Sicherer Umgang mit E-Mails

Keine Vertraulichkeit

In Sachen Diskretion, Vertraulichkeit und Sicherheit gleicht eine E-Mail einer Postkarte. Wie bei der Postkarte kann potenziell jede und jeder, die oder der Zugriff auf den «Postweg» zwischen Ihnen und der Zielmailbox hat, empfangene oder gesendete E-Mails mitlesen.

Deshalb gehören vertrauliche Daten auf keinen Fall in eine E-Mail, die nicht explizit abgesichert ist.

Malware in E-Mails

Malware-E-Mails sind E-Mails mit Anhängen, die Schadprogramme enthalten. Malware ist oftmals versteckt in Zip-, PDF- oder DOC-Dateien.

Phishing: Passwort-Diebstahl   

Diese E-Mails sehen fast aus wie Nachrichten von der ETH oder anderen vertrauenswürdigen Partnern. In der E-Mail enthaltene Links führen dann aber auf ein Plagiat der originalen Website, wo versucht wird, Ihre Login-Daten zu stehlen.

Scam- oder Fraud-E-Mails: Betrug

Mit solchen E-Mails versuchen Angreifende, sich einen finanziellen Vorteil zu verschaffen.

Das Opfer erhält eine E-Mail, angeblich von einer vorgesetzten Stelle oder einem/einer VIP. In der E-Mail wird das Opfer gebeten, sich dringlich um einen «Notfall», eine Ausnahmesituation, zu kümmern und beispielsweise schnell gewisse Beträge zu überweisen, Zugriffsrechte zu erteilen oder Informationen zur Verfügung zu stellen.

Aufgrund des aufgebauten Drucks durch die/den vermeintliche/n Vorgesetzte/n versäumen es die Betroffenen häufig, den Auftrag kritisch zu hinterfragen, ob die Absendeadresse korrekt und der Auftrag plausibel ist.

Mail-Spoofing. Gefälschte Absendeadressen

Es ist nicht schwierig, Absendeadressen von E-Mails zu fälschen, um dann - angeblich im Namen des vorgetäuschten Absenders - Betrugsversuche zu starten. Sei es über Scam-Mails oder Phishing, sei es über den Versand von Anhängen mit Schadsoftware.
Manchmal sehen die gefälschten Absendeadressen täuschend echt aus.  

Bei der Verschlüsselung von E-Mails gilt es zwei Verfahren zu unterscheiden:

Opportunistische Transportverschlüsselung

Die opportunistische Transportverschlüsselung erfolgt automatisch ohne Zutun des Benutzers und verschlüsselt die E-Mail jeweils während des Transports zwischen zwei Mailservern, sofern Sender- und Empfängerseite dies unterstützen.

Transportverschlüsselung ist heutzutage sehr verbreitet. Allerdings können Benutzende in den meisten Fällen nicht wissen, ob für ihre E-Mails Transportverschlüsselung zum Einsatz kommt.

Selbst wenn dies in Ausnahmefällen bekannt ist, bleibt immer noch die Einschränkung, dass die E-Mails zwar während des Transports verschlüsselt sind, auf den E-Mail-Servern der Sende- und Empfängerseite aber unverschlüsselt abgelegt werden.  

Ende-zu-Ende-Verschlüsselung

Die Ende-zu-Ende-Verschlüsselung erfolgt in Ihrem E-Mail-Programm mit dem öffentlichen Schlüssel des Empfängers. Nur dieser kann die E-Mail mit seinem privaten Schlüssel wieder entschlüsseln.

Auf dem gesamten Transportweg von Ihrem E-Mail-Client zu dem des Empfängers sowie bei der Ablage auf den E-Mail-Servern kann niemand Einsicht nehmen.  

Digitale Zertifikate

Ein Digitales Zertifikat ist mit einem Ausweis vergleichbar, beispielsweise mit einem Firmenausweis oder einem Mitgliedsausweis für einen Sportclub. Es gibt auch Digitale Zertifikate, die aufgrund ihrer höheren Sicherheitsstufe für rechtlich verbindliche Transaktionen eingesetzt werden können.

Digitale Zertifikate können zur Identifikation von Benutzenden, aber auch zur Identifikation von Servern, Endgeräten oder Software ausgestellt werden. Im Kontext von E-Mail-Zertifikaten geht es ausschliesslich um Benutzerzertifikate.

Aufbau Digitaler Zertifikate

Grundsätzlich stellt ein Digitales Zertifikat Informationen über eine Identität zur Verfügung. Diese Informationen werden vor Ausstellung des Zertifikats durch den Herausausgeber überprüft und formal bestätigt. Unterschiedliche Sicherheitsstufen von Zertifikaten erfordern dabei auch unterschiedlich aufwendige Formalitäten bei der initialen Überprüfung der Identität des Antragsstellers oder der Antragstellerin.  Je höher die Sicherheitsstufe eines Zertifikats, desto weitreichender die Einsatzmöglichkeiten.   

