IT-Sicherheits-Leitlinie

Sichere Nutzung von E-Mail

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Leitlinie zur sicheren Nutzung von E-Mail herausgegeben.

Die Nutzung von E-Mail ist und bleibt gefährlich. Dennoch können wir im beruflichen und zunehmend auch im privaten Alltag nicht mehr darauf verzichten. Schadprogramme wie Viren, Würmer und Trojanische Pferde verbreiten sich über E-Mail. Phishing und Spam sind unerwünschte Nebenerscheinungen, die dem E-Mail-Anwender Schaden können, sofern er sich nicht ausreichend gegen diese Gefahren schützt. Das allerdings erfordert angesichts der Komplexität der Gefahren die ständige Aufmerksamkeit des Anwenders. Aus diesem Grund hat das BSI eine Studie unter dem Titel "Sichere Nutzung von E-Mail" erstellt und Leitlinien mit Empfehlungen daraus abgeleitet. "Diese Studie beschreibt; wie bestehenden Gefährdungen bei normalem Schutzbedarf mit geeigneten Maßnahmen begegnet werden kann", heißt es in der Leitlinie. Die vorgeschlagenen Maßnahmen beziehen sich auf eine sichere Architektur des E-Mail-Clients, eine geschützte Anbindung an den E-Mail-Server und einen sicheren Austausch von Informationen zwischen den einzelnen Kommunikationspartnern. Außerdem werden Varianten aufgezeigt, die auch einen höheren Schutzbedarf abdecken können.

Angreifer kennen die Schwachstellen

Wie vielseitig die Gefahr im Umgang mit E-Mail ist, lässt sich anhand der Kapitelüberschriften erahnen: Eindringen und Übernehmen, Täuschen, Fälschen und Betrügen, Entwenden und Ausspähen, Verhindern und Zerstören. Angreifer nutzen Schwachstellen der Client-Software ebenso wie Lücken in ungepatchten Programmen und veralteten Virenschutz-Signaturen. Mit Viren und Würmern dringen sie in die Systeme ein, um Schaden anzurichten. Der Bereich Täuschen, Fälschen und Betrügen befasst sich mit Trojanischen Pferden, Spoofing und Phishing. Beim Thema Entwenden und Ausspähen geht es um Angriffe auf die Vertraulichkeit von Informationen. Die Angreifer haben es auf E-Mail-Inhalte und Benutzerdaten abgesehen. Eine andere Gefahrenquelle zielt auf die Verfügbarkeit des E-Mail-Dienstes ab, die durch Attacken beeinträchtigt werden soll. Das betrifft zwar in erste Linie den Server, doch auch für den Client bestehen Bedrohungen wie die Beeinträchtigung des Arbeitsbetriebes durch erhöhtes Spam-Aufkommen

Der Lösungsteil in der BSI-Leitlinie bietet schließlich nützliche Ansätze für eine sichere Architektur des E-Mail-Clients ebenso wie die sichere Anbindung an den E-Mail-Server und schließt mit dem Kapitel sichere E-Mail-Kommunikation auf Anwendungsebene ab (Download der Leitlinie).