E-Mails, Phishing und Echtheit von Nachrichten (Datenschutz Deluxe Podcast #14)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Hallo und herzlich willkommen zum Datenschutz Deluxe Podcast. Mein Name ist Stephan Plesnik und ich begrüße euch wieder recht herzlich bei dieser kleinen Diskussionsrunde heute zum Thema E-Mail Phishing.

Und mit mir dabei ist natürlich wieder Dr. Klaus Meffert. Hallo Klaus, wie geht's dir?

Hallo Stephan, mir geht's gut. Ich hoffe, dir und den Zuhörern geht's ebenso gut. Ich freue mich, dass wir wieder zusammengefunden haben.

Wunderbar, das freut mich zu hören. Dann würde ich sagen, beginne ich doch direkt mal mit einer kleinen Inspiration, wie wir das hier immer tun.

Und zwar habe ich dafür ein Zitat von Seneca gefunden. Und da hat er gesagt, manches Falsche trägt den Anschein des Wahren.

Das ist uns allen sehr wahrscheinlich bekannt. Und in Bezug auf das Thema, was wir beim letzten Mal angesprochen hatten, nämlich E-Mail Phishing, beziehungsweise der Versuch, einen Identitätsdiebstahl zu begehen oder einem Gegenüber Informationen zu entlocken, zum eigenen Vorteil per E-Mail gestoßen.

Und das Thema würde ich ganz gerne aufgreifen, um einfach mal so einen Erfahrungsaustausch zu haben.

Klaus, beschreibst du doch vielleicht einfach mal, wie gehst du denn eigentlich vor?

Du checkst deine E-Mails morgens, mittags, abends und dann liegen da irgendwelche dubiosen Informationen vor.

Wie identifizierst du die und wie gehst du dann weiter mit denen um?

Ja, sehr gute Frage. Auch das Zitat passt natürlich wie die Faust aufs Auge. Vielleicht das Zitat nochmal aufgegriffen.

Meiner Meinung nach ist es so, dass viele etwas Falsches als dann als richtig vor allem erachten.

Wenn viele andere es genauso falsch machen sozusagen oder viele etwas falsch machen, dann denken dadurch manche, dass etwas richtig ist, weil viele es falsch gemacht haben.

Man sollte sich also von dem Gedanken verabschieden. Nur weil viele etwas machen, sei es richtig oder gut.

Ich erwähne da auch gerne mal das Fliehen vor Feuer.

Wenn alle in dieselbe Richtung laufen, dann ist die Chance groß, dass man den falschen Weg genommen hat.

Das sollte man vielleicht im Hinterkopf haben.

Aber zurück zur Frage. E-Mail Phishing, also das heißt betrügerische E-Mails, die versuchen, einen zu verleiten, eine Aktion zu machen, die man später bereuen wird.

So möchte ich es jetzt mal vielleicht mit meinen Worten ganz kurz sagen.

Also zum Beispiel Geld zu überweisen oder irgendwie ein Programm zu installieren, wo ein Virus drauf ist oder sowas, wo dann später Folgeschäden entstehen.

Ich mache das so. Also zunächst mal erster Tipp. Verdächtige E-Mails prüft man nicht auf dem Smartphone.

Das ist der erste Tipp.

Klar, wenn eine E-Mail natürlich von vornherein höchst fragwürdig ist oder man weiß, dass sie gelöscht werden kann, dann kann man sie auch auf dem Smartphone löschen.

Aber wenn man sich nicht sicher ist, dann ist das Smartphone der schlechteste Platz, eine E-Mail zu prüfen.

Da kann man nämlich nicht so viel machen. Es gibt nicht diese Möglichkeiten.

Deswegen prüft man diese E-Mails, wo man sich nicht sicher ist, auf dem PC.

Weiterhin würde ich empfehlen, kommen wir vielleicht zu den Details später.

Also grundsätzlich, wer hat die Mail abgeschickt?

Da gibt es natürlich Möglichkeiten, die Absenderadresse zu fälschen.

Wie ist die Rechtschreibung?

Meistens sind ja diese Spam-E-Mails auffallend schlecht geschrieben, was die Grammatik angeht.

Oder sogar in Englisch, wo man in Deutschland wohnt und eigentlich mit Engländern wenig zu tun hat.

Oder Amerikanern oder englisch sprechenden Personen.

Das fällt schon mal sehr viel aus dem Raster raus.

Wenn dann aber so Punkte kommen, dass einem angeblich die Bank angeschrieben hat und bitte ändern Sie Ihr Passwort jetzt oder so, das würde ich auf gar keinen Fall anklicken, irgendwas in dieser E-Mail, sondern ich würde, wenn überhaupt, dann die Webadresse, also URL, die ich mir gespeichert habe für meine Bank zum Beispiel, dann direkt im Browser aufrufen und nicht über die E-Mail klicken.

Also vielleicht so Inhalt, Betreff, Absender, Anhänge vielleicht auch.

Oder wer hat das geschrieben? Erwarte ich von dem überhaupt eine Nachricht?

