Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

E-Mails und Security: Der richtige Umgang mit unbekannten Absendern, E-Mail Anhängen und Spam-Mails

0

Ein Hacker-Angriff oder Befall durch Schad-Software ist oft ein Datenschutzvorfall. Das eigene Passwort oder Kreditkartendaten sollten besser nicht in falsche Hände geraten. Umso wichtiger ist es, erhaltene E-Mails so zu handhaben, dass Bedrohungen ausgeschaltet werden. Nicht benötigte Mails zu löschen ist auch ein Gebot des Datenschutzes.

Einleitung

Wie geht man richtig mit erhaltenen E-Mails um? Diese Frage soll im Kontext von Sicherheitsbedrohungen in diesem Beitrag betrachtet werden. Dazu werden aus der Sicht des Anwenders sowohl Bedrohungen durch Hacker als auch Datenschutzaspekte berücksichtigt.

Umgang mit E-Mails

Die heutigen Spam-Filter sind recht gut, sodass die meisten Mails, die im Posteingang landen, relevant erscheinen. Jedoch lauern zahlreiche Fallen in E-Mails, die entschärft werden sollten. Schließlich geht es nicht nur darum, ob ein Inhalt relevant ist, sondern auch, ob der Inhalt ungefährlich ist.

Am Ende jedes Abschnitts folgen Empfehlungen in Kurzform.

Erhaltene Mails

Wird eine Mail von Ihrem Mail-Programm empfangen, landet sie in einer Liste ungelesener Mails. Manche Mail-Programme bieten eine Vorschaufunktion an. Wenn Sie eine Mail lesen, muss deren Inhalt zuvor geladen werden. In einer Mail können neben reinen Texten auch Scripte oder Bilder integriert sein. Sogar das Einbinden von Trackern wie Google Analytics ist möglich.

Bekannt sind die sogenannten Tracking-Pixel in E-Mails. Diese dienen einigen Newsletter-Versendern dazu, die Empfangs- bzw. Öffnungsquote von Mails nachverfolgen zu können. Das erscheint allerdings m. E. höchstens dann gerechtfertigt, wenn die Anzahl der versendeten Mails sehr hoch ist.

Weniger seriöse Anbieter verwenden die Pixel, um Nutzeraktionen für Werbezwecke nachzuverfolgen. Hacker nutzen derartige Pixel oder sogar Scripte nicht nur, um den Erhalt einer E-Mail zu überprüfen. Sie können damit auch Schadcode in Ihr System einschleusen.

Mail eines möglicherweise bekannten Absenders, deren Mehrwert gegen null streben dürfte.

Das Setzen eines schädlichen Links in einer E-Mail ist auf einfache Weise möglich. Dazu wird eine Mail an Sie geschickt, die seriös aussieht und womöglich sogar angeblich von einer Institution stammt, bei der Sie Kunde sind. Sogar die Absenderadresse kann oft extrem leicht gefälscht werden.

Nun gibt es mehrere Varianten, die einem Hacker offenstehen.

Eine Möglichkeit ist ein gefälschtes Login-Formular. Jede Webseite kann optisch leicht nachgebildet werden. Optisch sieht es so aus, als wäre das Anmeldeformular auf einer Ihnen bekannten Webseite. Wenn Sie nun Benutzernamen und Passwort eingeben, landen die Daten beim Hacker.

Eine andere Möglichkeit ist das Injizieren von JavaScript-Code, das sogenannte Cross Site Scripting (XSS). Dazu werden Schwachstellen auf Webseiten, die Ihnen bekannt sein könnten, ausgenutzt. Sie landen nach klicken auf den Link tatsächlich auf der Webseite, die Sie ansonsten auch besuchen würden. Durch einen Code, der an den Link als Parameter angehängt wird, wird die Webseite nach Aufruf manipuliert. Beispielsweise könnte eine Passworteingabe oder die Angabe Ihrer Kreditkartendaten forciert werden. Der Hacker muss nun die erhaltenen Daten an seine Datenbank schicken. Das geht heutzutage sogar mithilfe von Google Analytics. Der Vorteil des Nutzens bekannter Tools ist die schwerere Entdeckbarkeit und somit Abwehr des Vorfalls.

