E-Mail-Sicherheit

Was muss beim Umgang mit E-Mails beachtet werden?

Der Versand von E-Mails verhält sich ähnlich wie die klassische Postzustellung beispielsweise einer Postkarte. Jeder mit etwas Fachwissen kann:

  • Einen Blick auf die Postkarte werfen, also mitlesen,
  • auf der Postkarte herum malen, also verändern, und
  • Postkarten unter falschem Namen absenden, also fälschen.

Der Grund für die ersten beiden genannten Punkte ist die Tatsache, dass E-Mails von sich aus nicht verschlüsselt oder signiert sind. Jeder, der Zugriff auf Teile des Transportwegs hat, kann den Inhalt der E-Mail lesen oder verändern. Fast alle E-Mail-Anbieter bieten mittlerweile Transportverschlüsselung für den E-Mail-Versand an, diese verschlüsselt die E-Mails aber nur bis zum Server des E-Mail-Anbieters!

Wie bei einem klassischen Brief ist auch bei E-Mails die Überprüfung der Absenderangabe bei der Zustellung nicht vorgesehen, sodass das Fälschen möglich ist. Nur beim Verschicken einer E-Mail wird diese Überprüfung teilweise durchgeführt. Der Mailserver der WWU "secmail.uni-muenster.de" nimmt beispielsweise keine E-Mails an, wenn die Absenderadresse nicht zum Versender passt. Allerdings kann die WWU nicht (weltweit) erzwingen, dass E-Mails mit uni-muenster.de- oder wwu.de-Absendern nur über diesen Server verschickt werden.

Wie erkennt man gefährliche E-Mails?

Alle E-Mail-Nutzer kommen früher oder später mit den Begriffen Spam und Phishing in Kontakt, da solche Nachrichten größtenteils über E-Mail verschickt werden. Was man darunter genau versteht, kann auf der Seite zum Thema Gefahren im Internet nachgelesen werden. Doch wie erkennt man Spam-, Phishing-, Betrugs- und andere gefährliche E-Mails? Dies ist oft nicht einfach, da vor allem Phishing-E-Mails immer besser gestaltet sind, sodass sie einen täuschend echten Aufbau und oft übereinstimmendes Design mit legitimen E-Mails bekannter Unternehmen haben. Es gibt einige Anhaltspunkte, auf die Sie aber achten sollten:

  • Absender: Achten Sie auf plausible Absender-Adressen, die zum angeblichen Urheber passen, wie z. B. "...@uni-muenster.de" für E-Mails von der WWU.
  • Anrede: Die meisten Unternehmen werden in der Anrede Ihren richtigen Namen verwenden. In gefälschten Nachrichten werden häufig allgemeingültige Anreden verwendet, wie z.B. "Lieber Kunde", "Sehr geehrter ...-Kunde" oder einfach "Guten Tag".
  • Grammatik/Rechtschreibung: Texte aus betrügerischen E-Mails werden häufig mit Hilfe von Übersetzungstools generiert, so dass gehäuft die Grammatik oder Rechtschreibung nicht stimmt.
  • Dringlichkeit/Drohungen: Die meisten Phishing-Versuche zeichnen sich durch Aufforderungen zu sofortigem Handeln, wie das sofortige Einloggen auf einer Internetseite oder das Überprüfen einer Rechnung, aus. Häufig wird mit angeblichen Konsequenzen (z. B. Sperrung des Zugangs oder Abbuchung hoher Geldsummen) gedroht, falls Sie zu lange warten. Die meisten legitimen Unternehmen werden sich bei dringenden Belangen per Post oder telefonisch an Sie wenden.
  • Angebote/Gewinne: In Spam-Nachrichten für Werbe- oder Betrugszwecke werden häufig tolle Angebote gemacht und hohe Gewinne versprochen. Sollte eine E-Mail solche Angebote oder eine Vielzahl an Werbung enthalten, sollten Sie misstrauisch werden und lieber nicht darauf eingehen.
  • Links: Ein weiteres Merkmal von betrügerischen E-Mails sind kryptisch aussehende oder zum Verwechseln ähnliche Links, z. B. "uni-meunster.de" oder "uni-muenster.de.com" anstatt "uni-muenster.de". Häufig werden solche Links hinter Texten/Knöpfen versteckt. Nehmen Sie den ganzen Link im Tooltip genau unter die Lupe und prüfen die Plausibilität, wenn Sie mit dem Mauszeiger darauf zeigen.
  • Digitale Signaturen: E-Mails mit einer korrekten digitalen Signatur werden in den meisten E-Mail-Anwendungen durch ein Siegel an der Nachricht angezeigt. Da betrügerische E-Mails häufig unter falschen Absenderadressen verschickt werden, besitzen diese in der Regel keine gültige digitale Signatur. Da die Verwendung noch relativ beschränkt ist, werden allerdings die meisten E-Mails sowieso noch unsigniert versendet.

Auf unserer Checkliste: Betrügerische E-Mails erkennen sind noch einmal alle wichtigen Punkte zusammengefasst, an denen Sie erkennen können ob es sich um eine Phishing- oder andere schädliche E-Mail handelt. Wenn mehrere dieser Anhaltspunkte auf eine E-Mail zutreffen, handelt es sich wahrscheinlich um eine betrügerische Nachricht. Löschen Sie diese einfach!