Und da die E-Mails aber auch oft von erwartbaren Scheinabsendern geschrieben werden, sollte man da doch nochmal genauer hinschauen.

Das können wir auch gleich nochmal besprechen, was man da wirklich machen kann.

Ja, das ist sehr spannend. Also den ersten Hinweis nicht auf dem Smartphone prüfen, das sehe ich genauso, weil gerade auch auf meinem Smartphone, je nachdem welchen E-Mail-Client man benutzt, kann man hier eben bestimmte Metainformationen zur Nachricht nicht abrufen.

Mit Metainformationen meine ich zum Beispiel sich anzugucken, wie genau wurde die E-Mail über welches Server rundgereicht, bevor sie vom Absender zum Empfänger, also zu mir gekommen ist.

Woran ich zum Beispiel auch erkennen kann, ob die Absender-Domain, der E-Mail-Adresse mit dem Absender-Server übereinstimmt.

Und hier schon zum Beispiel ein Sicherheitsfeature habe, dass ich sagen kann, okay, derselbe Server, der auf dieselbe Domain lautet, hat mir eben auch diese E-Mail gesendet.

Was eben sehr häufig, gerade wenn man diese Phishing-E-Mails von Amazon oder irgendwelchen anderen großen Versandhäusern bekommt, die dann sagen, hier, Sie haben eine Zahlungsaufforderung, Sie müssen bitte Ihre Kreditkartendaten aktualisieren, eben nicht sind.

Sondern das sind meistens dann, wie du schon sagtest, irgendwelche gefakten E-Mail-Adressen, wo man alleine schon an der E-Mail-Adresse sehr gut erkennen kann, das kann nicht vom Originalanbieter kommen.

Weil warum sollte der seine E-Mail von einer anderen Domain schicken als die, die er selber betreibt?

Der andere Punkt mit der Passwortaufforderung, ganz klar, also Links in E-Mails, die einem irgendwie, ja, die man nicht gefordert hat anzuklicken, ist eigentlich immer relativ schlecht.

Es sei denn, man weiß jetzt, das ist vielleicht eine Privatperson, die einem bekannt ist.

Im Business-Umfeld gibt es das häufig, dass sich Leute mit E-Mails vorstellen und dann Links auf weiterführende Informationen versenden.

Und ich glaube, hier ist dann auch so eine große Schwierigkeit gegeben, zu identifizieren, wie genau merke ich das jetzt?

Weil die Person ist mir zwar unbekannt, aber wie kann ich jetzt identifizieren, ist die Information seriös, kann ich dem Link folgen?

Ich glaube, das ist ein wichtiger Punkt, über den wir mal sprechen könnten.

Also vielleicht noch eine Sache vorher, bevor ich gleich mal auf die Links eingehe, die Verlinkungen in E-Mails.

Es gibt niemanden, der uns, dir, mir und den Zuhörern hier etwas schenken möchte.

Denjenigen gibt es nicht. Das passiert im Leben nicht.

Und wenn er einem was schenken will, dann will er es nicht per E-Mail ankündigen.

Also E-Mails, in denen irgendjemand einem was Gutes tun will, die sind meistens gefälscht.

Man muss sich von dem Gedanken verabschieden, dass das Leben einfach ist und der leichte Weg zum Erfolg führt.

Hallo, mein Name ist so und so.

Ich mache diesen der Erbe.

Es weiß jeder, das ist Quatsch.

So, der zweite Punkt ist, wenn man auf dem PC eine Mail hat, dann kann man natürlich mit der Maus auf einen Link fahren, nicht klicken, mit dem Mauszeiger drüberfahren.

Und dann sieht man schon, meistens in der Fußzeile des Mailprogramms, wie dieser Link ausgestaltet ist, also was die Adresse des Links ist.

Weil zum Link sieht man ja normal nur den Linktext, also den Beschreibungstext.

Und da sieht man dann schon, dass wir alle nicht mehr bei Amazon bestellen, weil Amazon Leute ausbeutet, sag ich jetzt mal.

Ja, das könnte man vielleicht auch noch heute.

Und Fahrer übrigens auch und Händler auch, wie ich gestern noch mal gelesen habe.

Also Amazon sollte man nicht mehr nutzen, wenn es geht.

Es gibt andere Möglichkeiten.

Wenn dann zum Beispiel steht amazon.de als Domäne, dann ist das eine Domäne, die zu Amazon gehört, im Link jedenfalls.

Wenn aber da steht amazon-irgendwas.de oder amazon.hallo oder amazon.digital oder sowas, dann ist das nicht die Domäne von Amazon.

Das hast du ja auch gesagt.

Vielleicht noch ein kleiner Extratipp.

Ich deaktiviere die Bilder in meinem Mailprogramm.

Das heißt, wenn ich eine Mail bekomme, dann sind die Bilder erstmal nicht runtergeladen.

Man kann dann pro E-Mail, die man bekommt, auch sagen, für diesen Absender sollen die Bilder aktiviert werden wieder.