Empfehlungen

  • Externe Bilder für erhaltene Mails im Mail-Programm deaktivieren.
  • Die externen Bilder nur durch manuelles Freigeben nachladen, wenn die Mail seriös ist und die Bilder unbedingt erforderlich sind.
  • Unseriöse Absender auf die Sperrliste setzen. So werden Mails solcher Absender zukünftig in den Spam-Ordner geschickt.
  • Sollte das Mail-Programm die Junk-Mail Funktion nicht prominent anbieten, arrangieren Sie das Menü neu, sodass ein schneller Zugriff auf diese Funktion möglich ist.
  • Bei massenweise erhaltenen Mails von unseriösen Absendern die Sperrfunktion auf Ebene des Mail-Servers nutzen. So kommen Mails bei Ihnen gar nicht erst an. Hierfür ggf. den Techniker fragen.

Bekannte Absender

Heutzutage ist es ein Kinderspiel, eine Mail mit einer nahezu beliebigen Absenderadresse zu versehen. Dazu sind nur wenige Zeilen Programmcode notwendig. Jemand könnte also eine E-Mail an eine Person schicken, sodass der Empfänger denkt, die Mail käme von Ihnen.

Genauso kann es passieren, dass Sie Mails erhalten, die vorgeblich von bekannten Absendern stammen. Sicher haben Sie auch schon einmal Mails von der Sparkasse oder von eBay erhalten. Bei genauerem Hinsehen stellen sich solche Mails meist als Fake heraus.

Der Blick in den Betreff der Mail verrät oft direkt, ob die Mail in den Papierkorb wandern sollte oder weiter zu berücksichtigen ist.

Wie im Bild weiter oben gezeigt, sind viele Mails auf den ersten Blick als wertlos zu erkennen. Das fällt besonders leicht, wenn eine persönliche Anrede fehlt, die Mail in Englisch gehalten ist oder einen Text enthält, der keinen näheren Bezug zum Empfänger erkennen lässt. Solche Mails werden am besten direkt gelöscht.

Gelegentlich senden Web Shops, in denen bereits ein Kauf getätigt wurde, ohne Kundenwunsch nervige Newsletter. Ein solcher ist hier abgebildet:

Spam-Mail eines Web Shops.

Die gezeigte Mail wurde im Ordner „Junk E-Mail“ geöffnet. Der Mail-Client hat Links und Scripte deaktiviert. Der Betreff und die merkwürdig anmutenden Links mit langen Zeichenketten am Ende deuten darauf hin, dass das Löschen der Mail die beste Möglichkeit ist.

Empfehlungen

  • Sprachliche Gestaltung der Mail prüfen. Oft sind unseriöse Mails grammatikalisch falsch und enthalten merkwürdige Formulierungen.
  • Bei vorhandenen Hyperlinks mit der Maus auf den Link fahren. Die Adresse zum Link erscheint nun in der Statuszeile des Mailprogramms, die sich meist unten im Fenster befindet. Den Link ansehen. Kommt er Ihnen verdächtig vor, klicken Sie nicht darauf. Das funktioniert nur auf einem PC. Auf Smartphones sollten Links nur angeklickt werden, wenn Sie wissen, was Sie tun. Alternativ hilft es oft, eine Mail in den Spam-Ordner zu verschieben, weil dort Verlinkungen (je nach Mail-Client) im Klartext angezeigt werden.
  • Wenn die Mail an weitere Empfänger geschickt wurde, die im Kontext der Mail merkwürdig erscheinen oder Ihnen unbekannt sind, handelt es sich meist um eine nicht relevante Mail, die gelöscht werden kann.
  • Wenn Sie einen Link öffnen und dann Daten eingeben sollen, lassen Sie es sein. Rufen Sie stattdessen die Webseite direkt auf, entweder durch Auswahl aus den Bookmarks oder durch manuelle Eingabe der Ihnen bekannten Adresse im Browser.
  • Den Betreff lesen und verdächtige Mails löschen oder in den Spam-Ordner legen. Im Spam-Ordner können Mails recht gefahrloser weiter untersucht werden, auch weil viele Mail-Clients dort Verlinkungen im Klartext anzeigen und verdächtige Links so leichter auffallen.
  • Im Zweifel eine Mail lieber löschen. War die Mail wichtig, wird der Absender sich melden.
  • Bei Bedarf beim vermeintlichen Absender anrufen und nachfragen oder diesem eine ganz neue Mail schreiben, ohne die fragwürdige Mail mit aufzunehmen (da ansonsten schädliche Links mitgeschickt werden würden).

