Sicherer Umgang mit E-Mails
Phishing-Mails, Betrugsmails, Mails mit Schadprogrammen: Bleiben Sie wachsam!
Wissenswertes
Keine Vertraulichkeit
In Sachen Diskretion, Vertraulichkeit und Sicherheit gleicht eine E-Mail einer Postkarte. Wie bei der Postkarte kann potenziell jede und jeder, die oder der Zugriff auf den ?Postweg? zwischen Ihnen und der Zielmailbox hat, empfangene oder gesendete E-Mails mitlesen.
Deshalb geh?ren vertrauliche Daten auf keinen Fall in eine E-Mail, die nicht explizit abgesichert ist.
Malware in E-Mails
Malware-E-Mails sind E-Mails mit Anh?ngen, die Schadprogramme enthalten. Malware ist oftmals versteckt in Zip-, PDF- oder DOC-Dateien.
Phishing: Passwort-Diebstahl
Diese E-Mails sehen fast aus wie Nachrichten von der ETH oder anderen vertrauenswürdigen Partnern. In der E-Mail enthaltene Links führen dann aber auf ein Plagiat der originalen Website, wo versucht wird, Ihre Login-Daten zu stehlen.
Scam- oder Fraud-E-Mails: Betrug
Mit solchen E-Mails versuchen Angreifende, sich einen finanziellen Vorteil zu verschaffen.
Das Opfer erh?lt eine E-Mail, angeblich von einer vorgesetzten Stelle oder einem/einer VIP. In der E-Mail wird das Opfer gebeten, sich dringlich um einen ?Notfall?, eine Ausnahmesituation, zu kümmern und beispielsweise schnell gewisse Betr?ge zu überweisen, Zugriffsrechte zu erteilen oder Informationen zur Verfügung zu stellen.
Aufgrund des aufgebauten Drucks durch die/den vermeintliche/n Vorgesetzte/n vers?umen es die Betroffenen h?ufig, den Auftrag kritisch zu hinterfragen, ob die Absendeadresse korrekt und der Auftrag plausibel ist.
Mail-Spoofing. Gef?lschte Absendeadressen
Es ist nicht schwierig, Absendeadressen von E-Mails zu f?lschen, um dann - angeblich im Namen des vorget?uschten Absenders - Betrugsversuche zu starten. Sei es über Scam-Mails oder Phishing, sei es über den Versand von Anh?ngen mit Schadsoftware.
Manchmal sehen die gef?lschten Absendeadressen t?uschend echt aus.
Bei der Verschlüsselung von E-Mails gilt es zwei Verfahren zu unterscheiden:
Opportunistische Transportverschlüsselung
Die opportunistische Transportverschlüsselung erfolgt automatisch ohne Zutun des Benutzers und verschlüsselt die E-Mail jeweils w?hrend des Transports zwischen zwei Mailservern, sofern Sender- und Empf?ngerseite dies unterstützen.
Transportverschlüsselung ist heutzutage sehr verbreitet. Allerdings k?nnen Benutzende in den meisten F?llen nicht wissen, ob für ihre E-Mails Transportverschlüsselung zum Einsatz kommt.
Selbst wenn dies in Ausnahmef?llen bekannt ist, bleibt immer noch die Einschr?nkung, dass die E-Mails zwar w?hrend des Transports verschlüsselt sind, auf den E-Mail-Servern der Sende- und Empf?ngerseite aber unverschlüsselt abgelegt werden.
Ende-zu-Ende-Verschlüsselung
Die Ende-zu-Ende-Verschlüsselung erfolgt in Ihrem E-Mail-Programm mit dem ?ffentlichen Schlüssel des Empf?ngers. Nur dieser kann die E-Mail mit seinem privaten Schlüssel wieder entschlüsseln.
Auf dem gesamten Transportweg von Ihrem E-Mail-Client zu dem des Empf?ngers sowie bei der Ablage auf den E-Mail-Servern kann niemand Einsicht nehmen.
Digitale Zertifikate
Ein Digitales Zertifikat ist mit einem Ausweis vergleichbar, beispielsweise mit einem Firmenausweis oder einem Mitgliedsausweis für einen Sportclub. Es gibt auch Digitale Zertifikate, die aufgrund ihrer h?heren Sicherheitsstufe für rechtlich verbindliche Transaktionen eingesetzt werden k?nnen.
Digitale Zertifikate k?nnen zur Identifikation von Benutzenden, aber auch zur Identifikation von Servern, Endger?ten oder Software ausgestellt werden. Im Kontext von E-Mail-Zertifikaten geht es ausschliesslich um Benutzerzertifikate.
Aufbau Digitaler Zertifikate
Grunds?tzlich stellt ein Digitales Zertifikat Informationen über eine Identit?t zur Verfügung. Diese Informationen werden vor Ausstellung des Zertifikats durch den Herausausgeber überprüft und formal best?tigt. Unterschiedliche Sicherheitsstufen von Zertifikaten erfordern dabei auch unterschiedlich aufwendige Formalit?ten bei der initialen ?berprüfung der Identit?t des Antragsstellers oder der Antragstellerin. Je h?her die Sicherheitsstufe eines Zertifikats, desto weitreichender die Einsatzm?glichkeiten.