Das hat den Hintergrund, dass viele Spam-Versender zum Beispiel oder auch Newsletter-Versender einen sogenannten Tracking-Pixel in ihrer E-Mail drin haben.

Und wenn man die E-Mail dann anschaut, dann weiß der Absender, dass man diese E-Mail angeschaut hat, weil der Tracking-Pixel ein Signal sozusagen an den Absender schickt.

Das muss man auch wissen.

Deswegen Bilder deaktivieren und dann sukzessive aktivieren für vertrauenswürdige Absender.

Also erstmal finde ich absolut super, diese Tipps.

Ich würde das noch um einen Punkt erweitern.

Das hatte ich mal in einem Videobeitrag auf dem Datenschutz-ist-pflicht-Channel thematisiert unter Kannst du E-Mail-Betrug erkennen?

Beziehungsweise Wie schützt du dich vor Phishing?

Da habe ich eine Veranschaulichung gemacht, wie man die Metainformationen der E-Mail auch analysieren kann.

Also wie man sich zum Beispiel in seinem E-Mail-Client alle Zusatzinformationen zur E-Mail, die sonst versteckt bleiben, anzeigen lassen kann, um eben zu sehen, okay, wer ist der originale Absender?

Von welchem Server wurde es an welchem Server?

Wie weitergegeben, bis es bei mir angekommen ist?

Wo man eben auch über die unterschiedlichen Domains und URLs dann ein besseres Bild darüber bekommen kann, ob diese E-Mail eben wirklich legitim ist und vom echten Absender kommt oder ob da irgendwas phischiges zwischen ist.

Der Punkt, den du angesprochen hast, klar, also ich finde sowieso, dass das das Wichtigste ist, wenn ich mit einer E-Mail interagiere, dann möchte ich auf den Punkt 3 von dir gerade eingehen, Inhalt betrefft Absender.

Also diese ganz normalen rudimentären Fragestellungen sind absolut essentiell, bevor ich überhaupt anfange, irgendwelche technischen Analysen durchzuführen, denn in der Technik können ja auch immer Fehler drin sein, die vielleicht gar nicht bewusst gewollt sind. Vielleicht ist ja auch mein Gegenüber als legitimer Absender, der mir wirklich eine Information mitteilen möchte, Opfer eines Hackerangriffs geworden und jemand anders sendet in seinem Namen Informationen, um mich zu betrügen.

Das heißt, dann sind ja alle technischen Informationen, die ich auslese aus der E-Mail, eigentlich legitim und erscheinen mir so, als wenn sie richtig wären, aber der Inhalt ist eben nicht vom Originalverfasser.

Das heißt also, da wir diese Punkte auch nicht ausschließen können, grundsätzlich den Hinweis, den du gemacht hast, Passwortaufforderung, Kreditkartenaufforderung und so weiter, also wenn ein Link in einer E-Mail ist, der einen auffordert, irgendwelche Daten in irgendeinem Portal oder bei irgendwem zu aktualisieren, grundsätzlich nicht dem Link folgen, sondern auf die Webseite des Anbieters selbstständig über den Webbrowser navigieren und dann dort anmelden und dort auch nur dann einer Aufforderung nachkommen, wenn sie dort gezeigt wird.

Denn das ist zum Beispiel ein Punkt, den habe ich häufiger schon erlebt, du sprachst gerade an Banken, die solche E-Mails verschicken, angeblich, also gefakte Phishing-E-Mails von Banken, wo ich dazu aufgefordert werde, Dinge zu tun, irgendwelche Daten zu aktualisieren. Man kann sich eigentlich darauf verlassen, dass in jedem dieser Internetportale, sobald ich mich anmelde, wenn irgendwas aktualisiert werden muss, dort eine Meldung mir gezeigt wird, die sagt, bitte aktualisiere doch irgendwelche Daten, das ist wichtig.

Das ist ja selbst, um da zum Beispiel von dir zurückzukommen, selbst bei Amazon so, wenn ich mich dort anmelde, weil irgendwie meine Bezahlung nicht durchgegangen ist, dann steht da sofort, bitte aktualisieren Sie Ihre Kreditkarteninformationen oder sowas.

Dass man da also wirklich, ja, dass man da erstmal inhaltstechnisch auch überlegt, ist das eigentlich logisch, was hier passiert und was von mir gefordert wird.

Das finde ich sehr wichtig.

Also vielleicht noch mal zu deinem Punkt, also mit den Mailheadern, beziehungsweise der Mail und dem Absender.

