kaffeeringe.de

Human Factor – Wo der Virenscanner versagt

Es ist ei­gent­li­ch ganz ein­fach, und doch ha­ben auch er­fah­re­ne Internet-User oft ge­nug ih­re lie­be Not da­mit: Die Bewerkstelligung si­che­rer E-Mail-Kommunikation. Allen Forschritten in der Entwicklung von Antiviren- und Antispam-Software zum Trotz kann si­ch ei­ne wirk­sa­me Sicherheitsstrategie für die E-Mail-Kommunikation auch heu­te no­ch nicht al­lein auf tech­ni­sche Vorkehrungen ver­las­sen. Doch durch ei­ni­ge ein­fa­che und den­no­ch hoch­wirk­sa­me Verhaltensweisen lässt si­ch die Kommunikation per E-Mail für al­le Beteiligten si­che­rer ma­chen.Vorweg: Dieser Beitrag ist ei­ne Überarbeitung ei­nes Artikels, den ich vor ei­ni­ger Zeit für das Webzine www.kiel4kiel.de ver­fasst ha­be; er rich­tet si­ch da­her in ers­ter Linie an den pri­va­ten Internet-User und stellt dem ent­spre­chend kei­ne Abhandlung über Kommunikationssicherheit auf „pro­fes­sio­nel­lem“ Niveau dar.

Da wir im Folgenden von „Sicherheit“ spre­chen, muss zu­nächst ein­mal fest­ge­stellt wer­den, was da­mit im Zusammenhang mit „E-Mail“ ei­gent­li­ch ge­meint ist: Ich mei­ne hier die­je­ni­gen Maßnahmen, die da­für sor­gen kön­nen, dass per E-Mail ver­sen­de­te Nachrichten

  • Ihren Empfänger er­rei­chen,
  • Dessen Ressourcen nicht über Gebühr in Anspruch neh­men,
  • Dort kei­ne Schäden ir­gend­wel­cher Art an­rich­ten,

und die nicht auf tech­ni­schen Vorkehrungen wie Spam-Filter, Antiviren-Software etc., son­dern auf dem Umgang des Users mit sei­nem Mail-Client be­ru­hen.

Naheliegenderweise gibt es ge­n­au zwei Punkte, an de­nen die­se Art von Sicherheit ein­set­zen kann – Nämllich vor dem Versand ei­ner E-Mail auf dem System des Absenders und nach Empfang auf dem PC des Empfängers. Dazwischen ist ein Eingreifen al­lein durch Software mög­li­ch, was, wie ge­sagt, nicht Thema sein soll.

Der Versand
Wie bei je­der Art mo­der­ner Technik, lässt si­ch auch bei der Benutzung von E-Mail je­de Menge fal­sch ma­chen. Das führt im bes­ten Fall zu Missverständnissen, im schlech­te­ren da­zu, dass Nachrichten ver­lo­ren ge­hen oder igno­riert wer­den – und wenn es ganz dick kommt, ver­sor­gen Sie Ihren ge­samm­ten Bekanntenkreis un­ge­wollt mit den je­weils neu­es­ten Versionen von Spam, Viren und Würmern. 

„Bin ich schon drin? Das ist ja ein­fach!“ sag­te ei­ne pro­mi­nen­te Persönlichkeit ein­st im AOL-Webespot, und schon fin­gen die Probleme an: So ein­fach ist „das“ näm­li­ch gar nicht, und auf gar kei­nen Fall soll­te nach dem „Drin sein“ der Klick-Finger schnel­ler sein als das Hirn. Erster Schritt vor dem ers­ten Versenden ei­ner E-Mail: Einstellungen des E-Mail Programms über­prü­fen. Denn schon hier­bei lässt si­ch ei­ni­ges fal­sch ma­chen. Oben ha­ben wir als ei­nen Teilaspekt von „Sicherheit“ die Forderung auf­ge­stellt, dass si­cher­ge­stellt sein muss, dass ei­ne E-Mail Ihren Empfänger er­reicht, das heißt auch und in ers­ter Linie: für je­den Empfänger les­bar ist. Dies lässt si­ch am bes­ten da­durch er­rei­chen, dass ein Format ge­wählt wird, das je­der Empfänger le­sen kann. Und die­ses heißt: „plain text“. Natürlich kann man mit HTML- / „rich text“- for­ma­tier­ten Emails je­de Menge Spielereien an­stel­len, wie zum Beispiel: Emails mit blau­em Hintergrund und ro­sa Text ver­sen­den. Die Frage ist nur, ob das der E-Mail in­halt­li­ch wei­ter­hilft – meis­tens ist wohl eher das Gegenteil der Fall. Zudem sind HTML-Mails un­nö­tig groß und kön­nen so­gar ei­ne Gefahr für den Empfänger dar­stel­len, et­wa, wenn bös­ar­ti­ger Java-Script-Code in ei­ner HTML-Mail ver­steckt ist. 

