Steffen Voß - Technologie & Gesellschaft

Human Factor – Wo der Virenscanner versagt

Steffen Voß

Es ist eigentlich ganz einfach, und doch haben auch erfahrene Internet-User oft genug ihre liebe Not damit: Die Bewerkstelligung sicherer E-Mail-Kommunikation. Allen Forschritten in der Entwicklung von Antiviren- und Antispam-Software zum Trotz kann sich eine wirksame Sicherheitsstrategie für die E-Mail-Kommunikation auch heute noch nicht allein auf technische Vorkehrungen verlassen. Doch durch einige einfache und dennoch hochwirksame Verhaltensweisen lässt sich die Kommunikation per E-Mail für alle Beteiligten sicherer machen.Vorweg: Dieser Beitrag ist eine Überarbeitung eines Artikels, den ich vor einiger Zeit für das Webzine www.kiel4kiel.de verfasst habe; er richtet sich daher in erster Linie an den privaten Internet-User und stellt dem entsprechend keine Abhandlung über Kommunikationssicherheit auf „professionellem“ Niveau dar.

Da wir im Folgenden von „Sicherheit“ sprechen, muss zunächst einmal festgestellt werden, was damit im Zusammenhang mit „E-Mail“ eigentlich gemeint ist: Ich meine hier diejenigen Maßnahmen, die dafür sorgen können, dass per E-Mail versendete Nachrichten

und die nicht auf technischen Vorkehrungen wie Spam-Filter, Antiviren-Software etc., sondern auf dem Umgang des Users mit seinem Mail-Client beruhen.

Naheliegenderweise gibt es genau zwei Punkte, an denen diese Art von Sicherheit einsetzen kann – Nämllich vor dem Versand einer E-Mail auf dem System des Absenders und nach Empfang auf dem PC des Empfängers. Dazwischen ist ein Eingreifen allein durch Software möglich, was, wie gesagt, nicht Thema sein soll.

Der Versand
Wie bei jeder Art moderner Technik, lässt sich auch bei der Benutzung von E-Mail jede Menge falsch machen. Das führt im besten Fall zu Missverständnissen, im schlechteren dazu, dass Nachrichten verloren gehen oder ignoriert werden – und wenn es ganz dick kommt, versorgen Sie Ihren gesammten Bekanntenkreis ungewollt mit den jeweils neuesten Versionen von Spam, Viren und Würmern.

„Bin ich schon drin? Das ist ja einfach!“ sagte eine prominente Persönlichkeit einst im AOL-Webespot, und schon fingen die Probleme an: So einfach ist „das“ nämlich gar nicht, und auf gar keinen Fall sollte nach dem „Drin sein“ der Klick-Finger schneller sein als das Hirn. Erster Schritt vor dem ersten Versenden einer E-Mail: Einstellungen des E-Mail Programms überprüfen. Denn schon hierbei lässt sich einiges falsch machen. Oben haben wir als einen Teilaspekt von „Sicherheit“ die Forderung aufgestellt, dass sichergestellt sein muss, dass eine E-Mail Ihren Empfänger erreicht, das heißt auch und in erster Linie: für jeden Empfänger lesbar ist. Dies lässt sich am besten dadurch erreichen, dass ein Format gewählt wird, das jeder Empfänger lesen kann. Und dieses heißt: „plain text“. Natürlich kann man mit HTML- / „rich text“- formatierten Emails jede Menge Spielereien anstellen, wie zum Beispiel: Emails mit blauem Hintergrund und rosa Text versenden. Die Frage ist nur, ob das der E-Mail inhaltlich weiterhilft – meistens ist wohl eher das Gegenteil der Fall. Zudem sind HTML-Mails unnötig groß und können sogar eine Gefahr für den Empfänger darstellen, etwa, wenn bösartiger Java-Script-Code in einer HTML-Mail versteckt ist.

Grundsätzlich sind daher die Nur-Text-Mails zu bevorzugen. Um den Empfänger nicht übermäßig in Anspruch zu nehmen, sollten ferner Dinge wie etwa die Anforderung einer Empfangsbestätigung tunlichst vermieden werden. Ähnliches gilt auch für Webmailboxen und einige deren berüchtigter „Features“. Zum Beispiel den so genannten „Autoresponder“:
Eine automatisch generierte Nachricht, die etwa lautet „Ich habe Ihre Nachricht erhalten und werde sie in Kürze beantworten“ ist so überflüssig wie ein Kropf und nervt jeden Empfänger.

