Wie kann man E-Mails absichern?

19.10.2022 | Jindřich Zechmeister

In dem ersten Teil unserer Miniserie über die E-Mail-Sicherheit erklären wir Ihnen, warum Sie auf die Absicherung von E-Mails nicht verzichten sollten. Haben Sie gewusst, dass wir eine E-Mail mit einer Briefkarte vergleichen können, die jeder, der zu ihr Zugang hat, lesen kann? Sollte Ihnen dieses Argument nicht genügen, dann wird Sie von der Notwendigkeit der E-Mail-Absicherung bestimmt die Statistik des Missbrauchs der elektronischen Post überzeugen.

Jeden Tag nutzen wir eine 50 Jahre alt Technologie

Das Prinzip der E-Mail ist, wie auch die Idee des Webs selbst, sehr alt. Die erste E-Mail wurde schon vor 51 Jahren abgesendet und nur schwierig würden wir nach einer ähnlich beliebten und haltbaren Technologie suchen (erinnern Sie sich an Dial-up Internet (Wählleitung), Disketten oder VHS). Sollten Sie über die Geschichte der E-Mail mehr erfahren möchten, empfehlen wir Ihnen Wikipedia und das Schlagwort E-Mail.

Die E-Mail dient noch immer als das verbreitetste Kommunikationsmittel, welches alle ausnutzen können, weil es einfach und verfügbar ist. In 2022 nutzen wir aber noch immer eine ein halbes Jahrhundert alte Technologie, womit ihre Autoren zur Zeit ihrer Entstehung bestimmt nicht gerechnet haben. Am Anfang des Mailens haben die Nutzer zum Beispiel Spam, also unerwünschte Nachrichten, sicher nicht gekannt. Auch würden sie sich heute bestimmt darüber wundern, dass wir uns die E-Mails in HTML und mit großen Anhängen senden und dass wir sie auch verschlüsseln können.

Die einfache Nutzung der E-Mail müssen wir aber mit ihrer fehlenden Sicherheit bezahlen. Es ist gut zu wissen, dass die E-Mail für die Identität der kommunizierenden Seiten gar nicht haftet und dass diese deshalb unter beliebigen Namen auftreten können. Dieses Problem versucht man schon Jahrzehnte zu lösen.

Die E-Mail ist wie eine Briefkarte, die jeder lesen kann

Die Autoren der E-Mail haben nicht vorausgesetzt, dass sie auch geheime Informationen übertragen sollte, und erst ihre Evolution und Modernisierung in der Form des S/MIME Protokolls hat ihre Absicherung ermöglicht. Die Absicherung stellt aber noch immer nur ein Ergänzungstool dar, welches sich der Nutzer selbst besorgen muss.

Ein weiteres großes Problem der E-Mail ist die Absicherung der Informationen während ihrer Übertragung – daran wurde bei der Entwicklung nicht gedacht und der Standard der elektronischen Internet-Mailing MIME kann diesen Mangel nicht lösen. Eine E-Mail können Sie sich als eine Briefkarte vorstellen, die durch die Welt wandert, und jeder, der auf diese Briefkarte stoßt, kann sie auch lesen. Die Aufgabe der E-Mail besteht nicht darin, eine Information vor anderen zu schützen und geheim zu halten, sondern darin, sie nur zu übertragen.

Auf ihrem Weg durchs Internet kann man die E-Mails vor unerwünschten Lesern mit Verschlüsselung schützen. Der Verschlüsselungsprozess erfolgt zwischen den Servern, die sich die Nachricht übergeben. Weder können Sie sich aber darauf verlassen, dass die Mailserver tatsächlich verschlüsselt kommunizieren – Sie können es nur voraussetzen. Noch kann die Verschlüsselung der übertragenen Daten die auf dem Server des Empfängers oder auf Ihrem Desktop „liegende“ Nachricht schützen. Auch eine nicht autorisierte Person kann sie immer noch lesen, weil sie als ein einfacher Text gespeichert ist.

Möchten Sie die Verschlüsselung ausnutzen und die Sicherheit haben, dass sie tatsächlich eingesetzt wird? Dann müssen Sie den Prozess selbst in Hand nehmen und das S/MIME Protokoll für die Absicherung der E-Mail-Nachrichten einstellen. Es kann die E-Mails nicht nur signieren, sondern auch verschlüsseln und das Geheimnis des Empfängers behalten. Wie Sie das S/MIME Protokoll aktivieren können, erfahren Sie im dritten Teil unserer Serie.

Warum sollten wir die E-Mail-Kommunikation absichern?

Nur ungern haben wir Sie mit den oben aufgeführten Informationen beunruhigt. Um Sie von der Notwendigkeit der Mailabsicherung aber tatsächlich zu überzeugen, bieten wir Ihnen noch einige Statistiken, die eine öffentliche Forschung erbracht hat:

• Unglaubliche 99,9 % aller E-Mails werden über das MIME Protokoll abgesendet. Dieses kann weder die Identität des Absenders überprüfen, noch sicherstellen, dass die Nachricht nicht geändert worden ist.
• 90 % von Firmen nutzen zugängliche Technologien (DKIM, SPF und DMARC), die ihre geschäftlichen E-Mails schützen könnten, nicht aus.
• Nach FBI hat der durch den Missbrauch von E-Mails verursachte Schaden erstaunliche 43 Milliarden Dollar erreicht.

Private Korrespondenz enthält meistens keine sensiblen Daten und interessiert die Angreifer nicht. Diese bemühen sich eher darum, jemanden in einer Firma zu betrügen, weil sie dann das Unternehmen um deutlich mehr Geld als einen Einzelnen bringen können.

Sehr häufig zielen die Angreifer deshalb auf konkrete Angestellte einer Firma und missbrauchen dazu den Namen eines Kollegen oder Vorgesetzten. Die von den Mitarbeitern stammende E-Mails halten die meisten Nutzer für sicher und die von dem CEO gemailten Anweisungen fürchten sie zu ignorieren, löschen, oder melden und deshalb befolgen sie sie blind. Den Angreifern reicht es somit meistens nur den E-Mail-Verkehr einer Firma zu beobachten und lesen (typischerweise ein paar Monate) und den Angriff dann geeignet zu richten.

Eine E-Mail unter einem gefälschten Namen abzusenden ist unglaublich einfach. Als Absender kann man jeglichen Namen einstellen, ohne den Zugang zu der Firmenpost oder Firmendomain zu benötigen. Die Clients akzeptieren eine solche Nachricht und zeigen den eingestellten Namen des Absenders an, weil es nicht ihre Aufgabe ist, zu überprüfen, ob die Nachricht tatsächlich von dem deklarierten Absender stammt.

Lesen Sie auch den zweiten Teil unserer Serie

In dem nächsten Teil dieser Serie erfahren Sie, wie Sie oder Ihre Administratoren die Mailadressen und Domain des Absenders vor Spam und Betrügern schützen können.

---