Vor­weg: Dieser Beitrag ist eine Überar­beitung eines Artikels, den ich vor einiger Zeit für das Webzine www​.kiel4kiel​.de ver­fasst habe; er richtet sich daher in erster Linie an den pri­vaten Internet-​User und stellt dem entsprechend keine Abhand­lung über Kom­mu­nika­tion­ssicher­heit auf „pro­fes­sionellem“ Niveau dar.

Da wir im Fol­gen­den von „Sicher­heit“ sprechen, muss zunächst ein­mal fest­gestellt wer­den, was damit im Zusam­men­hang mit „E-​Mail“ eigentlich gemeint ist: Ich meine hier diejeni­gen Maß­nah­men, die dafür sor­gen kön­nen, dass per E-​Mail versendete Nachrichten

• Ihren Empfänger erreichen,


• Dessen Ressourcen nicht über Gebühr in Anspruch nehmen,


• Dort keine Schä­den irgendwelcher Art anrichten,

und die nicht auf tech­nis­chen Vorkehrun­gen wie Spam-​Filter, Antiviren-​Software etc., son­dern auf dem Umgang des Users mit seinem Mail-​Client beruhen.

Nahe­liegen­der­weise gibt es genau zwei Punkte, an denen diese Art von Sicher­heit ein­set­zen kann — Näm­l­lich vor dem Ver­sand einer E-​Mail auf dem Sys­tem des Absenders und nach Emp­fang auf dem PC des Empfängers. Dazwis­chen ist ein Ein­greifen allein durch Soft­ware möglich, was, wie gesagt, nicht Thema sein soll.

Der Ver­sand
Wie bei jeder Art mod­erner Tech­nik, lässt sich auch bei der Benutzung von E-​Mail jede Menge falsch machen. Das führt im besten Fall zu Missver­ständ­nis­sen, im schlechteren dazu, dass Nachrichten ver­loren gehen oder ignori­ert wer­den — und wenn es ganz dick kommt, ver­sor­gen Sie Ihren gesammten Bekan­ntenkreis unge­wollt mit den jew­eils neuesten Ver­sio­nen von Spam, Viren und Würmern.

„Bin ich schon drin? Das ist ja ein­fach!“ sagte eine promi­nente Per­sön­lichkeit einst im AOL–Webespot, und schon fin­gen die Prob­leme an: So ein­fach ist „das“ näm­lich gar nicht, und auf gar keinen Fall sollte nach dem „Drin sein“ der Klick-​Finger schneller sein als das Hirn. Erster Schritt vor dem ersten Versenden einer E-​Mail: Ein­stel­lun­gen des E-​Mail Pro­gramms überprüfen. Denn schon hier­bei lässt sich einiges falsch machen. Oben haben wir als einen Teilaspekt von „Sicher­heit“ die Forderung aufgestellt, dass sichergestellt sein muss, dass eine E-​Mail Ihren Empfänger erre­icht, das heißt auch und in erster Linie: für jeden Empfänger les­bar ist. Dies lässt sich am besten dadurch erre­ichen, dass ein For­mat gewählt wird, das jeder Empfänger lesen kann. Und dieses heißt: „plain text“. Natür­lich kann man mit HTML- /​„rich text“- for­matierten Emails jede Menge Spiel­ereien anstellen, wie zum Beispiel: Emails mit blauem Hin­ter­grund und rosa Text versenden. Die Frage ist nur, ob das der E-​Mail inhaltlich weit­er­hilft — meis­tens ist wohl eher das Gegen­teil der Fall. Zudem sind HTML–Mails unnötig groß und kön­nen sogar eine Gefahr für den Empfänger darstellen, etwa, wenn bösar­tiger Java-​Script-​Code in einer HTML–Mail ver­steckt ist.

Grund­sät­zlich sind daher die Nur-​Text-​Mails zu bevorzu­gen. Um den Empfänger nicht übermäßig in Anspruch zu nehmen, soll­ten ferner Dinge wie etwa die Anforderung einer Emp­fangs­bestä­ti­gung tun­lichst ver­mieden wer­den. Ähnliches gilt auch für Web­mail­boxen und einige deren berüchtigter „Fea­tures“. Zum Beispiel den so genan­nten „Autore­spon­der“:
Eine automa­tisch gener­ierte Nachricht, die etwa lautet „Ich habe Ihre Nachricht erhal­ten und werde sie in Kürze beant­worten“ ist so überflüs­sig wie ein Kropf und nervt jeden Empfänger.

Ver­fassen einer E-​Mail
Jetzt wirds ernst– Bevor wir uns aber inhaltlich mit der einer E-​Mail befassen, müssen min­destens zwei Felder aus­ge­füllt wer­den: Das Adress– und das Betreff-​Feld. Schon beim Aus­füllen des ersten Feldes — „Empfänger“ — ist Vor­sicht geboten. Man kann schon hier einiges „falsch“ machen, etwa mehrere, am besten noch: zehn oder zwanzig E-​Mail Adressen in das Adress­feld set­zen, weil eine Mail an mehrere Empfänger ver­sandt wer­den soll. Die meis­ten E-​mail-​Programme erlauben einem diese Vorge­hensweise — man sollte hier­von aber auf gar keinen Fall Gebrauch machen. Viele Men­schen (darunter ich selbst) empfinden es als unhöflich, wenn Ihre E-​Mail-​Adressen offen durch die Gegend geschickt wer­den und auf diese Weise in frem­den Adress­büch­ern oder Wer­bev­erteil­ern enden.