Grundsätzlich sind da­her die Nur-Text-Mails zu be­vor­zu­gen. Um den Empfänger nicht über­mä­ßig in Anspruch zu neh­men, soll­ten fer­ner Dinge wie et­wa die Anforderung ei­ner Empfangsbestätigung tun­lichst ver­mie­den wer­den. Ähnliches gilt auch für Webmailboxen und ei­ni­ge de­ren be­rüch­tig­ter „Features“. Zum Beispiel den so ge­nann­ten „Autoresponder“:
Eine au­to­ma­ti­sch ge­ne­rier­te Nachricht, die et­wa lau­tet „Ich ha­be Ihre Nachricht er­hal­ten und wer­de sie in Kürze be­ant­wor­ten“ ist so über­flüs­sig wie ein Kropf und nervt je­den Empfänger. 

Verfassen ei­ner E-Mail 
Jetzt wirds ernst- Bevor wir uns aber in­halt­li­ch mit der ei­ner E-Mail be­fas­sen, müs­sen min­des­tens zwei Felder aus­ge­füllt wer­den: Das Adress- und das Betreff-Feld. Schon beim Ausfüllen des ers­ten Feldes – „Empfänger“ – ist Vorsicht ge­bo­ten. Man kann schon hier ei­ni­ges „fal­sch“ ma­chen, et­wa meh­re­re, am bes­ten no­ch: zehn oder zwan­zig E-Mail Adressen in das Adressfeld set­zen, weil ei­ne Mail an meh­re­re Empfänger ver­sandt wer­den soll. Die meis­ten E-mail-Programme er­lau­ben ei­nem die­se Vorgehensweise – man soll­te hier­von aber auf gar kei­nen Fall Gebrauch ma­chen. Viele Menschen (dar­un­ter ich selbst) emp­fin­den es als un­höf­li­ch, wenn Ihre E-Mail-Adressen of­fen durch die Gegend ge­schickt wer­den und auf die­se Weise in frem­den Adressbüchern oder Werbeverteilern en­den.

Eine bes­se­re Lösung für den sel­ben Zweck stellt das „BCC“-Feld dar. „BCC“ steht für „Blind Carbon Copy“, al­so: „Blinddurchschlag“ und be­deu­tet: An die ein­ge­tra­ge­nen Adressen wird die Mail ver­sandt; Die Adressen wer­den aber nicht an al­le Empfänger über­tra­gen.

Der Betreff
„Ich has­se die Betreff-Zeile!“ flu­chen E-Mail-Rookies, wenn ihr Mail-Client sie fragt, ob die E-Mail wirk­li­ch oh­ne ei­ne Betreff ab­ge­sen­det wer­den soll. „Ich has­se E-Mails, die kei­nen Betreff ha­ben!“ flu­chen die aber meis­ten Leute, die mehr als drei Nachrichten am Tag mit dem Betreff „No Subject“ be­kom­men. Die Betreffzeile dient da­zu, den Empfänger auf den ers­ten Blick dar­über zu in­for­mie­ren, was ihn in der Mail er­war­tet – und die­se Information ist für Menschen, die täg­li­ch dut­zen­de Nachrichten le­sen müs­sen, ge­ra­de­zu le­bens­wich­tig. Und ei­nen aus­sa­ge­kräf­ti­gen Betreff zu for­mu­lie­ren, macht ei­gent­li­ch kei­ne all­zu gro­ße Mühe – Jedenfalls dann nicht, wenn man weiß, wie man das be­werk­stel­li­gen kann. 