Es ist so, man kann mit drei Programmzeilen, kann man eine Mail von jeder Absenderadresse abschicken. Das habe ich jetzt kürzlich erst wieder gemacht für jemanden, der sich beschwert hat bei jemandem, der einen öffentlichen Verteiler verwendet hat und der Verantwortliche, der wollte nicht einsehen, dass es ein Problem ist, wenn man die E-Mail-Adresse von jemandem kennt, der sie ansonsten vielleicht auch nicht unbedingt öffentlich kundtut, dann kann man in seinem Namen E-Mails verschicken. Man bekommt dann zwar keine Antwort logischerweise, wenn an diese echte Absenderadresse sozusagen eine Antwort geschickt wird, aber das kann man ändern. Also erstens, man kann Absender-E-Mail-Adressen fälschen. Ich kann also von jeder beliebigen Absenderadresse eine Mail schicken. Das heißt, da kann man nicht unbedingt immer erkennen, ob es der echte Absender ist, wenn man sich die Adresse nur anschaut.

Da muss man eben die weiteren Kriterien, Rechtschreibung, Inhalt der E-Mail und so weiter, habe ich die Mail überhaupt erwartet, verwenden. Und dann gibt es noch den Trick, ich verwende eine gefälschte Absenderadresse und verwende dann das sogenannte Reply-to-Feld, also Antworten an, sodass mir dann also die Antwort doch wieder zukommt, obwohl ich die Absenderadresse gar nicht unter Kontrolle habe. Denn mit diesem Reply-to-Feld kann man seine eigene Empfängeradresse angeben und die kann man ja dann lesen.

Also man muss da sehr genau hinschauen. Vielleicht noch den Punkt, den du genannt hast, ist sehr wichtig und sehr gut, diese Hacker-Angriffe. Also angenommen, ein Hacker könnte deinen Computer übernehmen, du merkst es ja dann erstmal nicht, das ist ja das Wesen eines Hacker-Angriffs, dann kann der Hacker natürlich eine Rechnung, also angenommen, ich bin Kunde bei dir und der Hacker schreibt mir dann eine Rechnung, wo ich denke, die kommt von dir.

Vielleicht ist er ja auch aus Deutschland, der Hacker, dann könnte er das alles perfekt machen, wenn er sehr clever ist. Und dann würde ich eine Rechnung von dir bekommen, die ich auch erwarte. Und da müsste ich also sehr genau hinschauen, ob diese Rechnung tatsächlich von dir in Wirklichkeit kommt oder von jemand anders, der nur möchte, dass ich auf sein Konto Geld überweise. Dann sollte man natürlich schauen, auf welches Konto soll denn dieses Geld überwiesen werden.

Bei der ansonsten wahrscheinlich perfekt gemachten Mail. Ist es ein Konto in Deutschland oder nicht? Wenn es nicht in Deutschland ist, wäre ich da sehr stutzig, beziehungsweise wenn die Rechnung nicht erwartet worden ist, oder in dem Betrag nicht erwartet worden ist, dann oder die Bezeichnung falsch ist auf der Rechnung, dann sollte man nachfragen. Und falls man aber die Rechnung bezahlt, weil sie gut aussieht, dann muss man auch sagen, meiner Meinung nach natürlich der, der gehackt wurde, derjenige, der dir den Betrag zurückerstatten muss, falls er verloren gegangen ist. Also das muss man auch wissen. Man sollte sich deswegen nicht hacken lassen. Und in dem Zusammenhang möchte ich nochmal mitteilen, dass der Artikel 32 DSGVO Sicherheit der Datenverarbeitung, ist ja glaube ich überschrieben, der verknüpft sozusagen die IT-Sicherheit mit dem Datenschutz. Das heißt, Datenschutz kann nur gewährleistet sein, um mal auf das Thema unseres Podcasts zurückzukommen, während die IT-Sicherheit auch gewährleistet ist.

Das heißt, es bringt ja nichts, wenn ich personenbezogene Daten ordentlich verarbeite. Und wenn ich aber jedem, also übertrieben gesagt, jedem erlaube, mir die Daten wegzunehmen, der gar nicht berechtigt ist dazu, das passt mit dem Datenschutz nicht zusammen.

Das ist sehr spannend.

Ich nehme mal kurz noch auf, was ich sehr, sehr gut fand. Also über die Metainformationen, die Headerinformationen oder Kopfzeileninformationen, die wir uns in den E-Mail-Programmen anzeigen lassen können, kann man diese sogenannten Informationen, die du gerade angesprochen hast, nämlich, dass der Absender fälschbar ist und dass man einen abgeänderten Reply-To und sowas hat, das kann man darin sehen. Nur damit das alle wissen, wenn man sich diese Kopfzeilen anzeigen lässt, dann sieht man, was ist der Absender, was ist der Empfänger, was ist Reply-To, was sind die Leute in Kopie und so weiter und so fort. Das heißt, da kriegt man eine sehr gute Übersicht darüber, was wirklich mit der E-Mail als Intention vorlag.

Und unter Umständen kann man eben auch daran erkennen, dass hier irgendwas Dubioses im Gange ist, wenn halt der Absender nicht mit dem Reply-To übereinstimmt oder gravierend davon abweicht.