Unbekannte Absender

E-Mails von unbekannten Absendern sind offensichtlich verdächtiger als solche von Absendern, die Sie kennen. Spam-Mails oder schädliche Mails sind leichter zu erkennen, wenn der Ursprung unbekannt ist.

Generell gilt ansonsten das gleiche wie für Mails von bekannten Absendern.

Hier lohnt sich die Mühe, unliebsame Absender analog zu den Empfehlungen für erhaltene Mails zu sperren.

Einige unbekannte Absender kommen allerdings von online Plattformen, auf denen man sich zuvor registriert hatte. Oft handelt es sich um automatisiert erstellte Benachrichtigungs-Mails. Wird eine solche Mail gelöscht, hält sich der Schaden meist in Grenzen, sofern er überhaupt existiert.

Unbekannter Absender einer bekannten Mail-Domäne. Die Mail hat einen sehr geringen Wert. Sie zu löschen, ist meist nicht nachteilig.

Anhänge in Mails

Schädliche Anhänge werden durch Anti-Viren-Software und Mail-Programme oft automatisch entfernt. Manchmal geht das so weit, dass sogar erwünschte Anhänge eliminiert werden.

Generell sollten nie Anhänge angeklickt werden, die ausführbare Dateien enthalten. Wenn Sie kein IT-Experte sind, klicken Sie nicht auf solche Anhänge, auch nicht, wenn sie von jemandem stammen, der bisher als Freund angesehen wurde. Auch die eigene Verwandtschaft kann gelegentlich kriminelle Energie oder zumindest Neugier entwickeln.

In jüngster Zeit gab es einen großen Klau von Kryptowährungen. Die Hacker waren wohl Jugendliche, die die Aktion einfach aus Spaß durchgezogen haben. Sie gaben nach Drohung einer Strafverfolgung das meiste erbeutete Geld wieder zurück.

Empfehlungen

  • Ausführbare Dateien in E-Mails niemals anklicken. Niemand muss Ihnen ein ausführbares Programm senden (und falls doch, dann sind Sie wahrscheinlich IT-Experte und wissen damit umzugehen).
  • Im Zweifel Anhänge abspeichern und mit einem Viren-Scanner untersuchen. Aber auch hier gilt: Ausführbare Dateien dennoch nicht anklicken, auch wenn der Viren-Scanner keinen Alarm geschlagen hat.
  • Anhänge von unbekannten Absendern ignorieren, außer, die Mail erscheint seriös und es geht um ein PDF o. ä. als Anhang, in dem Informationen zur Geschäftsanbahnung enthalten sein sollen.
  • Auch in PDF-Dateien oder Bildern kann Schadcode enthalten sein. Daher höchstens mit einem Programm öffnen, das nicht zu den beliebtesten seiner Art gehört, denn hier lohnt sich für Bösewichte das Suchen und Ausnutzen von Sicherheitslücken besonders. Also nicht den Acrobat PDF Reader nutzen, sondern eines der vielen anderen Programme, die es gibt und die m. E. oft besser sind.
  • Auf Warnungen des Betriebssystems achten, nachdem auf einen Anhang geklickt wurde. Leider ist Windows teilweise sehr restriktiv und nervig. Jeder muss hier selber ein Gefühl dafür entwickeln, wie ernst die Warnmeldungen von Windows zu nehmen sind. Bei Bedarf empfehle ich eine Anpassung der Sicherheitseinstellungen des Betriebssystems. Eine permanente Anzeige von Warnungen ist genauso wenig hilfreich wie keine Anzeige von Warnungen.

Spam-Mails

Spam-Mails können oft automatisch erkannt werden. Sie landen dann für gewöhnlich im Spam-Ordner des Posteingangs im Mail-Programm. Nicht selten werden relevante und unschädliche Mails als Spam klassifiziert.

Gelegentlich finden sich dort auch nicht angekommene Mails wieder, die als Anhang in einem technischen Report des Mail-Servers zu finden sind. Deswegen werden sie wohl des Öfteren als Spam markiert.

Daher lohnt sich ein regelmäßiger Blick in den Spam-Ordner. Wer den Spam-Ordner vernachlässigt, übersieht einige relevante Mails. Weiterhin geht die Chance verloren, schädliche Absender zu erkennen und zu sperren. Erkennt man in einer Spam-Mail einen Verteiler, der anscheinend von einem Dritten „geklaut“ wurde, könnte man darüber nachdenken, den Dritten darauf hinzuweisen, dass auf dessen Endgerät womöglich eine Späh-Software vorhanden ist.