Jedes Digitale Zertifikat besteht aus öffentlichen und geheimen Informationen. Der öffentliche Teil enthält alle Informationen, die Dritten zugänglich sein müssen, um die Identität eines Benutzers oder einer Benutzerin zu überprüfen, wie beispielsweise e-Mail-Adresse, Name des Eigentümers oder der Eigentümerin und Ablaufdatum des Zertifikats. Der private Schlüssel, der zu jedem Zertifikat gehört, ist geheim.

Absicherung des E-Mail-Verkehrs mit Digitalen Zertifikaten

Der Austausch von E-Mails kann mit E-Mail-Zertifikaten abgesichert werden. Diese Digitalen Benutzerzertifikate können ähnlich wie ein Siegel verwendet werden, um den Absender oder die Absenderin einer E-Mail zu verifizieren. Bei einer Mail, die mit einem gültigen Zertifikat signiert wurde, können die Empfänger sicher sein, dass sie vom Besitzer, bzw. von der Besitzerin des Zertifikats versendet wurde und dass sie inhaltlich unverändert ausgeliefert wurde. Darüber hinaus können die Zertifikate auch für die Verschlüsselung von Transport und Ablage von E-Mails verwendet werden.   

Die beiden wesentlichen Sicherheitsfunktionen von E-Mail-Zertifikaten sind:  

Digitales Signieren

Die E-Mail wird "besiegelt". Eine gültige Digitale Signatur ist mit einem ungebrochenen Siegel vergleichbar.

• Die Absenderin, bzw. der Absender ist die Besitzerin, bzw. der Besitzer des Zertifikats, die Mail ist echt.
• Die Mail ist inhaltlich unverändert an die Empfänger-Mailbox ausgeliefert worden, sie ist unverfälscht.

Signierte E-Mails tragen wesentlich zum Schutz vor Phishing- und Fraud-Mails bei, insbesondere wenn E-Mails routinemässig signiert werden und Empfänger auf die Signaturen achten. Denn dann sind sie alarmiert, wenn sie eine unsignierte Mail erhalten, die angeblich von ihrer oder ihrem Vorgesetzten stammt und sie aufgefordert werden, dringend und an allen üblichen Prozessen vorbei, Gutscheine eines Online-Stores zu kaufen oder andere finanzielle Transaktionen auszulösen.

Ende-zu-Ende-Verschlüsselung

Verfügen Sende- und Empfängerseite über E-Mail-Zertifikate und haben sie die öffentlichen Schlüssel ihrer Zertifikate ausgetauscht, können sie ihren E-Mail-Verkehr verschlüsseln. So gesicherte Mails können nur mit Hilfe der privaten Schlüssel der Beteiligten gelesen werden. Werden die privaten Schlüssel sicher verwahrt, ist also praktisch ausgeschlossen, dass solche Mails durch Unbefugte eingesehen werden können.   

E-Mail-Zertifikate sicher verwalten

Ähnlich wie Siegel oder Identitätskarten, dürfen die privaten Schlüssel der Zertifikate nicht in unbefugte Hände geraten oder verloren gehen. Sie müssen sicher verwaltet werden. Die Informatikdienste bieten mit einen Service zum Bezug und für die sichere Verwaltung von E-Mail-Zertifikaten (Public Key Infrastructure, PKI) an. Im Angebot sind persönliche Zertifikate und Zertifikate für Gruppenmailboxen.

• Signieren Sie Ihre E-Mails mit einem Digitalen Zertifikat.
  
• Überprüfen Sie die Empfängerliste vor dem Klick auf den Sendeknopf.
  
• Seien Sie sich bewusst: Nach dem Absenden haben Sie keine Kontrolle mehr über Ihre E-Mails. Sie wissen nicht, ob sie kopiert und/oder weitergeleitet werden.
• Nutzen Sie bei mehreren Empfängern das Adressfeld «BCC» (englisch für Blind Carbon Copy, deutsch Blindkopie) statt «CC», wenn die restlichen Empfängeradressen nicht für alle sichtbar sein sollen.
• Leiten Sie keine Kettenmails weiter.
  

Vertrauliche Informationen dürfen nur per E-Mail versendet werden, wenn sie verschlüs­selt übermittelt werden. Dafür gibt es unterschiedliche Möglichkeiten:

• Versenden Sie vertrauliche Informationen in einem Passwort-geschützten ZIP-Archiv als Anhang zur eigentlichen E-Mail.
  Übermitteln Sie das Password über einen anderen Kanal, z.B. per SMS.
• Falls Sie und der Empfänger bzw. die Empfängerin ein Zertifikat zur E-Mail-Verschüsselung besitzen, nutzen Sie diese für eine «Ende-zu-Ende-Verschlüsselung».
• Wenn Sie sicher sind, dass die Transportverbindung zum Zielsystem verschlüsselt ist und ihnen die Transportverschlüsselung ausreicht, können Sie die E-Mail ohne zusätzliche Massnahmen versenden.

