In der IT von Unternehmen und auf privaten PCs ist die Internet-Verbindung durch Firewalls, Router und andere Systeme meist gut abgesichert. E-Mails mit Dateianhängen bieten kriminellen Hackern trotzdem die Möglichkeit, Schadsoftware aller Art auf die PCs ihrer Angriffsziele zu schleusen. Wie können sich Anwender davor schützen und E-Mail-Security mit einfachen Verhaltensregeln und technischen Vorsichtsmaßnahmen sicherstellen?
Der Posteingang des E-Mail-Clients ist nicht nur das bevorzugte Einfallstor für Trojaner, Ransomware und Malware. Die E-Mails, die die Angreifer verschicken, sind zudem raffiniert gefälschte Nachrichten, sogenannte Phishing-Mails. Diese stammen vermeintlich von Online-Shops oder der Bank des Anwenders und fordern ihn beispielsweise auf, einem Link zu folgen und seine Zugangsdaten auf einer Website einzugeben, die gefälscht und der seiner Bank täuschend echt nachempfunden ist. Oder sie führen ihn auf eine Webseite, die bereits beim Aufruf im Browser Schadsoftware auf seinen Computer überträgt.
Derartige Angriffe per E-Mail sind deshalb so gefährlich, weil sie auf Tausende PCs gleichzeitig abzielen. Selbst wenn nur eine Person im Unternehmen einem kriminellen Link folgt, reicht dies bereits aus, um einen Virus erst auf ihren eigenen und dann auf alle anderen Computer im Netzwerk zu übertragen. Zur Abwehr dieser Angriffe müssen sich zum einen die Anwender der Gefahren beim Umgang mit E-Mails bewusst sein. Unternehmen sollten deshalb in entsprechende Schulungen auf die gängigsten Merkmale von Nachrichten krimineller Absender hinweisen. Zudem steht IT-Administratoren eine umfangreiche Auswahl technischer Maßnahmen zur Verfügung, um Spam oder E-Mails mit Schadsoftware auf Clients und Servern auszusortieren.
Die wichtigsten Merkmale von Phishing-Mails
Bei Phishing-Versuchen per E-Mail wissen die Betrüger normalerweise nicht, bei welcher Bank die Adressaten ihrer E-Mails ein Konto führen oder bei welchem Shop sie einkaufen. Sie gehen einfach davon aus, dass unter den Tausenden Empfängern einige dabei sind, die sich von ihren gefälschten Nachrichten angesprochen fühlen. Die erste Regel lautet daher, E-Mails von Instituten, bei denen man selbst kein Konto führt, sofort zu löschen. Da diese Mails an unzählige Adressaten geschickt werden, ist die Anrede oft unpersönlich oder entspricht der eigenen E-Mail-Adresse.
Bei Nachrichten der eigenen Bank gilt es hingegen sicherzustellen, dass sie tatsächlich vom vermeintlichen Absender stammen. Da der Absendername in jedem E-Mail-Programm frei wählbar ist, sollten Anwender in diesem Fall stets die E-Mail-Adresse überprüfen. Passt die angegebene Domain tatsächlich zum Kreditinstitut oder Shop? Größte Vorsicht ist hier vor allem bei Nachrichten geboten, die über Freemail-Dienste oder exotische Provider verschickt wurden.
Ein weiteres Merkmal, das auf eine Fälschung hinweist, ist eine fehlerhafte Rechtschreibung und Grammatik. In nahezu allen Phishing-Mails finden sich bei genauerem Hinsehen falsch geschriebene Wörter, Fehler bei der Interpunktion oder auch falsch aufgelöste oder fehlende Umlaute (z. B. nur „a“ oder „ae“ statt „ä“). Häufig sind sogar die Namen der Banken oder Shops nicht korrekt. Echten Unternehmen passieren solche Fehler nicht.
Weiterhin täuschen Phishing-Mails meist einen akuten Handlungsbedarf vor, welcher oft mit einer negativen Konsequenz verbunden ist. Beispielsweise werden Empfänger gern aufgefordert, ihre Zugangsdaten über einen Link einzugeben, um diese zu verifizieren. Sollten sie diesem nicht nachkommen, wird das Konto in den nächsten 2 Tagen gesperrt.
Verhaltenstipps beim Umgang mit E-Mails
Die wichtigsten Verhaltenstipps für Anwender beim Umgang mit E-Mails und ihren Anhängen lauten daher folgendermaßen:
- Dateianhänge nur dann sofort öffnen, wenn sie von bekannten Adressen stammen. Ist der Absender nicht bekannt, kann man den Anhang – ohne ihn zu öffnen – auf dem lokalen Computer speichern und gezielt durch einen Virenscanner überprüfen.
- Die Absenderadresse der E-Mail sowie enthaltene URL-Adressen auf Plausibilität prüfen. Im Zweifelsfall beim Unternehmen des Absenders anrufen und sich die Identität dieses Mitarbeiters bestätigen lassen.
- Bei vermeintlich geschäftlichen E-Mails auf Details wie eine persönliche Anrede, die Angabe von Bankverbindungen, eine Umsatzsteuer-ID und eventuell eine Kundennummer achten.
In Nachrichten, die aufgrund der zuvor genannten Kriterien verdächtig erscheinen, niemals dem Link zu einer Website folgen oder per Link/als PDF angehangene weitere Dokumente herunterladen.
Technische Vorsichtsmaßnahmen zur E-Mail-Security
Angesichts von Malware-as-a-Service und der zunehmenden Verbreitung von Phishing-Kits genügt es jedoch nicht, allein das Bewusstsein für die Gefahren durch E-Mail zu schärfen und beim Umgang mit Nachrichten Vorsicht walten zu lassen. Anwender und Unternehmen sollten zudem die technischen Möglichkeiten einer Malware-Abwehr voll ausschöpfen.
Absolute Pflicht ist der Einsatz eines Antiviren-Programms. Die meisten kostenlosen Tools dieser Art reagieren allerdings erst dann auf Malware im E-Mail-Anhang, wenn sie heruntergeladen und per Doppelklick aktiviert wurde. Kostenpflichtige Lösungen bieten zudem die Möglichkeit, den Posteingang des Clients direkt zu überwachen. Noch besser ist eine Lösung wie bei Synology MailPlus, wo der Anwender das kostenpflichtige McAfee Anti-Virus direkt auf dem Server einrichten kann. Auf diese Weise werden sämtliche Postfächer durch eine zentrale Lösung geschützt.
Der MailPlus Server bietet dem Anwender zudem weitere Schutzfunktionen. So überwacht er die eingehenden Nachrichten mit dem Postfix Security Check, der eine Reihe von Routinen sowohl für den Schutz vor Malware als auch für die Abwehr von Spam-Nachrichten umfasst. Dazu gehört beispielsweise die Überprüfung der IP-Adressen aller Absender anhand von Blacklists im Internet und die Authentifizierung der Adressen mittels moderner Verfahren wie SPF, DKIM und DMARC. Der Server blockt die IP-Adressen von Absendern aber auch dann, wenn sie zu viele Verbindungen gleichzeitig offenhalten oder parallel aufbauen. Verdächtige E-Mails unterzieht Synology MailPlus einem Content-Check, dessen Regeln der jeweilige Administrator definiert. E-Mails, die bei einer dieser Überprüfungen durchfallen, den Check nicht bestehen oder von der Antiviren-Software aussortiert werden, landen in einer speziellen Quarantäne-Zone. Weitere Informationen zu E-Mail-Security mit Synology.