FAQ zu E-Mail-Sicherheit
So sichern Sie Ihre E-Mails ab
Welche Sicherheitseinstellungen sind bei Outlook sinnvoll?
In Zusammenhang mit der vorherigen Frage ist es zunächst einmal sehr sinnvoll, das Mail-Programm so zu konfigurieren, dass es automatisch alle Nachrichten nur noch im Textformat anzeigt. Dies gelingt in neueren Outlook-Versionen über das sogenannte Vertrauensstellungscenter (bis Outlook 2007) oder Sicherheitscenter (ab Outlook 2010). Erreicht werden können diese Einstellungen über den Weg: Datei/Optionen/Sicherheitscenter/Einstellungen für das Sicherheitscenter/E-Mail-Sicherheit. Dort kann ein Anwender festlegen, dass Standardnachrichten (und auch signierte Nachrichten) nur im Textformat angezeigt wird. Zeigt sich beim Lesen einer derart konvertierten E-Mail, dass sie im Textformat nur schwer oder überhaupt nicht lesbar ist, lassen sich die ursprünglichen Formatierungen wiederherstellen. Dies geschieht per Mausklick auf "als HTML anzeigen". Bitte nur anwenden, wenn die Nachricht aus einer verlässlichen Quellen stammt!
Wer nicht ganz auf HTML-Nachrichten verzichten will, dabei aber die Sicherheit verbessern möchte, kann im Sicherheits- oder Vertrauensstellungscenter auch den Eintrag "Automatischer Download" auswählen. Hier sind verschiedene Konfigurationen möglich, wie das Ausschalten des automatischen Bilder-Downloads in HTML-Nachrichten. Höchste Sicherheit bietet nur das Sperren aller angebotenen Optionen - seien Sie sich jedoch darüber im Klaren, dass die Nachrichten dann nicht mehr unbedingt "leserfreundlich" aussehen.
- Ignorieren Sie E-Mails, die zur Eingabe vertraulicher Daten auffordern!
<strong>Merkmal:</strong> Um eine möglichst hohe Öffnungsquote zu erreichen, wird oft versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei PayPal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf eine von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen.<br /><br /> <strong>Tipp:</strong> Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf denen Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)! - Überprüfen Sie, ob die Website gesichert ist!
<strong>Merkmal:</strong> Webseiten, auf denen wichtige Daten eingegeben werden sollen, sind in der Regel durch eine sichere Verbindung geschützt. Dies lässt sich daran erkennen, dass die Web-Adresse (URL) mit https:// statt mit http:// beginnt. Verweist eine E-Mail, die zur Eingabe vertraulicher Daten auffordert, auf eine ungesicherte Website, ist diese mit hoher Wahrscheinlichkeit gefälscht. Oftmals verbergen die Phisher die tatsächliche Ziel-URL jedoch hinter einer angeblich gesicherten Scheinadresse.<br /><br /> <strong>Tipp:</strong> Überprüfen Sie, wohin der Link tatsächlich führt: mittels Rechtsklick auf den Link und Auswahl von „Eigenschaften“ oder, wenn Sie den Link bereits angeklickt haben, durch Überprüfung der Adresse in der Adresszeile. Auch hier gilt: Im Zweifel den Link nicht anklicken und die E-Mail löschen! - Achten Sie auf die genaue Schreibweise der URL!
<strong>Merkmal:</strong> Um an ihr Ziel zu kommen, müssen die Phisher den Anschein erwecken, die E-Mail sowie die Seite, auf welcher der Nutzer seine Daten eingeben soll, wären echt und gehörten dem angeblichen Absender. Daher wählen sie Adressen, die auf den ersten Blick wie eine echte Adresse, beispielsweise der Bank, aussehen. Dabei werden von der Bank nicht benutzte, aber plausibel erscheinende Adressen verwendet (z. B. www.sparkasseonline. de) oder unauffällige Schreibfehler eingebaut ("postank" statt "postbank").<br /><br /> <strong>Tipp:</strong> Achten Sie immer auf die Schreibweise der URL (auch schon im E-Mail-Absender!) und überprüfen Sie diese auf Schreibfehler! Überprüfen Sie auch, welche URL das Unternehmen normalerweise hat (durch Vergleich mit der Website oder mit echten E-Mails)! - Achten Sie genau darauf, welche Daten Sie eingeben sollen!
<strong>Merkmal:</strong> Zugänge zu Online-Konten, aber auch der Einsatz von Kreditkarten benötigen meist ein mehrstufiges Authentifizierungsverfahren. Bei Online-Konten sind das beispielsweise Kontonummer und TAN, bei Kreditkarten Kartennummer, Ablaufdatum und die dreistellige Prüfnummer. Als sichere Alternative gibt es seit einiger Zeit auch die Verifizierung über das so genannte 3D-Secure-Verfahren (z.B. „Verified by Visa“).<br /><br /> <strong>Tipp:</strong> Werden Sie aufgefordert, mehr als eine TAN oder sowohl ihre Prüfnummer als auch die 3D-Secure-ID einzugeben, handelt es sich um Phishing. Seriöse Websites verlangen nie beide Daten gleichzeitig. - Nicht nur Konto- und Kreditkarten-Phishing ist gefährlich!
<strong>Merkmal:</strong> Schon längst beschränkt sich das Interesse der Phisher nicht mehr nur auf Bank- oder Kreditkartendaten. Generell ist jeder Zugang zu Online-Diensten interessant, sei es das Webmail-Konto, der Zugang zu sozialen Netzwerken, selbst Business-Dienste wie Google AdWords. Dabei nutzen beispielsweise Spammer die erbeuteten Daten, um Kampagnen für eigene Seiten zu schalten – auf Kosten der betrogenen Nutzer.<br /><br /> <strong>Tipp:</strong> Behandeln sie alle Zugangsdaten zu Internetdiensten vertraulich, auch wenn sie Ihnen nicht wichtig erscheinen! Angebliche E-Mails von Facebook oder Hotmail können genauso gefährlich sein wie solche von Ihrer Bank.
Ist vom Einsatz einer Web-Mail-Lösung grundsätzlich abzuraten?
Grundsätzlich können Web-Mail-Lösungen heute ebenso gut eingesetzt werden wie "althergebrachte" E-Mail-Lösungen auf dem Rechner. Allerdings gilt beim Einsatz von Web-Mail-Anwendungen der gleiche wie für Cloud-Dienste ganz allgemein. Wer eine Web-Mail-Lösung verwendet, muss immer ein besonderes Augenmerk auf die Client-Server-Verbindung haben (sei es auf Notebook, Tablet oder Smartphone) und die folgenden Grundsätze beachten:
-
Zugriff auf Web-Mail-Konten nur und ausschließlich über SSL-Verbindungen - nie eine offene Verbindung zulassen.
-
Sicherstellen, dass die Webseite auch schon bei der Anmeldung verschlüsselt ist - mache Seiten schalten die SSL-Verbindung erst NACH dem Verbindungsaufbau ein, wodurch der Name und das Passwort des Anwenders unverschlüsselt übertragen werden. Mit der Erweiterung HTTPS Everywhere kann man Firefox und Google Chrome dazu bringen, bei Webseiten immer eine verschlüsselte Verbindung zu verwenden - falls verfügbar.
-
Kommt das Mail-Konto für geschäftliche Zwecke zum Einsatz, sollte sichergestellt sein, dass der Provider die Daten in Deutschland oder mindestens in der EU hostet.
-
Wer mit seinem mobilen Client auf eine Web-Mail-Lösung oder auch auf den regulären Mail-Server zugreift, sollte dazu NIEMALS einen öffentlichen nicht verschlüsselten WLAN-Hotspot verwenden.
Ein Web-Mail-Konto eignet sich gut als "Zweit-Postfach": Wer sein eigenes "echtes" Mail-Postfach konsequent nur für die wichtige Kommunikation mit vertrauenswürdigen Absendern/Empfänger verwendet, kann ein solches (zumeist kostenloses) Zweitkonto gut dazu verwenden, um beispielsweise interessante Beiträge von Firmenseiten herunterzuladen, die zumeist die Eingabe einer E-Mail-Adresse verlangen. Auch die Teilnahme an Gewinnspielen und ähnlichen Aktivitäten wird so sicherer: Werden im Rahmen dieser Kontakte Spam-Nachrichten ausgelöst (was leider immer noch der Fall ist), landen diese nur auf dem Zweitkonto und verstopfen nicht die wirklich wichtige Adresse.