  • Empfehlungen

    Allgemeine Empfehlungen

    Um die Sicherheit Ihrer E-Mails und persönlichen Informationen zu erhalten, aber auch um Ihre Geräte vor Schadsoftware zu schützen, sollten einige Vorsichtsmaßnahmen beim Umgang mit E-Mails beachtet werden:

    • Das Abrufen/Versenden von E-Mails sollte nur auf vertrauenswürdigen Geräten, die mit den Grundschutzmaßnahmen (aktuelles Softwareausstattung mit Antivirus-Software und Firewall) ausgestattet sind, erfolgen.
    • Achten Sie darauf, dass die Verbindung zum Mailserver verschlüsselt ist. Bei Webmail (z. B. OWA oder Permail) sollte die Adresse mit "https" beginnen, bei lokalen E-Mail-Anwendungen sollte immer die SSL-/TLS-Verschlüsselung in den Einstellungen aktiviert werden.
    • Sollten Sie sensible Informationen, wie z. B. Passwörter verschicken, müssen Sie die E-Mail zusätzlich (Ende-zu-Ende) verschlüsseln (siehe Digitale IDs). Die Transportverschlüsselung SSL/TLS verschlüsselt die Daten nur bis zum Mailserver. Vom (Ende-zu-Ende) Verschlüsseln aller Nachrichten wird aber abgeraten.
    • Unterbinden Sie das automatische Nachladen von externen Medien, wie z. B. eingebetteten Grafiken, da diese Schadcode enthalten können. Viele E-Mail-Anwendungen tun dies bereits standardmäßig.
    • Öffnen Sie keine unbekannten oder unerwarteten Dateianhänge. Sollte die E-Mail von einer bekannten Person stammen, erkundigen Sie sich vor dem Öffnen, am besten auf einem anderen Weg, ob die E-Mail tatsächlich von dieser Person verschickt wurde.
    • Seien Sie bei Links in E-Mails vorsichtig. Selbst bei bekannten Absendern sollten Sie Links genau untersuchen, bevor Sie sie anklicken. Bei unbekannten Absendern oder möglichen betrügerischen Nachrichten sollten Sie absolut keine Links anklicken.
    • Geben Sie weder direkt in einer E-Mail noch auf einer verlinkten Internetseite persönliche Informationen, wie z. B. Zugangsdaten, ein.
    • Antworten Sie keinesfalls auf mögliche Spam- oder Phishing-Nachrichten. Am besten löschen Sie solche E-Mails sofort. Sollten Sie Bedenken haben, dass es sich doch um eine legitime E-Mail handeln könnte, erkundigen Sie sich beim vermeintlichen Absender auf anderem Weg.
    • Um gegen Spam vorzugehen, kann ein Spam-Filter genutzt werden. Viele E-Mail-Anbieter/-Anwendungen haben standardmäßig einen Spam-Filter eingebaut. Auch das Postfach der WWU hat einen automatischen Spam-Filter.

    Empfehlungen für dienstliche E-Mails

    Für dienstliche E-Mails müssen einige weitere Regelungen beachtet werden:

    • Für dienstliche Belange muss immer das von der WWU zur Verfügung gestellte E-Mail-Postfach genutzt werden.
    • Die automatisierte Weiterleitung von dienstlichen E-Mails an externe E-Mail-Postfächer ist unzulässig.
    • Die App "Microsoft Outlook" für Android und iOS darf nicht zum Abruf der E-Mails von den Mail-Servern der Universität Münster verwendet werden, da sie Ihre Passwörter an die Systeme des App-Anbieters überträgt. Weitere Informationen finden Sie hier.
    • Nach Möglichkeit sollten alle dienstlichen E-Mails, insbesondere E-Mail-Rundschreiben an viele Empfänger, digital signiert sein.

     

  • Digitale IDs

    Digitale IDs, auch Nutzerzertifikate gennant, stellen eine zusätzliche Möglichkeit dar, um die Kommunikation über E-Mails abzusichern, hauptsächlich durch das Signieren von E-Mails. Im Grunde kann man sich das digitale Signieren einer E-Mail so vorstellen, dass man eine Postkarte in einen Briefumschlag verpackt und diesen versiegelt. Da nur der Besitzer des Siegelstempels dieses setzen kann, kann jeder, der das Siegel erkennt, die Herkunft bestätigen. Außerdem weiß der Empfänger, solange das Siegel intakt ist, dass keine Manipulationen an der Postkarte vorgenommen wurden. Darüber hinaus können E-Mails mit digitalen IDs Ende-zu-Ende verschlüsselt werden, sodass keiner während der Zustellung mitlesen kann. Hierzu benötigt der Empfänger eine eigene digitale ID. Detailliertere Informationen zur Funktion finden Sie z. B. beim BSI.

    Es wird angestrebt, alle offiziellen E-Mails der WWU und nach Möglichkeit auch alle anderen dienstlichen E-Mails digital zu signieren. Zu diesem Zweck stellt die Zertifizierungsstelle der Universität Münster (WWUCA) kostenlos digitale IDs für Angehörige aus, die Sie in MeinZIV beantragen können.

    Jede aktuelle E-Mail-Anwendung bietet die Möglichkeit, Ihre Unterhaltungen automatisch zu signieren, sobald eine digitale ID zur Verfügung steht, oder bei Bedarf auch zu verschlüsseln. Signaturen empfangener E-Mails werden ebenfalls automatisch geprüft und bei Erfolg ein Siegel angezeigt. Weitere Informationen zur Beantragung und Nutzung von digitalen IDs finden Sie auf den Webseiten der WWUCA.

    Digitale ID beantragen
    Digitale ID einrichten