Harmlose Geburtstagsgrüße, aber auch sensible Inhalte wie Kontodaten oder geschäftliche Korrespondenz: All das verschicken viele Internetnutzer heute nicht mehr per Post, sondern via E-Mail. Pro Monat werden laut verschiedener Statistiken weltweit mehrere Billionen elektronischer Nachrichten ausgetauscht – damit ist die E-Mail das meistverwendete Kommunikationsmittel der modernen Gesellschaft. Und das aus gutem Grund, sagt Norbert Pohlmann, Professor für Informatik und Leiter des Instituts für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen: „Die E-Mail hat klare Vorteile. Jeder kann damit umgehen, weil die Handhabung sehr einfach ist.“ Zudem sei sie schnell und günstig.
Was auf den ersten Blick unkompliziert klingt, hat jedoch einen Haken. Denn E-Mails zu versenden und zu empfangen, das ist keinesfalls ohne Risiko, betont Pohlmann. In seinem Buch „Sicher im Internet – Tipps und Tricks für das digitale Leben“ hat er dargestellt, wo die Gefahren liegen. „Die E-Mail ist wie eine Postkarte. Es wird vom E-Mail-Dienst keine Vertraulichkeit garantiert. Inhalte, die ich per Mail verschicke, werden im Klartext übertragen. Das stellt ein großes Risiko dar.“
Auf dem Weg vom Absender zum Empfänger durchläuft die elektronische Nachricht viele Stationen, zum Beispiel E-Mail-Server, Verteilstationen und Webmailer. Da die meisten E-Mails unverschlüsselt verschickt werden, kann jeder, der Zugriff auf diese Stationen hat, den Inhalt der Nachricht lesen. „Für solche digitalen Systeme ist es auch ganz einfach, die Nachrichten heimlich zu duplizieren und an weitere Empfänger zuzustellen – oder auch automatisiert nach bestimmten Begriffen zu durchsuchen“, erklärt Laura König von Regify, einem Luxemburger Unternehmen, das sich auf E-Mail-Sicherheit spezialisiert hat. Die Zahl von Hacker-Angriffen auf elektronische Nachrichten nehme stetig zu, warnt König: „Das Thema E-Mail-Sicherheit wird vor allem in kleinen und mittleren Unternehmen und bei Privatpersonen aber oft noch sehr stiefmütterlich behandelt.“
Erst vier Prozent verschlüsselt
Norbert Pohlmann kann das bestätigen. Bislang würden nur weniger als vier Prozent aller Mails verschlüsselt verschickt. In Zeiten, in denen Unternehmen sich beispielsweise gegenseitig Verträge per Mail zusenden, sei das sehr leichtsinnig. „Ich empfehle jedem, Mails beziehungsweise die Anhänge von Mails nur verschlüsselt zu verschicken. Es sei denn, der Inhalt der Mail könnte so auch auf einer Postkarte stehen, für jeden offen lesbar.“
Beim Verschlüsseln wird die Mail so codiert, dass Hacker sie nicht einfach mitlesen können. Außerdem kann man – wie beim Einschreiben – Statusmeldungen anfordern. Zum Beispiel darüber, ob die Mail tatsächlich verschickt, empfangen und gelesen wurde. Programme wie „regimail“ von Regify lassen sich in den lokalen E-Mail-Client wie Microsoft Outlook oder Mozilla Thunderbird integrieren. Der Service ist auch mit jeder beliebigen und schon bestehenden E-Mail-Adresse nutzbar. „Ein Register speichert die vollständige Transaktions-Geschichte. So kann ich immer nachvollziehen, wann ich was verschickt habe – und an wen“, erklärt König. Alternativ können verschlüsselte E-Mails auch direkt im Portal des Regify-Providers erstellt und versendet beziehungsweise empfangen werden. „Hier haben wir ein Sicherheitsniveau wie beim Online-Banking“, sagt Laura König.