Ich sage das bewusst einschränkend gravierend, weil ich zum Beispiel es sehr häufig so mache, dass ich sage, ich sende von einer E-Mail-Adresse, die zum Beispiel Newsletter-Ad meine Domain heißt und dann biete ich im Reply-To-Feld eine andere E-Mail-Adresse zum Antworten an, sodass der Nutzer im Endeffekt, wenn er meine Newsletter-Ad sperrt, weil er von der Information genervt ist oder sich nicht abmelden wollte vom Newsletter, trotzdem noch mit der anderen E-Mail-Adresse vernünftig kommunizieren kann und auch mir antworten kann.

Also da darf man dann glaube ich, finde ich, nicht zu hart zu den Leuten sein, die das abändern. Aber wenn halt die Domain im Reply-To sich von der Absender-Domain unterscheidet, dann ist das schon ein ziemlich genauer Hinweis dass man es hier nicht mit einem und demselben Absender und Empfänger zu tun hat und dass da vielleicht irgendwas im Argen ist.

Lass mich doch ein Beispiel nennen, weil es so gut passt zu dem, was du gesagt hast. Also selbstverständlich hast du recht, wenn die Domäne dieselbe ist, dann kann man natürlich schon erwarten, dass der Absender, also vor dem Ad sozusagen der Teil unterschiedlich ist.

Das mache ich auch. Wie du sagtest, Newsletter-Ad oder Stephan Plesnik-Ad oder Mail-Ad oder was auch immer, Service-Ad oder so, das ist natürlich alles in Ordnung.

Ich hatte jetzt gestern einen Fall, da hat mir ein Kunde eine Nachricht geschrieben, aber nicht von der Mail-Adresse, die er sozusagen bei mir im Vertrag hat, sondern er hat von einer GMX-Adresse geschrieben und er hat aber auch die Kopie der bisherigen Mail-Kommunikation an der Mail dran gehabt. Also er war höchstwahrscheinlich der echte Absender gewesen.

Ich habe aber trotzdem geschrieben, hallo, ich habe Ihre Mail bekommen, aber bitte schicken Sie sie mir doch von Ihrer echten E-Mail-Adresse, mit der wir auch bisher kommuniziert haben. Und das war auch dann möglich, war auch alles in Ordnung, aber ich will nur sagen, auch aus rechtlichen Gründen sollte man nicht, wenn man in einer Vertragsbeziehung steht oder so, von einer anderen Mail-Domäne eine Antwort akzeptieren, beziehungsweise dann auf der echten bisherigen Mail-Domäne nachfragen, ob diese Mail auch tatsächlich die echte war sozusagen.

An der Stelle sind wir ja mit dem Hinweis wirklich wieder da, wo du gerade auch schon begonnen hattest, angesetzt hattest, also wo IT-Sicherheit und Datenschutz ineinandergreifen und wo IT-Sicherheitsmaßnahmen dann auch Datenschutzmaßnahmen legitimieren am Ende.

Weil wir müssen ja an der Stelle irgendwie als Nutzer selber auch so dieses Bewusstsein dafür haben, wie viel Kriminalität auf der Welt herrscht.

Damit ich überhaupt auf die Idee komme zu sagen, naja gut, es gibt zum Beispiel in den Verträgen mit Kunden, die ich abschließe, eindeutige Hinweise auf Kommunikationswege, über die Kommunikation stattfindet, wie zum Beispiel nur die E-Mails mit der Domäne des Unternehmens oder irgendwie sowas, weil man sich eben bei den anderen nicht sicher sein kann.

Ich denke, das ist ein wichtiger Hinweis gerade auch für Leute, die freiberuflich tätig sind, die wahrscheinlich sehr viel in unterschiedlicher Kommunikation mit unterschiedlichen Menschen stecken und wo ich das selber auch erlebe, dass sehr häufig mein Gegenüber mal eben schnell über LinkedIn irgendetwas schreibt oder eine Zusage zu irgendetwas gibt.

Und wenn man das dann per E-Mail vertieft oder da zu einem Vertragsabschluss kommt, unter Umständen eben eine private E-Mail-Adresse nutzt, einfach weil vielleicht das LinkedIn-Profil damit verknüpft oder erstellt wurde oder irgendwie sowas, und man dann vergisst eben darauf hinzuweisen, naja gut, wenn ich so eine generische, wie du gerade meintest, GMX, Freenet und was es da nicht alles gibt, Gmail und Web.de und sowas, wenn ich so ein Service nutze, dann kann ich mir nur sehr, sehr schwierig sicher sein, ob das wirklich legitim ist. Vor allen Dingen sind das riesige Plattformen, die ständig von Hackerangriffen sozusagen forciert werden, um dort Informationen abzugreifen.

Das heißt, ich kann mir über die Sicherheit und Integrität da auch nicht so sicher sein und habe dann obendrauf noch das Problem, dass ich nicht wirklich nachweisen kann, dass ich auch exakt mit dieser Person kommuniziert habe, weil die Domain wird ja normalerweise vom Unternehmen selbst kontrolliert.

Es sei denn, das Unternehmen hatte einen Hackerangriff.

Ich meine, das dürfen wir auch nicht ausschließen.

Also das kann ja auch passieren.