Bei Schwierigkeiten oder Fragen zu Webangeboten en­pfiehlt si­ch für die Betreff-Zeile die „Objekt-Abweichungs-Methode“. Klingt schwie­rig, ist aber ganz ein­fach: ein­fach das Objekt, auf das si­ch die Mail be­zieht und das mit ihm be­stehen­de Problem, al­so die Abweichung vom Normalszustand – zum Beispiel: ei­nen „bro­ken Link“ – in den Betreff auf­zu­neh­men. der fer­ti­ge Betreff könn­te dann zum Beispiel lau­ten: „Artikel über E-Mail Sicherheit: Link zu Hoaxbusters.de geht nicht“. 

Inhalt der Mail 
Nun sind wir end­li­ch beim Inhalt an­ge­langt, und da lie­gen wohl die meis­ten Probleme. In al­ler Kürze: Erstens ge­hört ei­ne Anrede in die Mail, da­mit der Empfänger merkt, dass die Mail auch wirk­li­ch für ihn be­stimmt ist, und es si­ch nicht et­wa um ei­nen Irrläufer han­delt. Inhaltlich soll­te man si­ch be­mü­hen, die Rechtschreibung je­den­falls so weit zu be­ach­ten, dass der Empfänger no­ch weiß, wor­um es geht und nicht vor ei­nem rät­sel­haf­ten Kauderwelsch sitzt. Auch soll­te man – was ei­gent­li­ch selbst­ver­ständ­li­ch ist, aber von vie­len Leuten trotz­dem nicht be­ach­tet wird – nor­ma­le Umgangsformen pfle­gen und im­mer
ver­mei­den, sein Gegenüber zu be­lei­di­gen. An das Ende der E-Mail ge­hört na­tür­li­ch der ei­ge­ne Name (!). 

Beim Beantworten ei­ner Mail soll­te man von der Möglichkeit Gebrauch ma­chen, aus der ur­sprüng­li­chen E-Mail zu zi­tie­ren, da­mit der Empfänger weiss, wor­auf man si­ch ge­ra­de be­zieht. Verpöhnt ist al­ler­dings, die ge­sam­te ur­sprün­li­che Mail an das Ende sei­ner Mail zu ko­pie­ren („Full Quote“). das macht auch we­nig Sinn und ver­wirrt mehr, als es nützt. 

Dateianhänge
Dateianhänge soll­ten so weit wie mög­li­ch ver­mie­den wer­den, weil Sie für den Empfänger ein Sicherheitsrisiko dar­stel­len. Wenn es ir­gend­wie mög­li­ch ist, soll­te man al­so ver­su­chen, al­le Informationen in der Mail selbst zu trans­por­tie­ren. Wenn es wirk­li­ch not­wen­dig ist, Dateien Anzuhängen (zum Beispiel bei Fotos), Gehört je­den­falls ein Kommentar in die E-Mail, der Absender, Empfänger und Inhalt des Anhangs er­ken­nen lässt. 
Ein Beispiel da­für, was ei­ne E-Mail dem­nach im­mer min­des­tens ent­hal­ten soll­te::

[quote]Hallo Peter,
Im Anhang über­sen­de ich dir Fotos zu un­se­rer Veranstaltung am 1.3.

Dein Paul[/quote]

Soweit Anhänge ver­schickt wer­den, soll­te die E-Mail na­tür­li­ch auch ei­nen Hinweis auf das Format er­ken­nen las­sen, so­fern si­ch die­ses jen­seits von „.jpg“ be­wegt. Nicht je­der Empfänger sitzt vor dem glei­chen Betriebssystem wie der Absender und kann da­mit von der Dateiendung auf das pas­sen­de Programm 
schlies­sen. Viele Empfänger, die täg­li­ch ein gro­ßes Volumen an E-Mail Kommunikation zu be­wäl­ti­gen ha­ben, ent­sor­gen Nachrichten, die dem nicht ent­spre­chen, un­ge­le­sen in den Papierkorb.

Sicherheit beim Empfang von E-Mails
Auch beim Empfang von E-Mail Nachrichten lau­ern Tücken. Im Unterschied zum ers­ten Teil füh­ren Fehlverhaltensweisen da­bei al­ler­dings meist di­rekt zu Schäden im ei­ge­nen System.

Zunächst ist auch hier wie­der auf ei­ne ver­nünf­ti­ge Konfiguration des ei­ge­nen Mail-Clients zu ach­ten. Wird das ver­brei­te­te E-Mail-Programm „MS Outlook“ ge­nutzt, soll­te auf je­den Fall die „Vorschau“-Funktion de­ak­ti­viert wer­den. HTML-E-Mails stel­len, wie oben be­schrie­ben, ein Sicherheitsrisiko dar. Wer auf die­se nicht ver­zich­ten möch­te, soll­te den­no­ch auf je­den Fall sei­nen E-Mail Client so kon­fi­gu­rie­ren, dass er Javascript-Code und Active-X Controls nicht aus­führt.

