Sicherheits-Irrtümer: E-Mail-Sicherheit

  • Irrtum 1: „Mir kann nichts passieren, wenn ich eine Mail nur anschaue, aber keinen Anhang öffne.“ Das trifft nur für reine Text-Mails zu. Heute soll aber ja alles schön bunt und farbig sein und es sollen ja auch Bilder (z.B. das Firmenlogo) mitgeschickt werden. Das geht nur mit HTML-Mails – und das bedeutet, dass Sie eigentlich keine Mail öffnen, sondern sich eine Webseite ansehen, auch wenn es im Mailprogramm geschieht. Also gelten auch alle Gefahren des Surfens im Internet: im HTML-Quellcode können alle möglichen Schadprogramme und gefährliche Links eingebettet sein. Das einzige was dagegen hilft, ist die Anzeige der Mail auf „Nur-Text-Modus“ einzustellen und nur bei vertrauenswürdigen Absendern dann im Einzelfall in die HTML-Ansicht zu wechseln. Siehe auch: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html;jsessionid=E25892C1AA13D761B41B363E7977A717.2_cid369?nn=7904670&cms_pos=4
  • Irrtum 2: „Auch bei Spam-Mails kann man gefahrlos auf den Link zum Löschen aus dem Verteiler klicken.“ Auf gar keinen Fall sollten Sie dies tun! Ganz im Gegenteil: Spam-Mails sollten sie umgehend, und am besten ohne sie überhaupt zu öffnen, löschen – oder Ihrem Provider über den dafür bereit gestellten Knopf/Ordner als Spam melden. Unter „Spam“ werden verschiedene Sorten an unerwünschten Mails zusammengefasst: von der reinen Werbung über Verteilung von Schadsoftware und Versuchen, Sie auf dubiose Webseiten zu locken bis hin zu Phishing. Allen gemein ist, dass Sie natürlich nicht aus dem Verteiler gelöscht werden, wenn Sie den Link anklicken: ganz im Gegenteil, durch den Klick weiß der Spammer, dass diese E-Mail Adresse gültig ist und das Spam-Aufkommen wird noch weiter ansteigen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert über Spam und Schutzmaßnahmen hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/spamPhishingCo_node.html. Siehe auch: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html?nn=7904670#doc7827646bodyText2
  • Irrtum 3: „Auf die Absenderangabe einer E-Mail kann ich mich verlassen.“ Das ist leider nicht richtig: sowohl der angezeigte Absendername als auch die angebliche Absenderadresse lassen sich mit sehr wenig Aufwand fälschen. Spammer und Phisher tun das auch. Einen ersten Hinweis bekommen Sie, wenn Sie mit der Maus über den angezeigten Absendernamen fahren – Ihr Mailprogramm sollte Ihnen dann die technische Absenderadresse anzeigen. Wenn diese nicht mit dem Namen übereinstimmt, ist Vorsicht geboten. Genauer können Sie es nur durch die Analyse der Mail-Header (die die meisten Mailprogramme anzeigen können, leider nicht alle), insbesondere die Kette von „Received:“ Zeilen, herausfinden. Vergleichen Sie auch den Betreff mit dem angeblichen Absender: passt das zusammen? Selbst Mails von bekannten Kommunikationspartnern müssen nicht sicher sein: deren Rechner könnte gehackt worden sein – oder jemand anders hat schlicht den Absender gefälscht. Deshalb im Zweifel: ungeöffnet löschen! Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert dazu weiter unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/GefaelschteAbsenderadressen/gefaelschteabsenderadressen_node.html Siehe auch https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html?nn=7904670#doc7827646bodyText3
  • Irrtum 4: „Phishing-Mails erkenne ich leicht!“ Darauf sollten Sie sich nicht verlassen. Phisher und Spammer werden immer besser in Gestaltung und Inhalt Ihrer Mails. (Phishing: gebildet aus den englischen Begriff „fishing“ für Angeln und dem im Englischen lautmalerisch gleichen Ersatz des „f“ durch ein „ph“, wobei das „P“ für „Password“ steht). Ziel von Phishing-Mails ist es, Ihnen Zugangsdaten und Passwörter zu Online-Banking oder Shops oder auch Kreditkartendaten zu entlocken. Dafür werden Sie auf gefälschte Webseiten gelockt, die den echten Seiten täuschend echt sehen – bis auf die in solchen Fällen immer falsche Webseitenadresse (URL). Auch die Mails sind täuschend echt aufgemacht und fordern Sie z.B. zu einer Sicherheitsüberprüfung auf oder informieren Sie über eine angebliche Sperrung Ihres Kontos. Folgen Sie auf keinen Fall den Links in solchen Mails! Im Zweifel rufen Sie Ihre Bankseite/Seite des Shops direkt auf durch manuelle Eingabe des Ihnen bekannten Links und prüfen Sie, ob es dort wirklich etwas zu bestätigen gibt. Weitere Tipps zu Phishing gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hier: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html - und es gibt sogar ein Online-Training, bei dem Sie lernen können, Phishing-Mails wirklich zu erkennen: https://www.secuso.informatik.tu-darmstadt.de/de/secuso/forschung/ergebnisse/nophish/ Siehe auch: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html?nn=7904670#doc7827646bodyText4 - Sehen Sie sich das Video gegen Onlinebetrug an! (erstellt von SECUSO, TU Darmstadt)
it-sec/irrtuemeremail.txt · Zuletzt geändert: 2017/10/09 08:22 von chrboett
Gau-IT-Zentrum