So sichern Sie Ihre E-Mails ab

Die Apologeten der neuen "sozialen Medien" wie Facebook und Twitter verkünden zwar immer wieder, das Ende der E-Mail sei gekommen. Aber ebenso wenig, wie wir in absehbarer Zukunft das "papierlose Büro" erleben werden, werden E-Mails als gängiges Mittel zur Kommunikation über das Netz verschwinden. So kommen dann E-Mails jeden Tag an fast jedem Arbeitsplatz wie selbstverständlich zum Einsatz - so selbstverständlich, dass sich die Anwender häufig keine Gedanken mehr über die Sicherheit dieses Kommunikationskanals machen: Oder denken Sie beim Telefonieren immer daran, wie sicher die Übertragung ist?

Doch wer mit E-Mails arbeitet und sie intensiv nutzt, sollte auch über deren Sicherheit ebenso intensiv nachdenken. Wir haben in unserer FAQ einige wichtige Fragen, Antworten und Lösungen rund um das Thema "E-Mail sicher nutzen" zusammengestellt.

Wie sicher ist der Inhalt einer E-Mail?

Es wurde schon oft geschrieben und gesagt, aber viele Anwender scheinen es immer wieder zu vergessen: Der Inhalt einer E-Mail ist grundsätzlich nicht gesichert. Alles, was ein Nutzer in einer E-Mail-Nachricht schreibt, geht im Klartext über die Verbindung. Deshalb wird eine solche Nachricht auch immer wieder gerne mit einer Postkarte verglichen: Auch die kann jeder lesen, der sie zufällig (oder absichtlich) in die Hand bekommt. Um Daten mitzulesen, die offen über eine Netzwerkverbindung gesendet werden, bedarf es zudem keiner großartigen "Hacker-Kenntnisse": Werkzeuge zur Netzwerküberwachung - sogenannte Sniffer - wie etwa das bekannte Wireshark oder auch Microsoft Network Monitor erlauben das einfache Mitlesen der Nachrichten im Klartext.

Praxis-Tipp: Überlegen Sie immer gut, was Sie in einer Mail schreiben und ob Sie diese Informationen auch einer Postkarte anvertrauen würden. Kreditkarten- und Bankkontodaten sowie ähnlich sensible Daten haben in einer normalen Mail nichts verloren!

Im Klartext
Wie ein offenes Buch beziehungsweise wie eine Postkarte: Der Inhalt einer normalen E-Mail wird im Klartext über das Netz verschickt und kann mit Hilfe von Programmen wie hier dem Microsoft Network Monitor leicht mitgelesen werden.

GPG4win
Verschlüsselung bringt Sicherheit: Mit der Software GPG4win steht eine Lösung zur Verfügung, die unter anderem OpenPGP auch für Windows-Systeme bereitstellt.

OpenPGP
Ein grundlegendes Verständnis ist notwendig: Wer OpenPGP einsetzen will, muss sich mit den Grundprinzipen der Verschlüsselung vertraut machen. Hier hilft die Anwendung GPG4win dem Anwender durch entsprechende Hilfetexte.

Schlüsselpaare
Das kann ruhig im Klartext verschickt werden: Eine Nachricht, die mit Hilfe von GPG4win verschlüsselt wurde – nur der Empfänger der Nachricht (mit dessen öffentlichen Schlüssel diese geschützt wurde) kann sie dann wieder entschlüsseln.

Direkt eingebunden
Funktioniert leider nur bis Outlook 2007: GPG4win steht dem Anwender direkt im Mail-Programm zur Verfügung.

Enigmail für Thunderbird
Auch für Thunderbird existieren entsprechende Lösungen zur Verschlüsselung: Mit Hilfe der Erweiterung „Enigmail“ steht hier ebenfalls der Einsatz von OpenPGP direkt im Mail-Programm zur Verfügung.