Genau, also das ist ein sehr guter Punkt.

Wie gesagt, in der geschäftlichen Kommunikation sollte man da sehr darauf achten, dass der Absender keine Freemail-Adresse verwendet. Es gibt auch ein paar, die meinen, es gibt seriöse Freemailer, das mag durchaus sein, aber wie du sagtest, wenn die Domäne nicht dem Unternehmen zugeordnet ist, kann ich den Absender gar nicht ermitteln im Streitfall.

Also angenommen, ich habe demjenigen eine Rechnung geschrieben an seine Gmail-Adresse, am allerschlimmsten, oder Gmx-Adresse ist wenigstens dann in Deutschland und dann sagt er, dann ist er auf einmal weg sozusagen. Also er hat nicht bezahlt und er ist auch nicht mehr erreichbar. Dann kann ich nicht mal rausfinden, jedenfalls nicht einfach über eine D-NIC-Abfrage oder sowas.

Also wem gehört diese Domäne zu E-Mail?

Weil es ist ein Gmx oder so, vielleicht geben die mir gar keine Auskunft. Da muss ich da rumkämpfen, bis ich den eigentlichen Inhaber kenne sozusagen und vielleicht kennt Gmx den ja auch nicht. Man muss zwar eine Adresse angeben bei der Registrierung, aber da kann man ja reinschreiben, was man will. Das habe ich auch schon so gemacht.

Übrigens möchte ich dazu raten, nicht Gmail zu verwenden. Das ist ein Google- Postfach und ich glaube, jeder weiß, dass Google nicht der beste Datenschützer der Welt ist.

Da sollte man sich von verabschieden.

Und wenn ich noch einen Tipp geben darf, wenn man einen guten Provider sucht, dann Stephan, machst du auch Providing oder nicht? Nicht, dass ich jemand anderes empfehle jetzt noch. Nein, also beim Hosting setze ich selber aktuell auf GoNEO.

Die habe ich als sehr gut empfunden.

Die GoNEO Internetagentur GmbH.

Die haben vor allen Dingen einen menschlichen Support. Das gefällt mir ganz gut.

Also jedenfalls kein riesengroßer Anbieter ist mir sehr sympathisch. Also was ich persönlich nicht empfehlen kann, also die sind nicht schlecht, aber der Kundensupport, den finde ich nicht gut und auch einige Dinge, dass man so ein leeres Paket weiter bezahlen muss, wenn man was gekündigt hat.

Strato finde ich nicht gut. 1&1 finde ich nicht gut.

Wie gesagt, schlecht sind sie nicht, aber ich finde sie nicht gut.

Nach einiger Erfahrung mit diesen Firmen.

Was ich aber auch sehr gut finde und auch nutze, ist All Inkl.

Der Support ist pfeilschnell. Er liefert super Antworten, die ausgesprochen hilfreich sind.

Und da hat man übrigens auch die Möglichkeit, da können wir vielleicht jetzt nochmal zum Ende kommen, einen sehr ausgeklügelten Spamfilter zu definieren für die E-Mails, weil Spamfilter gehören für mich unbedingt zum Alltag dazu. Ansonsten hat man keine Chance, Phishing effizient zu bekämpfen.

Das stimmt. Da hast du definitiv Recht. Also der Hinweis zu dem Spamfilter, den finde ich sehr gut. Ich meine, wir kennen das alle, dass Programme uns anbieten, dass wir irgendwelche automatisch lernenden Junkfilter haben und so weiter. Aber diese Funktionalitäten kann man nun wirklich nicht als intelligent bezeichnen, sondern das sind eher wirklich reziprok lernende Systeme, die einfach nur sagen, ja okay, das, was ich kenne, ist mir bekannt und dann blocke ich halt alles, was danach kommt.

Aber der Hinweis jetzt, wenn wir über sichere Anbieter oder sichere Anbietersysteme auch für E-Mails sprechen, habe ich von der Community auf dem Datenschutz- Pflichtkanal sehr häufig gehört, dass doch viele Leute einen Anbieter nennen wie Proton-Mail, die wohl Ende-zu-Ende verschlüsselte E-Mail-Postfächer und auch Cloud-Speicher anbieten, angeblich. Ich selber habe mit denen jetzt noch nicht so viele Erfahrungen gesammelt. Ich habe mir da mal testweise ein Konto erstellt. Aber wie gesagt, ich habe noch keine Erfahrungswerte.

Ich bin mal gespannt, was da passiert. Auf jeden Fall setzen viele eben auch auf diesen Anbieter, bei dem es angeblich bis zu einem gewissen Speicherplatz eben auch kostenfrei, aber verschlüsselte E-Mail-Ablage und das alles innerhalb der EU. Also da ist man dann vielleicht so ein bisschen besser aufgehoben als, wie du gerade meintest, ein Negativbeispiel, Google und Gmail.

Was ich persönlich auch nicht empfehlen würde. Manchmal führt halt kein Weg daran vorbei, wenn man unter Umständen bestimmte Services von Google wie YouTube oder so nutzen möchte. Damals haben sie einen ja noch gezwungen, ihre E-Mail-Adresse zu nutzen. Darf man ja auch nicht vergessen.