Eine bessere Lösung für den sel­ben Zweck stellt das „BCC“-Feld dar. „BCC“ steht für „Blind Car­bon Copy“, also: „Blind­durch­schlag“ und bedeutet: An die einge­tra­ge­nen Adressen wird die Mail ver­sandt; Die Adressen wer­den aber nicht an alle Empfänger übertra­gen.

Der Betr­eff
„Ich hasse die Betreff-​Zeile!“ fluchen E-​Mail-​Rookies, wenn ihr Mail-​Client sie fragt, ob die E-​Mail wirk­lich ohne eine Betr­eff abge­sendet wer­den soll. „Ich hasse E-​Mails, die keinen Betr­eff haben!“ fluchen die aber meis­ten Leute, die mehr als drei Nachrichten am Tag mit dem Betr­eff „No Sub­ject“ bekom­men. Die Betr­e­f­fzeile dient dazu, den Empfänger auf den ersten Blick darüber zu informieren, was ihn in der Mail erwartet — und diese Infor­ma­tion ist für Men­schen, die täglich dutzende Nachrichten lesen müssen, ger­adezu lebenswichtig. Und einen aus­sagekräfti­gen Betr­eff zu for­mulieren, macht eigentlich keine allzu große Mühe — Jeden­falls dann nicht, wenn man weiß, wie man das bew­erk­stel­li­gen kann.

Bei Schwierigkeiten oder Fra­gen zu Webange­boten enpfiehlt sich für die Betreff-​Zeile die „Objekt-​Abweichungs-​Methode“. Klingt schwierig, ist aber ganz ein­fach: ein­fach das Objekt, auf das sich die Mail bezieht und das mit ihm beste­hende Prob­lem, also die Abwe­ichung vom Nor­mal­szu­s­tand — zum Beispiel: einen „bro­ken Link“ — in den Betr­eff aufzunehmen. der fer­tige Betr­eff kön­nte dann zum Beispiel lauten: „Artikel über E-​Mail Sicher­heit: Link zu Hoax​busters​.de geht nicht“.

Inhalt der Mail
Nun sind wir endlich beim Inhalt ange­langt, und da liegen wohl die meis­ten Prob­leme. In aller Kürze: Erstens gehört eine Anrede in die Mail, damit der Empfänger merkt, dass die Mail auch wirk­lich für ihn bes­timmt ist, und es sich nicht etwa um einen Irrläufer han­delt. Inhaltlich sollte man sich bemühen, die Rechtschrei­bung jeden­falls so weit zu beachten, dass der Empfänger noch weiß, worum es geht und nicht vor einem rät­sel­haften Kaud­er­welsch sitzt. Auch sollte man — was eigentlich selb­stver­ständlich ist, aber von vie­len Leuten trotz­dem nicht beachtet wird — nor­male Umgangs­for­men pfle­gen und immer
ver­mei­den, sein Gegenüber zu belei­di­gen. An das Ende der E-​Mail gehört natür­lich der eigene Name (!).

Beim Beant­worten einer Mail sollte man von der Möglichkeit Gebrauch machen, aus der ursprünglichen E-​Mail zu zitieren, damit der Empfänger weiss, worauf man sich ger­ade bezieht. Ver­pöhnt ist allerd­ings, die gesamte ursprün­liche Mail an das Ende seiner Mail zu kopieren („Full Quote“). das macht auch wenig Sinn und ver­wirrt mehr, als es nützt.

Dateian­hänge
Dateian­hänge soll­ten so weit wie möglich ver­mieden wer­den, weil Sie für den Empfänger ein Sicher­heit­srisiko darstellen. Wenn es irgend­wie möglich ist, sollte man also ver­suchen, alle Infor­ma­tio­nen in der Mail selbst zu trans­portieren. Wenn es wirk­lich notwendig ist, Dateien Anzuhän­gen (zum Beispiel bei Fotos), Gehört jeden­falls ein Kom­men­tar in die E-​Mail, der Absender, Empfänger und Inhalt des Anhangs erken­nen lässt.
Ein Beispiel dafür, was eine E-​Mail dem­nach immer min­destens enthal­ten sollte::

[quote]Hallo Peter,
Im Anhang übersende ich dir Fotos zu unserer Ver­anstal­tung am 1.3.

