechte Idee.
Misstrauen Sie daher jeder E-Mail. Nicht nur, aber besonders dann, wenn Anhänge oder Geld im Spiel sind und die Mail scheinbar vom Chef oder der Bank kommt und ganz dringend und wichtig ist. Statt auf Links in einer Mail zu klicken, rufen Sie Websites besser über Ihre eigenen Bookmarks auf. Schlagen Sie Telefonnummern nach, statt den Angaben in einer Mail blind zu vertrauen. Ignorieren Sie niemals Sicherheitswarnungen beim Öffnen von Anhängen, ganz egal was die Mail behauptet, und fragen Sie über einen anderen Kanal beim Absender nach, wenn ein Anhang unerwartet oder untypisch ist.
Mailclient absichern
Ihren Mailclient können Sie so einstellen, dass er zumindest ein paar Risiken eliminiert: Das Nachladen externer Inhalte sollten Sie verbieten, was viele Mailprogramme zum Glück standardmäßig tun. Newsletter und so manch andere Mail sieht dadurch weniger schön aus, aber externe Inhalte werden gerne für (Werbe-)Tracking genutzt und sind auch immer wieder an Sicherheitslücken beteiligt.
Ähnliches gilt für HTML-Mails. Schalten Sie die HTML-Ansicht am besten ganz aus und lassen Sie Ihren Client nur die Textansicht anzeigen. Eine Option dafür bietet fast jeder Client, wenn auch mitunter gut versteckt. Im verbreiteten Client Thunderbird klicken Sie im Menü auf "Ansicht/Nachrichteninhalt/Reiner Text". Nur wenn diese Ansicht absolut unleserlich (oder leer) ist, sollten Sie auf die HTML-Darstellung ausweichen – und eine Extraportion Skepsis walten lassen. Viele Mailclients erlauben, HTML-Inhalte temporär und direkt aus der Mailansicht zu aktivieren, sodass der Komfortverlust gering ist. In Thunderbird rüstet das Add-on "Allow HTML Temp" diese Option nach.
Verschlüsselung
Die Verschlüsselung von E-Mails ist ein Trauerspiel, das sich nur sehr langsam bessert. Sofern Sie keinen Mailclient im Browser nutzen, sollten Sie zunächst in den Programmeinstellungen sicherstellen, dass zum Versand und Empfang TLS oder STARTTLS genutzt werden. So wandern Ihre Mails und Passwörter zumindest nicht im Klartext durch das Hotel-WLAN.
Manche Mail-Provider erlauben, Mails nur dann zu versenden, wenn so eine Transportverschlüsselung bis zum Zielserver aufgebaut werden kann. Dann können immerhin nur noch die beteiligten Mailserver mitlesen. Sofern Ihr Anbieter diese empfehlenswerte Option anbietet, finden Sie sie in den Account-Einstellungen des Providers.
Alle Lauscher aussperren können Sie nur mit Ende-zu-Ende-Verschlüsselung. Die ist leider in der Handhabung eher kompliziert und die einschlägigen Standards S/MIME und OpenPGP kämpfen mit diversen Problemen und einer geringen Verbreitung. Wenn Sie sich mit Ihren Korrespondenten auf ein Verfahren einigen können, sollten Sie es aber nutzen: Besser als nichts sind beide Verfahren allemal. Zum Einstieg bietet sich der erwähnte Mailclient Thunderbird an. Er hat seit Version 78 eine relativ einsteigerfreundliche OpenPGP-Unterstützung integriert.
Als Notlösung bieten manche Provider an, Mails automatisch per OpenPGP oder S/MIME zu verschlüsseln, wenn sie bei Ihnen eingehen. Die Nachrichten sind dann immerhin vor fremden Augen sicher, sobald sie Ihren Account erreicht haben. Um selbigen abzusichern, sollten Sie Zwei-Faktor-Authentifizierung (2FA) nutzen, was die meisten Mailprovider mittlerweile anbieten.
Bedachtes Mailen
Hinterfragen Sie auch beim Versand, wie und wofür Sie E-Mails nutzen. Reine Textmails zu verschicken verhindert zwar schicke Formatierungen, erspart aber den Empfängern die Risiken von HTML-Mails. Mehr noch gilt das für ausführbare Dateien oder Office-Dokumente mit Makros. Solche verdächtigen Inhalte wollen Sie nicht per Mail empfangen, also versenden Sie auch nichts Derartiges.