Das ist ja auch okay. Also wenn man die Google-E-Mail-Adresse nur dafür nimmt, um sich einzuloggen in einen Google-Dienst, den man nutzen will selbst, dann ist es ja in Ordnung. Aber nicht verwenden, um irgendjemanden anzuschreiben oder sowas. Also man muss vielleicht unterscheiden nochmal zwischen privater Nutzung und geschäftlicher Nutzung. Ich finde, im geschäftlichen Leben haben Freemailer nichts zu suchen.

Und Mail-Adressen, die Freemail und kommerziell sein können, also von der Domäne her, die haben da auch nichts zu suchen, weil man ja dann nicht weiß, ist der Kunde bei diesem Mail-Anbieter kommerziell oder ist er ein kostenlos Kunde? Ich akzeptiere in Konsequenz keine Freemail-Mail-Adressen, die bei mir sagen, ich möchte von ihnen was kaufen oder so. Und wenn die mich so anschreiben, dann kriegen sie eine Rechnung mit Vorkasse.

Ich mache das nicht, dass ich ja, ich meine, ich weiß doch gar nicht, wer der andere ist. Ich habe von dem nur eine Mail. Und dann gebe ich ihm eine Leistung. Und jeder kann sich so eine Mail-Adresse besorgen. Also ich meine, das ist deswegen, es muss eine ordentliche Mail sein. Und selbst wenn er eine Mail, die seriös aussieht, verwendet, wie gesagt, dann kann es ja schon sein, theoretisch, vorhin gesagt, dass der Absender sie gefälscht hat. Deswegen, wenn man zurückschreibt und sich unsicher ist, dann kann man auch zurückschreiben, kam die Mail wirklich von Ihnen oder ich habe Ihre Mail erhalten und bestätige Ihren Auftrag. Sofern das nicht Ihr Auftrag war oder so, etwas übertrieben gesagt, dann schreiben Sie mir kurz.

Aber man sollte vielleicht auch mal einen Tag warten oder so, damit der andere die Chance hat, falls er einen Hackeranfall hatte sozusagen, Hackerangriff hatte, dass er sozusagen antworten kann, nee, das war gar nicht von mir, wie kommen Sie da drauf oder so. Ja, dann sage ich, ja, ich habe eine Mail von Ihnen bekommen, aber anscheinend haben Sie die selbst gar nicht geschrieben, sondern jemand anderes in Ihrem Namen.

Ja, sehr cool.

Guter Hinweis.

Ich fasse mal zusammen Richtung Ende unseres kleinen Gesprächs hier zu diesem Thema E-Mail-Phishing, was wir jetzt sozusagen hier mal erarbeitet haben.

Also grundsätzliche Regeln würde ich sagen, wenn ich eine Phishing-E-Mail oder eine E-Mail auf Phishing-Versuche hin überprüfen möchte, wären an erster Stelle, tu das nicht auf dem Smartphone, mach das auf einem Rechner mit einem Top-Client, wo du wirklich alle Kopfzeilen und Metainformationen einsehen kannst.

Der nächste Punkt ist, folge keinen Aufforderungen, die du nicht als zu 100% seriös verifizieren kannst in E-Mails und klicke keine Links an, sondern gehe immer auf die Plattform selbst, ruf die Manuellen dem Browser auf, lock dich da mit deinem bekannten Login-Daten ein, damit du dir sicher sein kannst, du bist beim richtigen Anbieter und nur wenn dort auch nochmal die Aussage wiederholt wird, der Aufruf, das Passwort zu ändern, neue Zahlungsinformationen zu hinterlegen, nur dann, nur dort ändern.

Außerdem kann man aus dem Absender, zum Beispiel der Domain des Absenders, der Absender- E-Mail-Adresse oder überhaupt im Format der Absender-E-Mail-Adresse, sehr klar erkennen, ob das legitimer sein könnte von der Herkunft, dann der Betreff und der Inhalt geben meistens durch die Art und Weise der Formulierungen doch relativ schnell Aufschluss darüber, wie legitim das Anliegen ist. Aber hier noch ein kurzer Hinweis, die Chat-GPT-Revolution, die aktuell durch das Internet geistert, sollte man nicht vergessen.

Also hier wird sehr vielen Leuten, die vorher vom Königsgeschlecht geredet haben, dass irgendwelche Gelder transferieren möchte über das Konto, die werden dann wohl in Zukunft sehr, sehr viel besser formuliert sein, weil Chat-GPT das eben in der Landessprache des Empfängers extrem gut vorbereiten kann.

Also hier ist Obacht geboten für die Zukunft. Außerdem eben die Kopfzeileninformationen genau studieren, da kann man sehen, über welche Server wurde das wie hin und her gesendet und welche E-Mail-Adressen und Postfächer stecken eigentlich dahinter.