Verfassen einer E-Mail
Jetzt wirds ernst- Bevor wir uns aber inhaltlich mit der einer E-Mail befassen, müssen mindestens zwei Felder ausgefüllt werden: Das Adress- und das Betreff-Feld. Schon beim Ausfüllen des ersten Feldes – „Empfänger“ – ist Vorsicht geboten. Man kann schon hier einiges „falsch“ machen, etwa mehrere, am besten noch: zehn oder zwanzig E-Mail Adressen in das Adressfeld setzen, weil eine Mail an mehrere Empfänger versandt werden soll. Die meisten E-mail-Programme erlauben einem diese Vorgehensweise – man sollte hiervon aber auf gar keinen Fall Gebrauch machen. Viele Menschen (darunter ich selbst) empfinden es als unhöflich, wenn Ihre E-Mail-Adressen offen durch die Gegend geschickt werden und auf diese Weise in fremden Adressbüchern oder Werbeverteilern enden.

Eine bessere Lösung für den selben Zweck stellt das „BCC“-Feld dar. „BCC“ steht für „Blind Carbon Copy“, also: „Blinddurchschlag“ und bedeutet: An die eingetragenen Adressen wird die Mail versandt; Die Adressen werden aber nicht an alle Empfänger übertragen.

Der Betreff
„Ich hasse die Betreff-Zeile!“ fluchen E-Mail-Rookies, wenn ihr Mail-Client sie fragt, ob die E-Mail wirklich ohne eine Betreff abgesendet werden soll. „Ich hasse E-Mails, die keinen Betreff haben!“ fluchen die aber meisten Leute, die mehr als drei Nachrichten am Tag mit dem Betreff „No Subject“ bekommen. Die Betreffzeile dient dazu, den Empfänger auf den ersten Blick darüber zu informieren, was ihn in der Mail erwartet – und diese Information ist für Menschen, die täglich dutzende Nachrichten lesen müssen, geradezu lebenswichtig. Und einen aussagekräftigen Betreff zu formulieren, macht eigentlich keine allzu große Mühe – Jedenfalls dann nicht, wenn man weiß, wie man das bewerkstelligen kann.

Bei Schwierigkeiten oder Fragen zu Webangeboten enpfiehlt sich für die Betreff-Zeile die „Objekt-Abweichungs-Methode“. Klingt schwierig, ist aber ganz einfach: einfach das Objekt, auf das sich die Mail bezieht und das mit ihm bestehende Problem, also die Abweichung vom Normalszustand – zum Beispiel: einen „broken Link“ – in den Betreff aufzunehmen. der fertige Betreff könnte dann zum Beispiel lauten: „Artikel über E-Mail Sicherheit: Link zu Hoaxbusters.de geht nicht“.

Inhalt der Mail
Nun sind wir endlich beim Inhalt angelangt, und da liegen wohl die meisten Probleme. In aller Kürze: Erstens gehört eine Anrede in die Mail, damit der Empfänger merkt, dass die Mail auch wirklich für ihn bestimmt ist, und es sich nicht etwa um einen Irrläufer handelt. Inhaltlich sollte man sich bemühen, die Rechtschreibung jedenfalls so weit zu beachten, dass der Empfänger noch weiß, worum es geht und nicht vor einem rätselhaften Kauderwelsch sitzt. Auch sollte man – was eigentlich selbstverständlich ist, aber von vielen Leuten trotzdem nicht beachtet wird – normale Umgangsformen pflegen und immer
vermeiden, sein Gegenüber zu beleidigen. An das Ende der E-Mail gehört natürlich der eigene Name (!).

Beim Beantworten einer Mail sollte man von der Möglichkeit Gebrauch machen, aus der ursprünglichen E-Mail zu zitieren, damit der Empfänger weiss, worauf man sich gerade bezieht. Verpöhnt ist allerdings, die gesamte ursprünliche Mail an das Ende seiner Mail zu kopieren („Full Quote“). das macht auch wenig Sinn und verwirrt mehr, als es nützt.

Dateianhänge
Dateianhänge sollten so weit wie möglich vermieden werden, weil Sie für den Empfänger ein Sicherheitsrisiko darstellen. Wenn es irgendwie möglich ist, sollte man also versuchen, alle Informationen in der Mail selbst zu transportieren. Wenn es wirklich notwendig ist, Dateien Anzuhängen (zum Beispiel bei Fotos), Gehört jedenfalls ein Kommentar in die E-Mail, der Absender, Empfänger und Inhalt des Anhangs erkennen lässt.
Ein Beispiel dafür, was eine E-Mail demnach immer mindestens enthalten sollte::

[quote]Hallo Peter,
Im Anhang übersende ich dir Fotos zu unserer Veranstaltung am 1.3.