Potenziell ge­fähr­li­ch sind – ne­ben Dateianhängen, auf die ich so­gleich no­ch ein­ge­he – da­ne­ben vor al­lem Links, und die­se wie­der­um be­son­ders in HTML-E-Mails. Generell gilt: Lassen Sie vor dem Klick auf Hyperlinks in E-Mails größ­te Vorsicht wal­ten und stel­len Sie si­cher, dass sie wirk­li­ch wis­sen, was si­ch da­hin­ter ver­birgt. Folgen Sie nie­mals ei­nem Link in ei­ner E-Mail, die den oben beim Versand ge­nann­ten Kriterien – Bekannter Absender, per­so­na­li­sier­te Ansprache, Beschreibung des Verweis-Inhalts, per­so­na­li­sier­te Schlussformel – nicht ent­spricht. Denn oft ge­nug ent­hal­ten die­se Art Nachrichten Links auf schäd­li­che Software,wie et­wa Einwahlprogramme („Dialer“) oder auf Tools zur Verifizierung Ihrer Adresse für Spam Verteiler oder stel­len Versuche dar, Nutzerdaten zu steh­len. Phishing (Kurz für „Password fis­hing“) be­ruht auf eben die­sem Konzept. HTML-Mails stel­len dies­be­züg­li­ch ein be­son­de­res Risiko dar, da der an­ge­zeig­te Link-Text nicht mit der tat­säch­li­chen Ziel-URL über­ein­stim­men muss. So kann hin­ter dem an­ge­zeig­ten Link „http://www.heise.de“ der Verweis auf „www badguy.evil.com/XXX_Dial_Hijack.exe“ ste­hen.

dies gilt um so mehr für Dateianhänge, die Sie un­er­war­tet und/oder un­kom­men­tiert er­rei­chen, die al­so den oben un­ter „Versand“ ge­nann­ten Kriterien nicht ent­spre­chen. Oft ent­hal­ten die­se E-Mails so ge­nann­te „Würmer“, schäd­li­che Programme al­so, die si­ch bei Aktivierung durch Klick au­to­ma­ti­sch Weiterverbreiten. Machen sie si­ch die Verhaltensweise zu ei­gen, E-Mails, die die­sen Kriterien nicht ent­spre­chen, un­ge­le­sen zu lö­schen oder je­den­falls: Vor dem Öffnen beim Absender über den Inhalt der Datei Rücksprache zu hal­ten. Lassen Sie si­ch da­bei nicht von schein­ba­ren Personalisierungen täu­schen:

Neuere Wurm-E-Mails ent­hal­ten oft plau­si­ble Texte in der E-Mail, die sie zum Klick auf den Anhang be­we­gen möch­ten. Ein re­la­tiv si­che­res Kriterium stellt wie oben dar­ge­stellt al­lein die Nennung ih­res ei­ge­nen Namens („Lieber Peter“) in der Anrede und die na­ment­li­che Nennung ei­ner ih­nen be­kann­ten Person („Dein Paul“) in der Schlussformel dar.

Gilt das so­eben ge­sag­te schon für je­de Art Dateianhangs, so muss es er­st recht für aus­führ­ba­re Dateien mit Dateiendungen wie „.exe“, „.bat“, „.pif“, „.vbs“ oder „.zip“ (kei­ne ab­schlie­ßen­de Auflistung!) gel­ten. Seien sie bei sol­chen Dateien be­son­ders miss­traui­sch und öff­nen sie sie nur dann, wenn sie mit der E-Mail ge­rech­net ha­ben, sie ab­so­lut ver­trau­ens­wür­dig ist und sie ganz ge­n­au wis­sen, was sie er­war­tet.

Insgesamt sind es al­so nur we­ni­ge ein­fa­che, aber da­für um so wirs­ka­me­re Regeln, mit de­nen Sie die meis­ten Klippen si­cher um­schif­fen kön­nen. Ihre E-Mail-Kontakte wer­den Ihnen die Einhaltung dan­ken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du benachrichtigt werden, wenn Dir hier jemand antwortet?