Dein Paul[/quote]

Soweit Anhänge ver­schickt wer­den, sollte die E-​Mail natür­lich auch einen Hin­weis auf das For­mat erken­nen lassen, sofern sich dieses jen­seits von „.jpg“ bewegt. Nicht jeder Empfänger sitzt vor dem gle­ichen Betrieb­ssys­tem wie der Absender und kann damit von der Dateien­dung auf das passende Pro­gramm
schliessen. Viele Empfänger, die täglich ein großes Vol­u­men an E-​Mail Kom­mu­nika­tion zu bewälti­gen haben, entsor­gen Nachrichten, die dem nicht entsprechen, unge­le­sen in den Papierkorb.

Sicher­heit beim Emp­fang von E-​Mails
Auch beim Emp­fang von E-​Mail Nachrichten lauern Tücken. Im Unter­schied zum ersten Teil führen Fehlver­hal­tensweisen dabei allerd­ings meist direkt zu Schä­den im eige­nen Sys­tem.

Zunächst ist auch hier wieder auf eine vernün­ftige Kon­fig­u­ra­tion des eige­nen Mail-​Clients zu achten. Wird das ver­bre­it­ete E-​Mail-​Programm „MS Out­look“ genutzt, sollte auf jeden Fall die „Vorschau“-Funktion deak­tiviert wer­den. HTML–E-​Mails stellen, wie oben beschrieben, ein Sicher­heit­srisiko dar. Wer auf diese nicht verzichten möchte, sollte den­noch auf jeden Fall seinen E-​Mail Client so kon­fig­uri­eren, dass er Javascript-​Code und Active-​X Con­trols nicht aus­führt.

Poten­ziell gefährlich sind — neben Dateian­hän­gen, auf die ich sogle­ich noch eingehe — daneben vor allem Links, und diese wiederum beson­ders in HTML–E-​Mails. Generell gilt: Lassen Sie vor dem Klick auf Hyper­links in E-​Mails größte Vor­sicht wal­ten und stellen Sie sicher, dass sie wirk­lich wis­sen, was sich dahin­ter ver­birgt. Fol­gen Sie niemals einem Link in einer E-​Mail, die den oben beim Ver­sand genan­nten Kri­te­rien — Bekan­nter Absender, per­son­al­isierte Ansprache, Beschrei­bung des Verweis-​Inhalts, per­son­al­isierte Schlussformel — nicht entspricht. Denn oft genug enthal­ten diese Art Nachrichten Links auf schädliche Software,wie etwa Ein­wahl­pro­gramme („Dialer“) oder auf Tools zur Ver­i­fizierung Ihrer Adresse für Spam Verteiler oder stellen Ver­suche dar, Nutzer­daten zu stehlen. Phish­ing (Kurz für „Pass­word fish­ing“) beruht auf eben diesem Konzept. HTML–Mails stellen dies­bezüglich ein beson­deres Risiko dar, da der angezeigte Link-​Text nicht mit der tat­säch­lichen Ziel–URL übere­in­stim­men muss. So kann hin­ter dem angezeigten Link „http://​www​.heise​.de“ der Ver­weis auf „www badguy​.evil​.com/​X​X​X​_​D​i​a​l​_​H​i​j​a​c​k.exe“ ste­hen.

dies gilt um so mehr für Dateian­hänge, die Sie uner­wartet und/​oder unkom­men­tiert erre­ichen, die also den oben unter „Ver­sand“ genan­nten Kri­te­rien nicht entsprechen. Oft enthal­ten diese E-​Mails so genan­nte „Würmer“, schädliche Pro­gramme also, die sich bei Aktivierung durch Klick automa­tisch Weit­er­ver­bre­iten. Machen sie sich die Ver­hal­tensweise zu eigen, E-​Mails, die diesen Kri­te­rien nicht entsprechen, unge­le­sen zu löschen oder jeden­falls: Vor dem Öffnen beim Absender über den Inhalt der Datei Rück­sprache zu hal­ten. Lassen Sie sich dabei nicht von schein­baren Per­son­al­isierun­gen täuschen:

Neuere Wurm-​E-​Mails enthal­ten oft plau­si­ble Texte in der E-​Mail, die sie zum Klick auf den Anhang bewe­gen möchten. Ein rel­a­tiv sicheres Kri­terium stellt wie oben dargestellt allein die Nen­nung ihres eige­nen Namens („Lieber Peter“) in der Anrede und die namentliche Nen­nung einer ihnen bekan­nten Per­son („Dein Paul“) in der Schlussformel dar.

Gilt das soeben gesagte schon für jede Art Dateian­hangs, so muss es erst recht für aus­führbare Dateien mit Dateien­dun­gen wie „.exe“, „.bat“, „.pif“, „.vbs“ oder „.zip“ (keine abschließende Auflis­tung!) gel­ten. Seien sie bei solchen Dateien beson­ders mis­strauisch und öffnen sie sie nur dann, wenn sie mit der E-​Mail gerech­net haben, sie abso­lut ver­trauenswürdig ist und sie ganz genau wis­sen, was sie erwartet.

Ins­ge­samt sind es also nur wenige ein­fache, aber dafür um so wirskamere Regeln, mit denen Sie die meis­ten Klip­pen sicher umschif­fen kön­nen. Ihre E-​Mail-​Kontakte wer­den Ihnen die Ein­hal­tung danken.