• Achten Sie auf Digitale Signaturen.
  Verwendet der Absender üblicherweise eine Digitale Signatur? Falls sie fehlt, könnte es sich um einen Betrugsversuch handeln.
  
• Überprüfen Sie die Absendeadresse: Passt die E-Mail-Adresse zum angezeigten Namen?
• Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten und von unbekannten Stellen bzw. Personen stammen.
  
• Bei Verdacht lehnen Sie ein per E-Mail an Sie gerichtetes Anliegen ab oder halten Sie telefonisch Rücksprache. Sprechen Sie mit Ihren IT-Spezialisten, wenn Sie unsicher sind.
• Klicken Sie bei verdächtigen E-Mails nicht auf Links und öffnen Sie keine Anhänge.
  
• Öffnen Sie keine «exe»-Dateien und andere ausführbare Dateiformate. Auch bei allen anderen Dateianhängen ist Vorsicht geboten, insbesondere wenn Sie den Absender nicht kennen.
• Enthält das Word-Dokument, welches Sie gerade erhalten haben, ein Makro und eine entsprechende Aufforderung, dieses zu aktivieren, um das Dokument ansehen zu können? Tun Sie dies auf keinen Fall.
• Wenn Ihnen eine E-Mail verdächtig erscheint, scheuen Sie sich nicht, bei Ihrer ISG oder beim ID Service Desk nachzufragen.
  
• Wenn Sie viele verdächtige E-Mails auf einmal erhalten, informieren sie so bald wie möglich Ihren IT-Support.

Viele Taktiken spielen auf Emotionen an unter Verwendung bekannter Social Engineering Techniken.

Bemerkungen wie «Sie müssen innert 24 Stunden auf diesen Link klicken, um Ihren Acount zu raktivieren.» oder «Ihr Account wird blockiert.» werden verwendet, um beim Empfänger Angst zu erzeugen und Druck auszuüben.

Unter Druck werden unlogische Entscheidungen gefällt. Wenn Sie das Gefühl haben, der Urheber der E-Mail versucht Sie emotional zu bedrängen, werden Sie womöglich gerade gephisht.

Diese Merkmale können Anzeichen für Phishing E-Mails sein:

• Bei E-Mails, die eine Aktion von Ihnen verlangen und mit Konsequenzen drohen (wie Geldverlust, Strafanzeige, Konto- oder Kartensperrung), handelt es sich meistens um Phishing-Angriffe.
• Seriöse Dienstleister verlangen von Ihren Kunden nie die Angabe von Passwörtern oder Kreditkartendaten per E-Mail oder Telefon.
  
• Rechtschreibe- und Grammatikfehler: Oft enthalten Phishing-E-Mails unvollständige Sätze oder sind nicht korrekt übersetzt.
• Versandzeit: Oft werden Phishing-E-Mails zu einer unüblichen Zeit verschickt.
• Forderungen: Der Absender übt zeitlichen oder moralischen Druck aus.
• Inhalt: Sie werden zu einer ungewöhnlichen Handlung aufgefordert. Beispielsweise verlangt der Absender, dass Sie Ihre Passwörter oder andere persönliche Daten preisgeben.
• Anrede: Sie werden nicht mit Ihrem Namen angesprochen.
• URL: Die URL entspricht nicht dem erwarteten Pfad. Nutzen Sie die «Mouse Over»-Funktion, um verlinkte URLs zu prüfen, bevor Sie sie anklicken.

Auch bei korrekt formulierten E-Mails kann es sich um Phishing-Attacken handeln.

Rechtmässige Webseite

Wenn eine E-Mail Sie zum Besuch einer Webseite veranlasst, dann vergewissern Sie sich, dass Sie auf der rechtmässigen Webseite gelandet sind, bevor sie irgendwelche Eingaben auf dieser Webseite tätigen.

• Stimmt die URL der Webseite?
  • Phishing-Links werden «verschleiert», um auszusehen wie ein Link zu einer Login-Seite: Bsp. «https://password.ethz.ch»
  • Oft ist der Text in der URL leicht verändert und enthält Buchstabendreher: Bsp. «https://password.ehtz.ch»
  • Die URL zeigt woanders hin: Bsp. "https://password.ethz.ch.free.fr"
  • Wenn Sie mit der Maus über den Link gehen ohne zu klicken (hovering) und ein anderer, langer Domain-Name erscheint, handelt es sich möglicherweise um einen Phishing-Versuch.
    
• Handelt es sich um eine verschlüsselte Verbindung (https)?
• Ist das SSL-Zertifikat dieser Webseite ein gültiges Zertifikat?