Dein Paul[/quote]

Soweit Anhänge verschickt werden, sollte die E-Mail natürlich auch einen Hinweis auf das Format erkennen lassen, sofern sich dieses jenseits von „.jpg“ bewegt. Nicht jeder Empfänger sitzt vor dem gleichen Betriebssystem wie der Absender und kann damit von der Dateiendung auf das passende Programm
schliessen. Viele Empfänger, die täglich ein großes Volumen an E-Mail Kommunikation zu bewältigen haben, entsorgen Nachrichten, die dem nicht entsprechen, ungelesen in den Papierkorb.

Sicherheit beim Empfang von E-Mails
Auch beim Empfang von E-Mail Nachrichten lauern Tücken. Im Unterschied zum ersten Teil führen Fehlverhaltensweisen dabei allerdings meist direkt zu Schäden im eigenen System.

Zunächst ist auch hier wieder auf eine vernünftige Konfiguration des eigenen Mail-Clients zu achten. Wird das verbreitete E-Mail-Programm „MS Outlook“ genutzt, sollte auf jeden Fall die „Vorschau“-Funktion deaktiviert werden. HTML-E-Mails stellen, wie oben beschrieben, ein Sicherheitsrisiko dar. Wer auf diese nicht verzichten möchte, sollte dennoch auf jeden Fall seinen E-Mail Client so konfigurieren, dass er Javascript-Code und Active-X Controls nicht ausführt.

Potenziell gefährlich sind – neben Dateianhängen, auf die ich sogleich noch eingehe – daneben vor allem Links, und diese wiederum besonders in HTML-E-Mails. Generell gilt: Lassen Sie vor dem Klick auf Hyperlinks in E-Mails größte Vorsicht walten und stellen Sie sicher, dass sie wirklich wissen, was sich dahinter verbirgt. Folgen Sie niemals einem Link in einer E-Mail, die den oben beim Versand genannten Kriterien – Bekannter Absender, personalisierte Ansprache, Beschreibung des Verweis-Inhalts, personalisierte Schlussformel – nicht entspricht. Denn oft genug enthalten diese Art Nachrichten Links auf schädliche Software,wie etwa Einwahlprogramme („Dialer“) oder auf Tools zur Verifizierung Ihrer Adresse für Spam Verteiler oder stellen Versuche dar, Nutzerdaten zu stehlen. Phishing (Kurz für „Password fishing“) beruht auf eben diesem Konzept. HTML-Mails stellen diesbezüglich ein besonderes Risiko dar, da der angezeigte Link-Text nicht mit der tatsächlichen Ziel-URL übereinstimmen muss. So kann hinter dem angezeigten Link „http://www.heise.de“ der Verweis auf „www badguy.evil.com/XXX_Dial_Hijack.exe“ stehen.

dies gilt um so mehr für Dateianhänge, die Sie unerwartet und/oder unkommentiert erreichen, die also den oben unter „Versand“ genannten Kriterien nicht entsprechen. Oft enthalten diese E-Mails so genannte „Würmer“, schädliche Programme also, die sich bei Aktivierung durch Klick automatisch Weiterverbreiten. Machen sie sich die Verhaltensweise zu eigen, E-Mails, die diesen Kriterien nicht entsprechen, ungelesen zu löschen oder jedenfalls: Vor dem Öffnen beim Absender über den Inhalt der Datei Rücksprache zu halten. Lassen Sie sich dabei nicht von scheinbaren Personalisierungen täuschen:

Neuere Wurm-E-Mails enthalten oft plausible Texte in der E-Mail, die sie zum Klick auf den Anhang bewegen möchten. Ein relativ sicheres Kriterium stellt wie oben dargestellt allein die Nennung ihres eigenen Namens („Lieber Peter“) in der Anrede und die namentliche Nennung einer ihnen bekannten Person („Dein Paul“) in der Schlussformel dar.

Gilt das soeben gesagte schon für jede Art Dateianhangs, so muss es erst recht für ausführbare Dateien mit Dateiendungen wie „.exe“, „.bat“, „.pif“, „.vbs“ oder „.zip“ (keine abschließende Auflistung!) gelten. Seien sie bei solchen Dateien besonders misstrauisch und öffnen sie sie nur dann, wenn sie mit der E-Mail gerechnet haben, sie absolut vertrauenswürdig ist und sie ganz genau wissen, was sie erwartet.

Insgesamt sind es also nur wenige einfache, aber dafür um so wirskamere Regeln, mit denen Sie die meisten Klippen sicher umschiffen können. Ihre E-Mail-Kontakte werden Ihnen die Einhaltung danken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du per E-Mail benachrichtigt werden, wenn Dir hier jemand antwortet?