Jedes Digitale Zertifikat besteht aus ?ffentlichen und geheimen Informationen. Der ?ffentliche Teil enth?lt alle Informationen, die Dritten zug?nglich sein müssen, um die Identit?t eines Benutzers oder einer Benutzerin zu überprüfen, wie beispielsweise e-Mail-Adresse, Name des Eigentümers oder der Eigentümerin und Ablaufdatum des Zertifikats. Der private Schlüssel, der zu jedem Zertifikat geh?rt, ist geheim.
Absicherung des E-Mail-Verkehrs mit Digitalen Zertifikaten
Der Austausch von E-Mails kann mit E-Mail-Zertifikaten abgesichert werden. Diese Digitalen Benutzerzertifikate k?nnen ?hnlich wie ein Siegel verwendet werden, um den Absender oder die Absenderin einer E-Mail zu verifizieren. Bei einer Mail, die mit einem gültigen Zertifikat signiert wurde, k?nnen die Empf?nger sicher sein, dass sie vom Besitzer, bzw. von der Besitzerin des Zertifikats versendet wurde und dass sie inhaltlich unver?ndert ausgeliefert wurde. Darüber hinaus k?nnen die Zertifikate auch für die Verschlüsselung von Transport und Ablage von E-Mails verwendet werden.
Die beiden wesentlichen Sicherheitsfunktionen von E-Mail-Zertifikaten sind:
Digitales Signieren
Die E-Mail wird "besiegelt". Eine gültige Digitale Signatur ist mit einem ungebrochenen Siegel vergleichbar.
- Die Absenderin, bzw. der Absender ist die Besitzerin, bzw. der Besitzer des Zertifikats, die Mail ist echt.
- Die Mail ist inhaltlich unver?ndert an die Empf?nger-Mailbox ausgeliefert worden, sie ist unverf?lscht.
Signierte E-Mails tragen wesentlich zum Schutz vor Phishing- und Fraud-Mails bei, insbesondere wenn E-Mails routinem?ssig signiert werden und Empf?nger auf die Signaturen achten. Denn dann sind sie alarmiert, wenn sie eine unsignierte Mail erhalten, die angeblich von ihrer oder ihrem Vorgesetzten stammt und sie aufgefordert werden, dringend und an allen üblichen Prozessen vorbei, Gutscheine eines Online-Stores zu kaufen oder andere finanzielle Transaktionen auszul?sen.
Ende-zu-Ende-Verschlüsselung
Verfügen Sende- und Empf?ngerseite über E-Mail-Zertifikate und haben sie die ?ffentlichen Schlüssel ihrer Zertifikate ausgetauscht, k?nnen sie ihren E-Mail-Verkehr verschlüsseln. So gesicherte Mails k?nnen nur mit Hilfe der privaten Schlüssel der Beteiligten gelesen werden. Werden die privaten Schlüssel sicher verwahrt, ist also praktisch ausgeschlossen, dass solche Mails durch Unbefugte eingesehen werden k?nnen.
E-Mail-Zertifikate sicher verwalten
?hnlich wie Siegel oder Identit?tskarten, dürfen die privaten Schlüssel der Zertifikate nicht in unbefugte H?nde geraten oder verloren gehen. Sie müssen sicher verwaltet werden. Die Informatikdienste bieten mit einen Service zum Bezug und für die sichere Verwaltung von E-Mail-Zertifikaten (Public Key Infrastructure, PKI) an. Im Angebot sind pers?nliche Zertifikate und Zertifikate für Gruppenmailboxen.
- Signieren Sie Ihre E-Mails mit einem Digitalen Zertifikat.
- ?berprüfen Sie die Empf?ngerliste vor dem Klick auf den Sendeknopf.
- Seien Sie sich bewusst: Nach dem Absenden haben Sie keine Kontrolle mehr über Ihre E-Mails. Sie wissen nicht, ob sie kopiert und/oder weitergeleitet werden.
- Nutzen Sie bei mehreren Empf?ngern das Adressfeld ?BCC? (englisch für Blind Carbon Copy, deutsch Blindkopie) statt ?CC?, wenn die restlichen Empf?ngeradressen nicht für alle sichtbar sein sollen.
- Leiten Sie keine Kettenmails weiter.
Vertrauliche Informationen dürfen nur per E-Mail versendet werden, wenn sie verschlüs?selt übermittelt werden. Dafür gibt es unterschiedliche M?glichkeiten:
- Versenden Sie vertrauliche Informationen in einem Passwort-geschützten ZIP-Archiv als Anhang zur eigentlichen E-Mail.
?bermitteln Sie das Password über einen anderen Kanal, z.B. per SMS. - Falls Sie und der Empf?nger bzw. die Empf?ngerin ein Zertifikat zur E-Mail-Verschüsselung besitzen, nutzen Sie diese für eine ?Ende-zu-Ende-Verschlüsselung?.