Ansicht einer Mail im Spam-Ordner (Outlook). Verlinkungen werden im Klartext angezeigt und können so leicht als unerwünscht erkannt werden.

Mails, die im Spam-Ordner empfangen werden, unterliegen bei vielen Mail-Clients höheren Sicherheitsbeschränkungen. So werden externe Bilder und Tracking Pixel automatisch geblockt. Ein erstes Überfliegen der Mail ist so gefahrlos möglich. Oft verrät bereits ein Blick in den Betreff einer Mail, ob es sich um eine unerwünschte Zusendung handelt. Links werden im Spam-Ordner als Text angezeigt und können so besser überprüft werden.

Wer es genau wissen will, sollte im Zweifel in den Quelltext einer Mail schauen. Bei Outlook 2016 ist dieser Aufruf etwas versteckt: Mail durch Doppelklick auf die Mail öffnen → Aktionen → Andere Aktionen → Quelltext anzeigen. Manche Mails halten Überraschungen bereit, wie folgendes Bild zeigt:

Spam-Mail in Leseansicht (links) und Quelltext-Ansicht (rechts).

Links im Bild steht nach der Überschrift „Wichtige Updates“ eine unverbindliche Anrede. Im Quelltext ist im eingerahmten Bereich der Text „Im Hunderudel gilt nämlich: …“ zu lesen. Neben diesem Merkmal sind die unspezifische Anrede sowie die Empfängeradresse, die nicht die der bei der Bank hinterlegten Adresse entsprechen kann, sichere Anzeichen für Betrugsversuche.

Bei der Verwendung von Anti-Spam-Lösungen ist darauf zu achten, dass eine möglicherweise angebotene globale Spam-Datenbank Datenschutzprobleme mit sich bringen kann. Bei Antispam Bee für WordPress etwa ist diese Option nicht zu verwenden, weil so personenbeziehbare Daten von Dritten in der Welt herumreisen. Stattdessen sollte eine lokale Spam-Datenbank verwendet werden.

Einstellungen für das Plugin Antispam Bee in WordPress.

Empfehlungen

  • Den Spam-Ordner regelmäßig prüfen.
  • Verdächtige Mails löschen.
  • Unseriöse Absender, die häufiger schreiben, sperren.
  • Seriöse Absender auf die weiße Liste setzen, damit deren Mails nicht aus Versehen verloren gehen.
  • Bei unerlaubt zugesandten Werbe-Mails ist eine juristische Verfolgung möglich. Enthält eine Mail etwa Google Analytics, ohne dass hierin eingewilligt wurde, beträgt der Streitwert gerne mal 15.000 Euro (LG Wiesbaden, Beschluss vom 14.05.2020 – 8 O 94/19)
  • Lokale Anti-Spam-Datenbank statt globaler Datenbank nutzen, um Datenschutzprobleme zu vermeiden.

Mail-Client

Konfigurieren Sie Ihr E-Mail-Programm so, dass es eine Transportverschlüsselung verwendet, wenn der Empfänger diese unterstützt. Achten Sie darauf, dass Ihr Mail-Dienstleister eine Transportverschlüsselung für eingehende Mails unterstützt und aktivieren Sie SSL/TLS.

Die Transportverschlüsselung sorgt immerhin für ein erhöhtes Schutzniveau, kann aber schadhafte Links nicht verhindern. Zusammen mit einer Mailsignatur über PGP oder S/MIME kann eine Inhaltsverschlüsselung vorgenommen werden. Damit können vertrauenswürdige Absender indirekt besser erkannt werden. Kaum ein Hacker wird sich die Mühe machen, PGP zu nutzen und erst recht nicht das meist kostenpflichtige S/MIME. PGP bietet einen Schutz vor Phishing und Spoofing (Arten des Identitätsdiebstahls), kann aber gefährliche Links nicht verhindern.

Datenschutzaspekte

Mails sollten nicht länger als nötig aufbewahrt werden. Jede Mail birgt potentiell personenbezogene oder personenbeziehbare Daten. Gelangen diese Daten, etwa durch einen Hackerangriff, in falsche Hände, haften Sie ggf. mit dafür. Zudem entlasten vom Server gelöschte Mails den Speicherplatz.