Um die verschlüsselte Nachricht lesen zu können, muss sich der Empfänger kostenlos bei einem beliebigen Regify-Provider registrieren. Norbert Pohlmann empfiehlt zudem Open-Source-Programme wie „Pretty Good Privacy“ (PGP). Um verschlüsselte Anhänge wie PDF- oder Word-Dateien zu öffnen, benötigt man hier aber ein Passwort. „Diesen Schlüssel sollte man keinesfalls per Mail verschicken, sondern immer auf anderem Weg an den Empfänger übermitteln. Per Telefon zum Beispiel oder per SMS“, sagt Pohlmann. Diese Technologie werde derzeit bereits stark von Banken genutzt.
Artikel 10 des Grundgesetzes besagt: „Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.“ Das gilt für alle Informationen, die zielgerichtet von A nach B gesendet werden, sagt der Dortmunder Fachanwalt für Internetrecht, Hendrik Peters: „Wenn ich bemerke, dass meine Mail gehackt worden ist, sollte ich dies natürlich strafrechtlich zur Anzeige bringen. Wird ein Täter ermittelt, kann es auch zur Verurteilung kommen. Aber das ändert ja nichts daran, dass mir ein Schaden entstanden ist. Der Inhalt der Mail, meine vertraulichen Daten sind erst einmal weg.“ Peters rät deshalb, sich grundsätzlich vor solchen Angriffen abzusichern – ob als Privatperson oder Unternehmen. Er selbst verschicke E-Mails grundsätzlich nur verschlüsselt.
Vorsicht ist auch bei Spam-Mails geboten.
„Wir müssen uns bewusst machen, dass uns weltweit jeder E-Mails senden kann. Nicht alle davon wollen wir auch empfangen“, erklärt Norbert Pohlmann. Laut einer Studie der ENISA (European Network and Information Security Agency) ist der Spam-Anteil bezogen auf alle weltweit verschickten E-Mails größer als 95 Prozent. Dank intelligenter Filtermechanismen kommen in den E-Mail-Postfächern inzwischen zwar nicht mehr so viele Spam-Mails an – den
-noch müsse man wachsam sein. „Die Anhänge von Spam-Mails werden dazu missbraucht, beim Empfänger Viren, Würmer, Trojaner oder andere schädliche Software auf den Computer zu schleusen. Solche Nachrichten sind häufig personalisiert und werden vom Benutzer deshalb als vertrauenswürdig eingestuft.“ Norbert Pohlmann rät, nur Mails zu öffnen, deren Absender man auch kennt. „Momentan kämpfen wir noch damit, dass es kaum möglich ist, zu verifizieren, ob Absender und Inhalt einer Mail, die wir in unserem Postfach finden, tatsächlich echt sind. Wir können also nicht eindeutig feststellen, ob die E-Mail während der Übertragung nicht manipuliert worden ist.“
Pohlmann empfiehlt deshalb, mit digitalen Signaturen zu arbeiten. Damit kann jeder prüfen, wer der wahre Absender einer Nachricht ist. Erst dadurch werde eine E-Mail auch gesetzlich verbindlich. Die Bundesnetzagentur veröffentlicht jedes Jahr eine Liste mit Mindestanforderungen für die Erzeugung qualifizierter elektronischer Signaturen. Susanna Zdrzalek
· Vertrauliche E-Mail-Inhalte und Anhänge nur verschlüsselt verschicken und empfangen
· Beim Versand von E-Mails mit digitalen Signaturen arbeiten
· E-Mails nur dann unverschlüsselt verschicken, wenn der Inhalt – wie auf einer Postkarte – für jeden öffentlich lesbar sein darf
· E-Mails nur öffnen, wenn man den Absender auch wirklich kennt. Im Zweifelsfall anrufen und nachfragen, ob tatsächlich eine E-Mail verschickt wurde
· Vorsicht bei Spam-Mails. Diese im Zweifel sofort löschen
Wie sicher ist Ihre Firmen-IT wirklich? Machen Sie den Check auf 21 Seiten – unter creditreform-magazin.de/itsicherheit