- Wenn Sie sicher sind, dass die Transportverbindung zum Zielsystem verschlüsselt ist und ihnen die Transportverschlüsselung ausreicht, k?nnen Sie die E-Mail ohne zus?tzliche Massnahmen versenden.
- Achten Sie auf Digitale Signaturen.
Verwendet der Absender üblicherweise eine Digitale Signatur? Falls sie fehlt, k?nnte es sich um einen Betrugsversuch handeln.
- ?berprüfen Sie die Absendeadresse: Passt die E-Mail-Adresse zum angezeigten Namen?
- Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten und von unbekannten Stellen bzw. Personen stammen.
- Bei Verdacht lehnen Sie ein per E-Mail an Sie gerichtetes Anliegen ab oder halten Sie telefonisch Rücksprache. Sprechen Sie mit Ihren IT-Spezialisten, wenn Sie unsicher sind.
- Klicken Sie bei verd?chtigen E-Mails nicht auf Links und ?ffnen Sie keine Anh?nge.
- ?ffnen Sie keine ?exe?-Dateien und andere ausführbare Dateiformate. Auch bei allen anderen Dateianh?ngen ist Vorsicht geboten, insbesondere wenn Sie den Absender nicht kennen.
- Enth?lt das Word-Dokument, welches Sie gerade erhalten haben, ein Makro und eine entsprechende Aufforderung, dieses zu aktivieren, um das Dokument ansehen zu k?nnen? Tun Sie dies auf keinen Fall.
- Wenn Ihnen eine E-Mail verd?chtig erscheint, scheuen Sie sich nicht, bei Ihrer ISG oder beim ID Service Desk nachzufragen.
- Wenn Sie viele verd?chtige E-Mails auf einmal erhalten, informieren sie so bald wie m?glich Ihren IT-Support.
Viele Taktiken spielen auf Emotionen an unter Verwendung bekannter Social Engineering Techniken.
Bemerkungen wie ?Sie müssen innert 24 Stunden auf diesen Link klicken, um Ihren Acount zu raktivieren.? oder ?Ihr Account wird blockiert.? werden verwendet, um beim Empf?nger Angst zu erzeugen und Druck auszuüben.
Unter Druck werden unlogische Entscheidungen gef?llt. Wenn Sie das Gefühl haben, der Urheber der E-Mail versucht Sie emotional zu bedr?ngen, werden Sie wom?glich gerade gephisht.
Diese Merkmale k?nnen Anzeichen für Phishing E-Mails sein:
- Bei E-Mails, die eine Aktion von Ihnen verlangen und mit Konsequenzen drohen (wie Geldverlust, Strafanzeige, Konto- oder Kartensperrung), handelt es sich meistens um Phishing-Angriffe.
- Seri?se Dienstleister verlangen von Ihren Kunden nie die Angabe von Passw?rtern oder Kreditkartendaten per E-Mail oder Telefon.
- Rechtschreibe- und Grammatikfehler: Oft enthalten Phishing-E-Mails unvollst?ndige S?tze oder sind nicht korrekt übersetzt.
- Versandzeit: Oft werden Phishing-E-Mails zu einer unüblichen Zeit verschickt.
- Forderungen: Der Absender übt zeitlichen oder moralischen Druck aus.
- Inhalt: Sie werden zu einer ungew?hnlichen Handlung aufgefordert. Beispielsweise verlangt der Absender, dass Sie Ihre Passw?rter oder andere pers?nliche Daten preisgeben.
- Anrede: Sie werden nicht mit Ihrem Namen angesprochen.
- URL: Die URL entspricht nicht dem erwarteten Pfad. Nutzen Sie die ?Mouse Over?-Funktion, um verlinkte URLs zu prüfen, bevor Sie sie anklicken.
Auch bei korrekt formulierten E-Mails kann es sich um Phishing-Attacken handeln.
Rechtm?ssige Webseite
Wenn eine E-Mail Sie zum Besuch einer Webseite veranlasst, dann vergewissern Sie sich, dass Sie auf der rechtm?ssigen Webseite gelandet sind, bevor sie irgendwelche Eingaben auf dieser Webseite t?tigen.
- Stimmt die URL der Webseite?
- Phishing-Links werden ?verschleiert?, um auszusehen wie ein Link zu einer Login-Seite: Bsp. ?https://password.ethz.ch?
- Oft ist der Text in der URL leicht ver?ndert und enth?lt Buchstabendreher: Bsp. ?https://password.ehtz.ch?
- Die URL zeigt woanders hin: Bsp. "https://password.ethz.ch.free.fr"
- Wenn Sie mit der Maus über den Link gehen ohne zu klicken (hovering) und ein anderer, langer Domain-Name erscheint, handelt es sich m?glicherweise um einen Phishing-Versuch.
- Handelt es sich um eine verschlüsselte Verbindung (https)?
- Ist das SSL-Zertifikat dieser Webseite ein gültiges Zertifikat?