So kommt man dann schon ziemlich genau an den Punkt, ob die E-Mail legitim ist oder nicht. Außerdem, wenn wir im Arbeitsumfeld sind, haben wir festgestellt, wäre es sehr gut, dass man sich darauf einig, über welche Kommunikationswege man überhaupt geschäftliche Kommunikation durchführt und dass man da eben, wenn das nicht eingehalten wird, eben, wie du im Beispiel gezeigt hast, mit der Rückfrage arbeitet, um sich zu vergewissern, ob die E-Mail auch wirklich legitim ist.

Dann haben wir über Freemailer gesprochen. Dazu ist nur zu sagen, bei Freemailern hat man immer gewisse Sicherheitsrisiken und wenn man sich da nach etwas Interessantem umschauen möchte, hatten wir bei Hoster erwähnt, wo wir sagen, das sind ganz gute Provider, die uns ganz gut einen Eindruck machen. Da könnte man vielleicht an dieser Stelle, fällt mir gerade ein, auch noch Secure-Mail erwähnen.

Die benutzt das Unternehmen meines Vaters und meiner Schwester und die haben mit denen sehr gute Erfahrungen gemacht, gerade was den Spam-Filter angeht, der den Spam dort doch wirklich um über 99% reduziert hat, was ja doch eine erstaunliche Leistung ist in der heutigen Zeit.

Gut, ich hoffe, das habe ich so ganz gut zusammengefasst, was wir in den letzten 20 Minütchen hier diskutiert haben. Klaus, dein letztes abschließendes Wort.

Genau, vielen Dank.

Ich habe mir noch drei Punkte aufgeschrieben.

Also Chat-GPT, sehr guter Hinweis, kam jetzt auch sogar in der Tagesschau.

Es wird ja thematisiert, wie kann ich erkennen, ob irgendwas von der Künstlerintelligenz kommt oder nicht.

Das ist genau der Punkt, den du angesprochen hast.

Das zweite ist, Anhänge sollte man nur mit Vorsicht öffnen oder gar nicht. Also im privaten Bereich, wenn man unsicher ist, löscht man die Mail einfach. Da gibt es nicht viel Wichtiges. Beim geschäftlichen Umfeld, da muss man eben vorsichtig sein mit Anhängen.

Und generell gilt, wenn man unsicher ist, dann sollte man einen im geschäftlichen Umfeld Kollegen fragen, die IT-Abteilung oder im privaten Umfeld vielleicht einen befreundeten IT-Experten. Der kann einem dann sicher helfen. Man muss nicht alles wissen, aber wenn man es nicht weiß, dann sollte man sich auch so verhalten, dass man es nicht weiß. Supergeiler letzter Hinweis. Anhänge, natürlich sind wir überhaupt nicht wirklich drauf eingegangen.

Ist der größte Fehler, die größte Quelle für Viren und Malware, sich auf den Rechner zu holen. Also niemals was aus einer E-Mail als Anhang runterlagen. Schon gar nicht, wenn es was ist, was man, was eine ausführbare Dateiformat hat. Also irgendwelche Excel oder DOCX oder sowas, die man dann in Word oder sowas öffnen kann. Die sind bekannt dafür, dass da in Makros irgendwelche Download Funktionen drin sind, um Viren oder Malware einzuschleusen. Gerade auch Excel-Dateien, die sind ja auch vielen gar nicht mehr so wirklich bekannt und präsent, dass das ausführbare Datei bei Windows sind, seitdem die auch alles so clicky-bunty gemacht haben wie bei Mac.

Also da auch auf jeden Fall drauf achten, dass man genau E-Mail-Anhänge eigentlich grundsätzlich skeptisch betrachten sollte. Und nur öffnet, wenn man sich auch, wenn man auch gefragt hat danach, dass man die bekommen möchte. So würde ich das formulieren.

Denn selbst in PDFs können Viren enthalten sein. Das ist alles möglich heutzutage.

Gut, dann würde ich sagen, kommen wir damit jetzt mal zum Ende für diese Woche.

Hat mich auf jeden Fall sehr gefreut.

War ein sehr spannendes Gespräch, auch sehr interessant zu sehen, dass wir doch eine sehr ähnliche Vorgehensweise bei der privaten, manuellen Überprüfung von unseren E-Mails haben und dem Phishing.

Und danke dir nochmal für zwei, drei spannende Hinweise, die ich dann doch heute noch bekommen hab, wo ich selber so noch nicht drauf geachtet hab.

Ja, vielen Dank, Stephan. Hat mir auch sehr viel Spaß gemacht, auch deine Impulse. Du hast auch recht, was den Mailheader angeht, da bin ich jetzt selbst nicht drauf aber kann ich nur unterstreichen.

Fand ich toll. Ich freue mich, dass wir uns unterhalten haben und auch aufs nächste Mal freue ich mich bereits. Gut, ich hoffe, die Zuhörer auch und wir sagen dann mal Tschüss, bis zum nächsten Mal. Tschüss.

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns?

Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht. Bis zum nächsten Mal.