Die DSGVO schreibt vor, personenbezogene Daten nicht länger als nötig aufzubewahren. Vgl. hierzu etwa Art. 17 DSGVO für das Recht auf Löschung. Eine Mail in Ihrem Besitz bedeuten immer eine Verpflichtung, beispielsweise das Bedienen eines Auskunftsrechts nach Art. 15 DSGVO. Prüfen Sie also von Zeit zu Zeit, welche Nachrichten gelöscht werden können.

Mails, die zur Beweisführung bei unerlaubt erhaltener Werbung und anderen unerlaubten Handlungen dienen können, dürfen und sollten hingegen so lange wie nötig aufbewahrt werden. Siehe hierzu die Rechtsgrundlagen in Art. 6 DSGVO.

Wie oben geschrieben, sollten globale Datenbanken vermieden werden, wenn die Datenbanken Mail-Adressen, Netzwerkadressen oder sonstige personenbeziehbare Daten von Dritten ohne Rechtsgrundlage erhalten.

Mail-Server

Die richtige Konfiguration des eigenen Mail-Servers verhindert Missbrauch. Weil die Konfiguration technisch anspruchsvoll ist, sollte sie nur von einem Fachmann vorgenommen werden.

Für die E-Mail-Authentifizierung sollte DMARC (Domain-based Message Authentication, Reporting and Conformance) eingerichtet werden. Damit kann das Risiko reduziert werden, dass Hacker Ihre Identität annehme, was als Spoofing bezeichnet wird.

Mit einem SPF-Record (Sender Policy Framework) können Absender validiert werden. SPF wird oft auch verwendet, um Mailings über Newsletter-Dienstleister zu versenden.

Mit dem DKIM-Record (Domain Keys Identified Mail) kann der Absender auf anderer Ebene als SPF verifiziert werden. Dazu werden Nachrichtenkopf und Nachricht digital signiert. Dem Empfänger obliegt es dann, die Signatur zu prüfen. Damit können gefälschte Absender-Adressen erkannt werden (Phishing). Einen Schutz vor Spam bieten DKIM allerdings nicht.

Fazit

Jede erhaltene Mail sollte kritisch betrachtet werden. Das ist oft einfach möglich, etwa, weil Mails sich oft aus einer vorigen Kommunikation ergeben. Hatten Sie gerade ein Telefonat und erhielten daraufhin wie besprochen eine Mail, ist die Wahrscheinlichkeit sehr hoch, dass diese vom Gesprächspartner stammt. Aber auch diese sollten auf Ihre Seriosität hin geprüft werden.

Unaufgefordert erhaltene Mails sollten besonders kritisch geprüft werden. Das gilt übrigens unabhängig von Hacker-Angriffen. Auch Wettbewerber schreiben gelegentlich Mails mit bösen Absichten. Dabei geht es oft weniger um das Einschleusen von Schadcodes, sondern mehr um das Herausfinden von Informationen oder das Aufhalsen von unnötiger Arbeit.

Mit dem gesunden Menschenverstand und etwas Erfahrung können eigentlich alle Mails als harmlos oder schadhaft erkannt werden. Besonders kritisch sind Verlinkungen in Mails zu behandeln. Die richtigen Sicherheits-Einstellungen im Mail-Programm sorgen für zusätzliches Wohlbefinden. Im Zweifel hilft ein Anruf bei einem bekannten Kontakt weiter. Unbekannte Kontakte warn bisher nicht ohne Grund unbekannt. Sie in diesem Zustand zu belassen, ist meist die beste Wahl.

Als besonders vertrauenswürdig angesehene Stellen wie Banken fordern Sie nicht per Mail dazu auf, Ihr Passwort einzugeben. Banken verschicken bei sicherheitskritischen Vorfällen lieber einen Brief per Post. Auch Betreiber bekannter Webseiten fordern höchstens zum Neuvergeben des Passworts auf. In dem Fall sollte die bekannte Webseite durch Adresseingabe direkt aufgerufen werden, anstatt auf einen Link zu klicken. Der kritische Blick in die Adresszeile des Browsers hilft dabei, unseriöse Adressen zu erkennen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Matomo für Besucher-Statistiken auf Webseiten datenschutzkonform und ohne Einwilligung nutzen