Vom Spam bis zum Datenleck

Ratgeber E-Mail-Sicherheit: Techniken und Maßnahmen

Ganz gleich, ob große Firma, kleiner Handwerksbetrieb oder Einzelperson: E-Mails sind das zentrale Mittel für die Kommunikation. Für E-Mail-Sicherheit zu sorgen gehört damit zu den unabdingbaren Aufgaben der IT. Die Aspekte sind vielfältig, wie folgender Ratgeber belegt.

Wenn über die Sicherheit der E-Mail geredet wird, so wird diese Diskussion zumeist ausschließlich um das Thema Viren und Würmer geführt. Schließlich sind es die Namen wie der "Melissa"- oder "I Love You"-Virus, die immer wieder tagelang auch die Nachrichtensendungen und Tagespresse beherrschen.

Administratoren und IT-Verantwortliche in großen und kleinen Firmen wissen aber nur zu genau, dass gerade beim so wichtigen Einsatz der E-Mail noch eine ganze Reihe anderer Gefahren drohen. Diese können die Sicherheit der Nachrichten, die Sicherheit der Inhalte dieser Nachrichten und damit letztendlich auch die Sicherheit der Firma bedrohen.

Wir haben für diesen Ratgeber einige entscheidende Bereiche herausgegriffen, die sich mit den verschiedenen Aspekten der E-Mail-Sicherheit befassen:

• Sicherheit des Inhalts durch Verschlüsselung,

• Bedrohung durch Spam und Mittel dagegen,

• Schutz vor Datenverlust: Backup und Restore sowie

• Informationsverlust durch "Datenlecks".

Sicherheit per Verschlüsselung

Es ist fast schon so etwas wie eine Binsenweisheit: Grundsätzlich ist die Information in einer nicht verschlüsselten E-Mail nur in etwa so sicher wie eine handschriftlich geschriebene Postkarte. Das liegt ganz entscheidend auch an dem Übertragungsprotokoll, das beim Versenden von E-Mail-Nachrichten zum Einsatz kommt: das "Simple Mail Transfer Protocol" (SMTP). Bereits im Jahr 1982 wurde es unter dem RFC 821 zum Standard erklärt. In diesen fast 30 Jahren, seitdem das Protokoll standardisiert wurde, hat sich aber nicht nur die Art und Weise geändert, in der E-Maills eingesetzt werden. Auch der Grad der Nutzung ist ein ganz anderer, und die Netzwerke an sich sind immens gewachsen. Als dieser Standard verabschiedet wurde, waren die Verbindungen zwischen den Servern in der Regel langsam. Erschwerend kam hinzu, dass diese mitunter auch noch sehr instabil waren.

So haben die Entwickler damals auch ganz besonders auf die Zuverlässigkeit dieses Protokolls geachtet, während sie eine Authentifizierung grundsätzlich nicht berücksichtigten. Wie es üblich war, lief der Datentransfer zwischen den Servern komplett unverschlüsselt und konnte so mit jeder Sniffer-Software mitgelesen werden. Erst 1995 wurde das Protokoll mit Extended SMTP (ESMTP) in RFC 1869 erweitert, und eine Verschlüsselung über SSL/TLS wurde eingearbeitet. Dank dieser Erweiterung ist die Vertraulichkeit der Nachricht beim Transfer auf diese Weise gewährleistet - jedenfalls was die Übertragung zum Mail-Server betrifft.