23. Juli 2009 - Mail-Sicherheit

Nur sensibilisierte Mitarbeiter und offene Standards machen E-Mails sicherer

Absenderangaben in E-Mails lassen sich leicht fälschen. Initiativen wie trustedDialog setzen auf E-Mail-Siegel, um die Echtheit einer elektronischen Nachricht zu bestätigen. Doch reichen solche Industrieinitiativen, um die Mail-Sicherheit zu erhöhen? Was bietet trustedDialog, und wo stößt es an seine Grenzen?

nur-offene-standards-machen-e-mails-wirklich-sicherer.jpeg
Das trustedDialog-Logo (Quelle: GMX)

E-Mails sind aus der heutigen Bürokommunikation nicht mehr wegzudenken. Gleichzeitig steigen aber die Risiken durch gefälschte E-Mails weiter an: durch die Vorgabe einer falschen Identität wird Vertrauen erschlichen, Rechner werden durch Malware-Dateianhänge verseucht, Passwörter über manipulierte Hyperlinks gestohlen.

Die wiederholte Forderung nach mehr Sicherheit in der E-Mail-Kommunikation verliert nicht an Wichtigkeit, im Gegenteil.

Technische Ansätze sind oft anspruchsvoll

Eigentlich könnten Echtheit und Integrität einer E-Mail schon seit langem überprüft werden. Digitale Mail-Zertifikate stellen dazu ein wirkungsvolles Werkzeug dar. Doch die meisten Internetnutzer schrecken vor der scheinbar anspruchsvollen Verwendung zurück.

Alternative Verfahren wie DKIM sind vielversprechend, haben aber noch keine ausreichende Verbreitung. Auch DE-Mail schickt sich an, in die E-Mail-Kommunikation mehr Sicherheit und Vertraulichkeit zu bringen.

Checkliste Mail-Sicherheit für die Mitarbeiter-Schulung

Ein anderer Ansatzpunkt sind die eigenen Kollegen: Sorgen Sie für eine Sensibilisierung in puncto E-Mail-Sicherheit:

Prüfansatz Ja Nein
Ist den E-Mail-Nutzern im Unternehmen bekannt, dass Mail-Absenderangaben gefälscht sein können?
Werden E-Mail-Anhänge nicht geöffnet, bevor ein aktueller Viren-Scan an der Datei durchgeführt wurde, auch wenn der Absender scheinbar bekannt ist?
Werden E-Mails nicht zum Austausch vertraulicher Daten genutzt, wenn keine zuverlässige Verschlüsselung vorliegt?
Werden Hyperlinks in E-Mails nicht ungeprüft (Online-Scan der URL) angeklickt, auch wenn sie scheinbar von einem Bekannten kommen?
Ist den E-Mail-Nutzern bekannt, dass angebliche E-Mail-Siegel als Bild-Dateien in HTML-Mails auch gefälscht sein können?
Ist den E-Mail-Nutzern deutlich geworden, dass Angaben zur Virenfreiheit innerhalb einer E-Mail gefälscht sein können?
Wurden die Mail-Nutzer über den tatsächlichen (eher geringen) Aufwand durch Mail-Zertifikate unterrichtet?

E-Mail-Siegel als Industrieinitiative

Mitte Juni 2009 zeigte die Initiative trustedDialog einen weiteren Weg auf, wie sich die Echtheit und Unversehrtheit von E-Mails für den Anwender überprüfen lassen soll: ein E-Mail-Siegel, das bisher von dem Versandhaus Otto, der Postbank, dem Online-Marktplatz eBay, dem Internetprovider 1&1, dem Online-Shop Weltbild.de sowie den Mail-Providern Web.de und GMX unterstützt wird.

Wie GMX auf Anfrage von Datenschutz PRAXIS mitteilte, sei die Initiative offen für weitere Mitglieder. Man wolle weitere Marken sowohl auf Partner- als auch auf Providerseite für die Initiative gewinnen, da trustedDialog damit auch ein de facto Marktstandard werden könne.

Eine Frage von Offenheit und Standard

Bislang jedoch ist die Industrieinitiative auf einen klar begrenzten Kreis von Internetnutzern beschränkt: Nur Kunden von Web.de und GMX können das E-Mail-Siegel sehen, und zwar nur dann, wenn eine entsprechend gekennzeichnete E-Mail von Otto, eBay, Weltbild.de, 1&1 oder der Postbank eintrifft.

Ohne die Offenheit für weitere Partner kann eine Initiative wie trustedDialog nicht zum Marktstandard werden, und ohne Standard-Charakter besteht die Möglichkeit, dass sich die Anwender über kurz oder lang mehreren verschiedenen E-Mail-Siegeln gegenüber sehen.

Dann jedoch wäre die Überprüfung, ob es sich bei dem angezeigten Siegel tatsächlich um ein Merkmal für die Echtheit des Mail-Absenders handelt, nicht benutzerfreundlich, denn der E-Mail-Empfänger müsste sich verschiedene E-Mail-Siegel merken.

Wie GMX mitteilte, zeigte eine zum Thema trustedDialog durchgeführte Studie, dass sich zwei Drittel der Befragten ungestützt an das E-Mail-Siegel erinnern. Ob dies jedoch bei mehreren E-Mail-Siegeln auf dem Markt auch noch so wäre, ist aus Sicht des Autors fraglich.

Sicherheit braucht Flexibilität

Neben der gegenwärtigen Beschränkung auf bestimmte E-Mail-Provider und Mail-Absender wird bei trustedDialog ein weiteres Problem deutlich, das erst durch einen echten Marktstandard gelöst werden könnte.

Bisher kann nur bei Verwendung der Web-Mail-Zugänge von Web.de und GMX sichergestellt werden, dass das E-Mail-Siegel als Kennzeichen für die Echtheit des Mail-Absenders dem Anwender auch wirklich angezeigt wird. Nutzt der Mail-Empfänger dagegen einen Mail-Client auf seinem Rechner, kann die Anzeige des E-Mail-Siegels durch trustedDialog nicht technisch gesteuert werden.

Dazu müssten die verschiedenen E-Mail-Programme wie Outlook oder Thunderbird die Darstellung des Siegels technisch unterstützen. Und diese technische Unterstützung hängt erfahrungsgemäß davon ab, wie verbreitet ein bestimmter Dienst ist und somit wie viele Anwender des Mail-Programms die Unterstützung letztlich wünschen.

Guter Ansatz, Zukunftsfähigkeit muss sich aber noch zeigen

Industrieinitiativen wie trustedDialog sind somit eine erfreuliche Maßnahme im Kampf gegen Phishing, Spam und Mail-Betrug. Damit die Mail-Sicherheit jedoch auf breiter Front steigen kann, müssen die Sicherheitsfunktionen flexibel anwendbar und für einen weiten Benutzerkreis zugänglich sein. Ob die Initiative die notwendige kritische Masse erreichen kann, wird sich zeigen müssen.

Erforderlich wäre dazu insbesondere, dass zahlreiche Mail-Provider der Mail-Sicherheit einen größeren Stellenwert beimessen als dem Wettbewerb auf dem engen Internetmarkt.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln