E-Mail-Sicherheit

Inhaltsverzeichnis


E-Mail-Sicherheit verbessern

Es gibt drei wesentliche Risiken, vor denen Sie sich schützen sollten:

1. Spionage

Die E-Mail ist grundsätzlich nicht sicherer als eine Postkarte, die für jeden zu lesen ist, der sie vom Absender zum Empfänger transportiert. Hacker können E-Mails mitlesen, um Daten über Sie zu sammeln oder um wertvolle Informationen zu stehlen. Mit E-Mail-Verschlüsselung schützen Sie ihre Nachrichten vor unbefugtem Zugriff.

2. Schadsoftware

Kriminelle verschicken bösartige Software per E-Mail, die Ihren Computer oder Ihr mobiles Endgerät infiziert und weiteren Schaden anrichtet. Schadsoftware ermöglicht Cyberkriminellen, Ihr PC-System über das Internet fernzusteuern, Ihren PC zu sperren und Ihre Daten auszuspionieren. Bösartige Programme wie Keylogger protokollieren und versenden Ihre Tastatureingaben, um Ihre Passwörter zu stehlen.

3. Identitätsdiebstahl

Cyberkriminelle fälschen E-Mails und Webseiten, um Ihre Passwörter und Zugangsdaten zu stehlen. Sie geben sich in der E-Mail etwa als Bank oder Online-Shop aus und fordern Sie dazu auf, einen Link anzuklicken, um Ihre Kontoinformationen zu bestätigen. Ein solcher Link führt zu einer gefälschten Webseite, die der echten Internetpräsenz Ihrer Bank oder eines Onlineshops mitunter zum Verwechseln ähnlich sieht. Wir zeigen Ihnen, wie Sie sich schützen.


Nachrichten mit E-Mail-Verschlüsselung schützen

Nutzen Sie die von Ihrem E-Mail-Anbieter bereitgestellte Transportverschlüsselung

E-Mails lassen sich nur dann verschlüsselt übertragen, wenn beide Kommunikationspartner – also Absender und Adressat – sowie deren E-Mail-Anbieter eine Transportverschlüsselung aktivieren. Ohne Verschlüsselung ist die E-Mail nicht sicherer als eine Postkarte, die auf ihrem Weg vom Absender zum Empfänger durch viele Hände geht und von vielen Augen mitgelesen werden kann. Eine E-Mail passiert auf dem Weg vom Computersystem des Senders bis zum Empfänger viele Transportstationen. Unbefugte Dritte können die Nachricht unterwegs abfangen, lesen und verändern. Das gilt sowohl für den Nachrichteninhalt als auch die Absenderadresse. Eine E-Mail mit Transportverschlüsselung entspricht im übertragenen Sinn einer Postkarte, die in einem blickdichten Briefumschlag steckt.

Schützen Sie sensible E-Mails mit Ende-zu-Ende-Verschlüsselung

Dafür gibt es verschiedene Wege: In Deutschland haben sich alle großen E-Mail-Provider in der Initiative „E-Mail made in Germany“ zusammengeschlossen. Telekom, 1&1, GMX, Web.de, Freenet, Stratto und Hornetsecurity lassen ausschließlich E-Mails mit eingeschalteter Transportverschlüsselung zu. Sie verschlüsseln die Nachrichten Ihrer Kunden automatisch beim Transport auf allen Übertragungswegen per SSL- oder STARTTLS-Protokoll. Unverschlüsselte Verbindungen lehnen die Server ab.

Noch einen Schritt weiter geht De-Mail: Hier wird die Kommunikation zusätzlich zur Standard-Transportverschlüsselung auch Ende-zu-Ende verschlüsselt. Die De-Mail-Verschlüsselung wird mit einem auf der Technologie von „Pretty Good Privacy“ (PGP, dt. „ziemlich gute Privatsphäre“) basierenden Verschlüsselungsverfahren umgesetzt. Dieses gewährleistet die Echtheit der E-Mail, weil De-Mails nur von Nutzern mit einer überprüften Identität versendet und empfangen werden können. Die Identität kann zum Beispiel online mit dem neuen Personalausweis bestätigt werden.

Seit Juli 2016 bietet das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) in Zusammenarbeit mit der Telekom einen besonders nutzerfreundlichen Weg zur Ende-zu-Ende-Verschlüsselung: Kernstück der „Volksverschlüsselung" ist eine Software, die das Erzeugen und Zertifizieren von Schlüsseln übernimmt und die Endgeräte der Benutzer entsprechend vorkonfiguriert. Im ersten Schritt können Windows-Nutzer über E-Mailprogramme wie Outlook oder Thunderbird verschlüsselt per E-Mail kommunizieren. In weiteren Schritten sind Versionen für Mac OS X, Linux, iOS und Android geplant. Die „Volksverschlüsselung“ ist allerdings nur für private Anwender nutzbar.

Mit einer Ende-zu-Ende-Verschlüsselung stellen Sie sicher, dass Ihre E-Mail nur durch den Empfänger entschlüsselt werden kann. Daher bietet sich eine Ende-zu-Ende-Verschlüsselung immer dann an, wenn Sie besonders vertrauliche E-Mails versenden wollen.

Bei der Kommunikation über internationale Provider hilft eine Initiative wie „E-Mail made in Germany“ nicht. Beim internationalen Mailverkehr müssen Sie und der Empfänger Ihrer Nachricht daher eine spezielle Verschlüsselungs-Software auf Ihren Computern einrichten. Empfehlenswert ist das kommerzielle Produkt „Symantec Encryption Desktop“, das ebenfalls auf „Pretty Good Privacy (PGP)“ basiert. Die letzte kostenlos verfügbare PGP-Version ist auf der Webseite pgpi.org erhältlich. Die Anwendung ist allerdings etwas komplizierter, wie Sie in einem Artikel des Bonner General-Anzeigers nachlesen können.

Ende-zu-Ende-Verschlüsselung: So funktioniert‘s

Jeder Teilnehmer hat zwei Schlüssel: einen privaten und einen öffentlichen. Die öffentlichen Schlüssel tauschen Sie mit den Partnern, mit denen Sie per E-Mail kommunizieren. Ihren privaten Schlüssel behalten Sie. Nur Sie – niemand sonst darf darauf Zugriff haben. Angenommen, Sie wollen Ihrer Tochter eine verschlüsselte E-Mail schicken, dann nutzt Ihr E-Mail-Programm den öffentlichen Schlüssel Ihrer Tochter, um die von Ihnen verfasste E-Mail-Nachricht zu verschlüsseln. Die solchermaßen verschlüsselte E-Mail lässt sich dann nur noch auf eine einzige Art und Weise lesbar machen: mit dem privatem Schlüssel Ihrer Tochter. Falls jemand anderes Ihre E-Mail abfängt, jedoch keinen Zugriff auf den privaten Schlüssel Ihrer Tochter hat, sieht er nur ein nicht zu entzifferndes Chaos aus Zahlen und Buchstaben. Daher steht und fällt die Sicherheit der Ende-zu-Ende-Verschlüsselung mit der Maßgabe, dass kein Teilnehmer seinen privaten Schlüssel jemals aus der Hand geben darf.


Vor Schadsoftware aus E-Mails schützen

Warum Cyberkriminelle Ihre Mithilfe brauchen

Wollen Cyberkriminelle eine Schadsoftware auf Ihrem Computer platzieren, funktioniert dies in der Regel nur, wenn Sie aktiv daran mitwirken. Das gilt insbesondere dann, wenn Sie gewissenhaft eine grundlegende Sicherheitsempfehlung befolgen und nur mit Standardbenutzerrechten ins Internet gehen. Richten Sie dazu ein Standardbenutzerkonto auf Ihrem Rechner ein. Da Sie als Standardbenutzer Software nicht installieren dürfen, muss ein Angreifer Sie dazu verführen, sich als Administrator anzumelden, um das Aufspielen der Schadsoftware zu erlauben.

E-Mails haben sich als der am meisten Erfolg versprechende Weg herausgestellt, um dieses kommunikative Kunststück fertig zu bringen. Mit schier grenzenloser Fantasie nehmen die Angreifer fremde Identitäten an und erfinden Szenarien, die Sie dazu bringen sollen, auf einen Link in der Mail zu klicken, der Sie auf eine präparierte Webseite leitet, von wo aus Sie eine gut getarnte Schadsoftware auf Ihren Rechner laden sollen. Noch dreistere Angreifer schicken Ihnen die Schadsoftware im Anhang der Mail sogar gleich mit. Im E-Mail-Text wird dann behauptet, dass die Downloads oder Dateianhänge Rechnungen, Mahnungen, Kreditzusagen, Transaktionsmitteilungen oder ähnlich wichtige Dokumente enthalten würden. Stattdessen handelt es sich aber fast immer um ein ZIP-Archiv, das Schadsoftware in Form einer ausführbaren EXE-Datei enthält. Findige Cyberkriminelle können die Absenderadresse einer E-Mail leider ohne größere Probleme fälschen. Eine Nachricht, die etwa angeblich vom Bundeskriminalamt (BKA) stammt, soll häufig dazu dienen, einen Trojaner auf Ihren Computer zu schleusen. Weitere Informationen zu gefälschten Absenderadressen bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Über aktuelle Fälschungen informiert die Telekom.

Wie kommen Cyberkriminelle an Ihre E-Mail-Adresse?

Prinzipiell gibt es eine Vielzahl von Möglichkeiten, wie Angreifer Ihre E-Mail-Adresse herausfinden. Ein probates Mittel besteht darin, dass Cyberkriminelle bei E-Mail-Anbietern alle nur erdenklichen Kombinationen der E-Mail-Adresse automatisiert austesten. Erhalten sie keine Antwort auf eine Ihrer E-Mails, stehen die Chancen gut, dass es sich bei der Empfängeradresse um eine aktive Adresse handelt. Auf diese Weise entstehen nach und nach große Adressdatenbanken, mit denen reger Handel betrieben wird. Zudem verraten viele Nutzer ihre Adressen auch selbst. Wenn Sie zum Beispiel einen Newsletter abonnieren, sich in einem Forum anmelden, an einem Gewinnspiel teilnehmen oder kostenlose Downloads nutzen, registrieren Sie sich häufig mit Ihrer E-Mail-Adresse. Cyberkriminelle verfügen über Werkzeuge, um diese E-Mail-Adressen abzugreifen.

So gehen Sie mit Spam-Mails um

Das Eintreffen der E-Mail und auch ihr bloßes Öffnen führt noch nicht zu einer Schädigung Ihres Computers. Wenn Sie die gefälschte E-Mail ohne jede weitere Aktion umgehend löschen, sind Sie sofort wieder auf der sicheren Seite. Halten Sie sich an folgende Tabus – dann kann selbst beim Lesen einer gefälschten E-Mail nichts passieren:

1. Klicken Sie auf keinen der in der E-Mail aufgeführten Links.
2. Öffnen Sie niemals einen der mitgelieferten Dateianhänge.
3. Antworten Sie nicht auf E-Mails, die Ihnen verdächtig erscheinen.

Wenn Sie im Zweifel sind, ob eine E-Mail gefährlich ist oder nicht, lohnt sich der Blick in die „Aktuellen Sicherheitsinformationen“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dort finden Sie Hinweise auf die aktuell am häufigsten auftretenden Methoden, mit denen Cyberkriminelle Rechner infizieren wollen. Sind Sie sich unsicher, ob vermeintliche E-Mails der Deutschen Telekom echt sind, wenden Sie sich an das Cyber Emergency Response Team unter cert@telekom.de.

Nutzen Sie Spam-Filter

Damit unerwünschte E-Mails Ihr Postfach nicht überfluten, gibt es Spam-Filter. Sie überprüfen eingehende Mails automatisch auf Muster, die für die digitale Betrügerpost charakteristisch sind. Verdächtige Mails landen in einem Quarantäne-Ordner oder werden speziell gekennzeichnet. Die Filter greifen entweder direkt auf dem Server oder lokal im E-Mail-Programm. Prüfen Sie, welche Filtermöglichkeiten Ihr E-Mail Anbieter und Ihr E-Mail Programm bieten. Größere Unternehmen sollten außerdem auch für ausgehende E-Mails einen Spam-Filter einsetzen. So erkennen Sie, ob ein Rechner Ihrer Mitarbeiter gekapert wurde und Spam versendet.

Spam-Filter helfen Ihnen zwar dabei, gefälschte E-Mails zu identifizieren und auszusortieren. Trotzdem garantieren sie nicht, dass die durchgekommenen E-Mails frei von Schadsoftware sind. Bleiben Sie misstrauisch.

Schützen Sie sich mit temporären Wegwerf-E-Mail-Adressen

Geben Sie Ihre persönliche E-Mail-Adresse möglichst selten weiter, wenn Sie etwa an einem Gewinnspiel teilnehmen oder ein kostenloses Spiel downloaden. Mit sogenannten Wegwerf-E-Mail-Adressen verhindern Sie die Herausgabe Ihrer persönlichen E-Mail-Adresse. Eine solche Adresse steht Ihnen für einige Stunden zur Verfügung und wird anschließend gelöscht. Somit bleibt Ihnen ausreichend Zeit, um den aktuell anliegenden Registrierungsvorgang abzuschließen. Im Internet finden Sie zahlreiche Anbieter von Wegwerfadressen, so z. B.:

Aktivieren Sie Antivirensoftware für Ihr E-Mail-Postfach

Achten Sie darauf, dass ein Virenscanner Ihre eingehenden Mails und sämtliche Anhänge überprüft. Einige E-Mail Anbieter wie die Telekom stellen gratis einen Postfach-Virenschutz bereit. Er scannt die eingehenden E-Mails auf Viren, Würmer und Trojaner, schon bevor sie Ihnen zugestellt werden. Ergänzend dazu sind auch die meisten lokal installierten Antivirus-Programme in der Lage, E-Mails und Dateianhänge zu überprüfen. Beachten Sie dabei den Funktionsumfang Ihres Antivirus-Programms. In vielen Fällen ist solch ein Schutz nicht in den Gratis-Varianten des Virenscanners enthalten, sondern nur in der kommerziellen Version. Grundsätzlich gilt: Antivirensoftware ist nur ein Baustein, um sich vor Schadsoftware zu schützen. Berücksichtigen Sie neben den weiteren Ratschlägen zur E-Mail-Sicherheit in jedem Fall auch die Empfehlungen rund um unsere Hinweise zum Basischutz für PC und Laptop.

Deaktivieren Sie HTML

Mit HTML sehen E-Mails zwar schicker aus und enthalten mitunter Grafiken oder auch Musik. Skripts auf HTML-Basis sind aber auch ein Einfallstor für Viren, Würmer und Trojaner. Aktivieren Sie HTML deshalb nur in Ausnahmefällen – wenn Sie den Absender gut kennen und der Inhalt keinen Verdacht weckt.


Locky & Co.: Verschlüsselungs-Trojaner befallen PC per E-Mail

Tausende Infektionen pro Stunde allein in Deutschland: Der Verschlüsselungs-Trojaner (Ransomware) „Locky“ dreht weltweit seine Runden und schleicht sich über Dateianhänge in E-Mails auf Ihren Computer ein. Dabei verschlüsselt Locky, auch als Krypto-Trojaner bezeichnet, Dateien auf infizierten Computern und gibt diese erst nach einer Zahlung von Lösegeld wieder frei. Und Locky ist nicht alleine. Experten bemerken einen stetigen Anstieg von Erpressungen via Krypto-Trojanern.

Getarnte Schadsoftware

Die Anhänge in den E-Mails bestehen in der Regel aus Office-Dokumenten oder Dateien, die als solche getarnt sind. Die Absender sind oftmals Einrichtungen, Vereine oder Firmen, deren Mail-Adressen missbräuchlich von den Angreifern verwendet werden. Werden zum Beispiel die Word- oder Excel-Dateien geöffnet, finden Nutzer eine wirre Kombination aus Zahlen und Buchstaben vor. Es folgt eine Aufforderung des Programms, die Makros zu aktivieren, um den Inhalt richtig darstellen zu können. Dort steht zum Beispiel: „Können Sie den Text nicht lesen, sollten Sie die Makros in Word oder Excel aktivieren.“ Sind die Makros aktiviert, lädt das Makro den eigentlichen Trojaner herunter, der anschließend die Dokumente mit einer starken Verschlüsselung unbrauchbar macht. Der Nutzer wird daraufhin aufgefordert, einen bestimmten Betrag an eine Bitcoin-Adresse zu überweisen. Da Krypto-Trojaner zumeist „nur“ Nutzerdaten verschlüsseln, reichen die einfachsten Benutzerrechte aus, sodass der Trojaner sein Werk vollbringen kann. Ähnlich ist es bei Java-Script-Dateien, die direkt nach dem Öffnen mit der Verschlüsselung beginnen.

Vorsichtsmaßnahmen gegen Krypto-Trojaner wie Locky & Co.

  • Öffnen Sie keine Dateianhänge in E-Mails, deren Absender Sie nicht vertrauen. Seien Sie besonders vorsichtig bei E-Mails mit angeblichen Rechnungen oder Office-Dateien, über die oftmals Trojaner verteilt werden. Lesen Sie hierzu auch unsere Hinweise, wie Sie sich vor Schadsoftware aus E-Mails schützen.
  • Konfigurieren Sie Microsoft Office so, dass der Makro-Code gar nicht oder erst nach Freigabe durch den Benutzer ausgeführt wird.
  • Lassen Sie nur Makro-Codes zu, die aus vertrauenswürdigen Quellen stammen.
  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt regelmäßige Datensicherungen auf ein externes Speichermedium, etwa eine USB-Festplatte, einen USB-Speicherstick oder einen vertrauenswürdigen Cloud-Speicher. Im Falle einer Infektion durch einen Verschlüsselungs-Trojaner seien Daten- und System-Backups oft die einzige Möglichkeit, die betroffenen Dateien und Systeme wiederherzustellen und größeren Schaden zu vermeiden.
  • Halten Sie Ihr Betriebssystem, Browser und alle weiteren genutzten Programme immer auf dem aktuell verfügbaren Softwarestand.
  • Nicht alle Anti-Viren-Programme erkennen die Krypto-Trojaner. Der Anbieter von Anti-Viren-Programmen Avira hat dagegen auf seinem Blog mitgeteilt, dass seine Programme keine Probleme damit haben, Locky zu erkennen. Die Freeware-Version Avira Free Antivirus können Sie kostenlos herunterladen.
  • Sofern Ihr Rechner noch nicht befallen ist, schützen Sie sich mit einem Anti-Ransomware-Tool vor der Erpresser-Software. Das Computermagazin chip.de empfiehlt etwa den Locky Blocker von Malwarebytes gegen Ransomware.

So werden Sie den Krypto-Trojaner Locky wieder los

Noch ist kein Weg bekannt, die Verschlüsselung des Erpressungs-Trojaners Locky zu knacken. Für den Fall, dass Ihr Computer bereits mit dem Virus infiziert ist, gibt es daher noch keine genaue Anleitung. Dennoch sollten Sie einige Hinweise beachten, die etwa Heise oder das Webportal verbraucherschutz.tv zusammengestellt haben. Entsorgen Sie die durch den Trojaner verschlüsselten Dateien aber nicht gleich. Im Fall des Krypto-Trojaners TeslaCrypt 2 oder CryptXXX wurde zum Beispiel nach einiger Zeit ein Weg bekannt, mit dem die Verschlüsselung geknackt werden konnte.


Video: Sicher umgehen mit eingehenden E-Mails


Phishing E-Mails: Digitale Identitäten schützen

So erkennen Sie Phishing-E-Mails

Phishing E-Mails imitieren das Corporate Design und den Ton vertrauenswürdiger Institutionen, bei denen Sie potenziell Kunde oder Nutzer sind – seien es Banken, Auktionshäuser oder Social-Media-Plattformen. Eine typische Masche besteht aus der Aufforderung, Ihre Konto- und Account-Daten zu aktualisieren, da sonst eine Sperrung drohe. Andere Phishing E-Mails versprechen Ihnen tolle Gewinne oder Angebote, wenn Sie sich über den in der Mail angegebenen Link einloggen. In beiden Fällen führen die Links in der Phishing E-Mail auf eine gefälschte Webseite. Sicherheitsforscher warnen zudem davor, dass Phishing-Nachrichten künftig auch von Computern generiert werden könnten – und Nutzer damit noch zielgenauer und effektiver ansprechen. Den Forschern zufolge sei bei Tests etwa jeder dritte Nutzer auf die relativ echt wirkenden Nachrichten beim Kurznachrichtendienst Twitter hereingefallen und klickte auf den in der Nachricht enthaltenden Link. Wenn Sie dort Ihre Daten eingeben, landen diese (ggf. also auch Ihr Passwort) bei den Betrügern.

Folgen Sie auf keinen Fall den Links solcher Phishing E-Mails. Löschen Sie die Mails am besten unverzüglich. Wenn Sie sich nicht sicher sind, ob eine E-Mail tatsächlich von Ihrer Bank oder Social-Media-Plattform stammt, besuchen Sie die Webseite des Anbieters, indem Sie dessen Webadresse direkt in die Adresszeile Ihrers Browsers eingeben – und nicht über einen E-Mail-Link. Bei dringenden Angelegenheiten wird der Anbieter hier Informationen bereitstellen. Wenn nicht, besteht kein Handlungsbedarf.

Betrügerische E-Mails sind nicht der einzige Weg, auf dem Angreifer Zugangsdaten erbeuten. Schadsoftware, die Passwörter ausliest, kann auch durch gehackte Webseiten seriöser Anbieter auf Ihren Rechner gelangen. Beachten Sie auch unsere Tipps zum sicheren Surfen.

Verwenden Sie unterschiedliche Passwörter für Ihre Accounts

Kaum ein Internetdienst kommt heute ohne Registrierung aus. Um Foren zu nutzen, in Online-Shops einzukaufen oder sich in sozialen Netzwerken zu beteiligen, müssen Sie sich zunächst anmelden. Verwenden Sie dabei unbedingt unterschiedliche Passwörter. Ansonsten könnte ein Angreifer mit einem erbeuteten Passwort gleich auf mehrere Accounts zugreifen. Ändern Sie Ihre Passwörter in regelmäßigen Abständen.

Tipp: Erstellen Sie sichere Passwörter in zehn Sekunden, die Sie sich leicht merken können.

Gehen Sie sparsam mit personenbezogenen Daten um

Halten Sie einen Moment inne, bevor Sie Daten in Formulare eingeben. Wie seriös ist der Anbieter? Was sagen die Geschäftsbedingungen zum Thema Datenschutz? Geben Sie grundsätzlich so wenig personenbezogene Daten wie möglich an. Orientieren Sie sich dabei an den Pflichtfeldern des Formulars. Je mehr Informationen ein Angreifer über Sie hat – sei es Ihr Geburtsdatum, die Adresse oder gar der Mädchenname Ihrer Mutter – umso größer ist die Gefahr, dass er sich im Netz erfolgreich für Sie ausgeben kann.

Prüfen Sie, ob Sie bestehende Accounts noch benötigen. Haben Sie einen Zugang lange nicht mehr verwendet, löschen Sie diesen bzw. lassen sie ihn vom Anbieter sperren.

Nutzen Sie Sicherheitstests rund um den Identitätsdiebstahl

Cyberkriminelle begehen Identitätsdiebstahl in großem Stil. Mittlerweile hat sich eine regelrechte Untergrundökonomie entwickelt, in der mit erbeuteten Zugangsdaten gehandelt wird. In einigen Fällen gelangen diese Daten in die Hände von Strafverfolgungsbehörden, die die betroffenen Benutzer warnen. Anfang 2014 deckten die Behörden beispielsweise ein Botnetz (illegal betriebenes Computernetzwerk, das internetfähige Rechner ohne das Wissen ihrer Nutzer einbindet) auf und kamen dadurch in den Besitz von 16 Millionen kompromittierten Benutzerkonten. Mit Unterstützung der Telekom hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Webseite https://www.sicherheitstest.bsi.de/ eingerichtet. Prüfen Sie hier durch Eingabe Ihrer E-Mail Adresse, ob einer Ihrer Accounts betroffen war. Ein ähnliches Prüfinstrument bietet das Hasso-Plattner-Institut mit dem Identity Leak Checker.

Wenn Sie Opfer eines Identitätsdiebstahls geworden sind, sperren Sie den betroffenen Account, überprüfen Sie Ihre Endgeräte auf Schadsoftware und ändern Sie Ihre Passwörter. Erstatten Sie außerdem Strafanzeige bei einer Polizeidienststelle, wenn Sie zu Schaden gekommen sind.


Die zehn wichtigsten Tipps zur E-Mail-Sicherheit

1. Nutzen Sie ein sicheres Passwort

Das Passwort für Ihr E-Mail-Postfach sollte nicht aus Wörtern bestehen, die Sie im Wörterbuch finden. Verwenden Sie mindestens acht Zeichen und eine Mischung aus Buchstaben, Zahlen und Sonderzeichen. Mit einem einfachen Trick erzeugen Sie sichere Passwörter, die Sie sich gut merken können: Bilden Sie Ihr Passwort aus den Anfangsbuchstaben eines Satzes, den Sie mit Zahlen und Sonderzeichen ergänzen. Etwa: Meine Mutter kauft jeden Samstag 16 Eier auf dem Markt = §MMkjS16EadM!

Nutzen Sie Ihr E-Mail-Passwort für keine anderen Online-Zugänge. Verwahren Sie Ihr Passwort im eigenen Kopf oder verwenden Sie eine Passwort-Safe-Software. Ändern Sie Ihr Passwort regelmäßig, um es Kriminellen schwerer zu machen, durch Ausprobieren in Ihr E-Mail-Postfach einzubrechen. Ganz wichtig ist auch: Geben Sie Ihre Zugangsdaten nie an Dritte weiter.

2. Geben Sie Ihre E-Mail-Adresse nicht leichtfertig weiter

Überlegen Sie es sich gut, wann Sie Ihre E-Mail-Adresse angeben. Verwenden Sie Ihre Haupt-Adresse etwa nicht für Preisausschreiben, Umfragen, Social-Media-Plattformen, Online-Foren und Chats. Für solche weniger wichtigen Zwecke sollten Sie eine Zweitadresse anlegen. Geben Sie Ihre Adresse nur an Personen weiter, die Sie persönlich kennen. Diese Regeln gelten natürlich auch für die Ihnen anvertrauten E-Mail-Adressen von Bekannten, Freunden und Kollegen.

3. Verwenden Sie einen aktuellen Virenschutz

Für einen umfassenden Schutz vor Schadsoftware brauchen Sie einen Virenscanner – und zwar auf allen internetfähigen Geräten wie PC, Smartphone und Tablet. Wählen Sie eine Software, die sich automatisch und regelmäßig per Update aktualisiert. Achten Sie außerdem darauf, dass in den Einstellungen Ihres Antivirenprogramms der automatische Scan für E-Mails und Anhänge eingeschaltet ist.

Das Sicherheitspaket der Telekom bietet umfassenden Schutz vor Schadsoftware.

4. Aktivieren Sie einen Spamfilter

Aktivieren Sie den Spam-Schutz Ihres E-Mail-Anbieters. Wenn Sie ein E-Mail-Programm wie Outlook oder Thunderbird nutzen, schalten Sie auch die dort eingebauten Filter ein. Immer gilt aber: Antworten Sie nie auf Spam-Nachrichten. Damit teilen Sie dem Absender mit, dass Sie Ihre Adresse nutzen und Sie erhalten noch mehr unerwünschte und potentiell gefährliche E-Mails.

5. Schalten Sie HTML-Scripts ab

Deaktivieren Sie HTML-Scripts in Ihrem E-Mail-Programm und bei Ihrem E-Mail-Service-Anbieter. Öffnen Sie E-Mails nur im Text-Format. HTML-Mails können etwa Javascript-Code enthalten, der für die Einbettung von Videos und Musik verwendet wird. Solcher Code kann Schaden auf Ihrem Computersystem anrichten. Seriöse E-Mails lassen sich in der Regel auch ohne HTML-Scripts problemlos lesen.

6. Achten Sie auf den Absender und die Betreffzeile

Sie kennen den Absender einer E-Mail nicht? Oder der Betreff fordert Sie auf, ein PayPal-Konto zu aktualisieren? Vergessen Sie nie, nach Ungereimtheiten bei der Absenderadresse und in der Betreffzeile zu suchen, auch wenn die E-Mail Ihren Spam-Filter bereits passiert hat. Banken, Online-Händler und andere seriöse Unternehmen fordern ihre Kunden nie per E-Mail dazu auf, Links anzuklicken oder vertrauliche Daten preiszugeben. Vorsicht ist auch geboten, wenn der Text ungewöhnlich viele Rechtschreibfehler enthält. Achtung: Cyberkriminelle können Absenderadressen leicht fälschen. Auch wenn die Absenderadresse seriös aussieht, solltest Sie also aufmerksam bleiben.

7. Öffnen Sie keine unbekannten Anhänge und klicken Sie nicht auf Links

Öffnen Sie E-Mails und darin enthaltene Anhänge nur, wenn Sie mit der Zusendung der Datei gerechnet haben. Ein Großteil der aktuellen Viren wird über E-Mail-Anhänge in Umlauf gebracht. Wenn Sie sich unsicher sind, kopieren Sie den Anhang in einen leeren Ordner und überprüfen Sie ihn mit Ihrer aktuellen Virenschutzsoftware. Klicken Sie auch niemals auf Links, die in E-Mails enthalten sind. Prüfen Sie per Mouseover, ob der angezeigte Link und die tatsächliche Zieladresse übereinstimmen oder geben Sie die URL per Hand in die Adresszeile Ihres Browsers ein. Vorsicht gilt auch bei Nachrichten, deren Absender Sie gut kennen: Schadsoftware sucht auf infizierten PCs nach vorhandenen E-Mail-Adressen, um sich weiterzuverbreiten.

8. Aktivieren Sie die verschlüsselte Datenübertragung

Aktivieren Sie in den Einstellungen Ihres E-Mail-Programms die Verschlüsselungstechnik SSL, TLS oder STARTTLS. Wenn Sie E-Mails im Internetbrowser öffnen (Webmailer), sollten Sie stets eine verschlüsselte Verbindung nutzen. Diese erkennen Sie an dem Kürzel „https://“ oder einem kleinen Schloss-Symbol in der Adresszeile Ihres Browsers.

Mit diesen Einstellungen verschlüsseln Sie die Datenübertragung Ihrer eingehenden und ausgehenden Nachrichten auf dem Weg zwischen Ihnen und Ihrem E-Mail-Anbieter. Ihre Nachrichten können nur dann verschlüsselt übertragen werden, wenn beide Kommunikationspartner – also Absender und Adressat – sowie deren E-Mail-Anbieter diese Transportverschlüsselung aktivieren. Ohne Verschlüsselung ist die E-Mail nicht sicherer als eine Postkarte, die auf ihrem Weg vom Absender zum Empfänger durch viele Hände geht und von vielen Augen mitgelesen werden kann. Eine E-Mail passiert auf dem Weg vom Computersystem des Senders bis zum Empfänger viele Transportstationen. Unbefugte Dritte können die Nachricht unterwegs abfangen, lesen und verändern. Das gilt sowohl für den Nachrichteninhalt als auch die Absenderadresse. Eine E-Mail mit Transportverschlüsselung entspricht im übertragenen Sinn einer Postkarte, die in einem blickdichten Briefumschlag steckt.

Die E-Mail-Anbieter T-Online, GMX, Web.de und Freenet – Partner der Initiative „E-Mail made in Germany“ – verschlüsseln die Nachrichten Ihrer Kunden automatisch auf allen Übertragungswegen. Die automatische Verschlüsselung funktioniert allerdings nur zwischen E-Mail-Adressen der Verbundpartner.

Für T-Online-Kunden steht eine Schritt-für-Schritt-Anleitung bereit, um die Transportverschlüsselung auf Smartphones, Tablets und Laptops/Desktop-PCs zu aktivieren.

9. Schützen Sie besonders sensible E-Mails mit Ende-zu-Ende-Verschlüsselung

Wenn Sie besonders vertrauliche Informationen austauschen wollen, schützen Sie Ihre E-Mails zusätzlich zur Transportverschlüsselung mit einer Ende-zu-Ende-Verschlüsselung. Nutzer mit einem E-Mail-Programm wie Outlook oder Thunderbird benötigen dafür eine Verschlüsselungssoftware wie Pretty Good Privacy (PGP) oder Gnu Privacy Guard (GPG). Wer seine E-Mails im Internetbrowser öffnet (Webmailer), braucht zudem eine Browser-Erweiterung (Add-on) wie Mailvelope oder Enigmail.

Mit Ende-zu-Ende-Verschlüsselung geschützte Nachrichten werden erst auf dem Endgerät des Empfängers entschlüsselt.

10. Nutzen Sie einen sicheren E-Mail-Dienst

Entscheiden Sie sich für einen E-Mail-Anbieter, der Ihre Nachrichten auf allen Übertragungswegen sicher verschlüsselt und vor dem Zugriff durch Dritte schützt. Ihr Anbieter sollte Ihre Daten im Einklang mit den strengen deutschen Datenschutzregeln verarbeiten. Das gewährleisten Unternehmen, die Ihre E-Mail-Kommunikation ausschließlich in hochsicheren deutschen Rechenzentren speichern und verarbeiten.

Die Teilnehmer der Initiative „E-Mail made in Germany“ erfüllen diese Kriterien. Noch mehr Sicherheit bietet die De-Mail: Auf Grundlage des deutschen De-Mail-Gesetzes gewährleistet sie neben der sicheren Übertragung und Verarbeitung Ihrer Daten die einwandfreie Identität von Sender und Empfänger.

Beachten Sie weitere Informationen zur Initiative „E-Mail Made in Germany“ sowie zur De-Mail.


Diese Seite benutzt Cookies. Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung sowie in diesem Artikel.