Enigmail immer aktuell
Sehr komfortabel: Enigmail fügt sich auch bei der aktuellen Version 13 des Mozilla-Mailprogramms Thunderbird nahtlos ein und bietet dem Anwender die Möglichkeit, seine Nachrichten zu verschlüsseln.

Outlook-Sicherheit 1
Die entscheidende Einstellung bei Outlook (hier in der Version 2010): Im Sicherheitscenter kann der Nutzer festlegen, dass alle Nachrichten, die ihn erreichen, nur in reiner Textform dargestellt werden, was die Sicherheit deutlich erhöht.

Outlook-Sicherheit 2
Weitere, wichtige Sicherheitseinstellungen bei Microsoft Outlook (hier Version 2007): Durch diese Einstellungen kann der Anwender verhindern, dass ihm durch Links, die in einer E-Mail-Nachricht eingebettet wurden, ungewollt potenziell schädliche Bilder heruntergeladen werden.

Outlook-Sicherheit 3
Mit einem Klick rückgängig: Ist die Nachricht im Nur-Text-Format nur noch schlecht oder überhaupt nicht mehr zu lesen und kann man sich sicher sein, dass sie von einem vertrauenswürdigen Absender stammt, so kann sie mittels eines Klicks wieder im HTML-Format angezeigt werden.

Sophos Free Encryption
Ein einfachere Lösung für die Verschlüsselung: Das Programm Sophos Free Encryption bietet die Möglichkeit, Dateien einfach in einem verschlüsselten Container abzulegen, der dann per E-Mail verschickt werden kann.

No EXEcution!
Ein guter Tipp: So elegant es erscheint, die verschlüsselten Daten als selbst-extrahierende Datei zu versenden, sollte man dies nicht tun. Kaum ein Mail-Server wird heute noch Dateien mit der Ende „.exe“ annehmen oder weiterleiten.

Sicherer Transfer
Ein wichtige Grundregel beim Einsatz von Web-Mail-Anwendungen: Der Übertragungsweg muss immer verschlüsselt sein – wie hier bei Google-Mail mittels einer SSL-Verbindung.

MailStore Home
Eine gute Sicherungsstrategie gehört dazu: Wer sich nicht mit dem umständlichen Kopieren einzelner PST-Dateien abärgern will und zudem auch seine Web-Mail-Konten mitsichern möchte, kann dazu eine freie Lösung wie MailStore Home einsetzen.

Archivierung inklusive
Viel mehr als nur eine Sicherung und trägt zur Sicherheit bei: Dadurch, dass die für den privaten Gebrauch freie Lösung MailStore Home auch einen Index anlegt, werden die Nachrichten archiviert und lassen sich schnell wiederfinden.

Reicht eine AV-Lösung auf dem System zum Schutz der E-Mail?

Es ist wohl selbstverständlich, dass heute kein System mehr ohne eine entsprechende Antivirenlösung betrieben werden sollte. Doch braucht sich ein Anwender keine Gedanken mehr um die Gefahren zu machen, die aus den E-Mail-Nachrichten drohen, wenn sein System mit einer solchen Sicherheitslösung geschützt ist? Ein großer Teil der Schadprogramme gelangt heute mittels einer E-Mail auf die Systeme und damit häufig auch in die Netzwerke. Antivirenprogramme tragen dieser Entwicklung Rechnung und können häufig bereits auf dieser Ebene eingreifen. Aber gerade wenn eine der ansonsten sehr guten freien AV-Lösungen zum Einsatz kommt, kann es sein, dass diese nicht dezidiert die Nachrichten und - noch viel wichtiger - die diversen Anhänge durchsucht. Einige Anbieter stellten diese Möglichkeiten erst mit den kommerziellen Versionen ihrer Antivirenlösungen zur Verfügung. Darum ist eine Antivirensoftware auch in Hinblick auf die Sicherheit der E-Mail nur ein Baustein bei der Abwehr von Angriffen auf die Computersysteme. Auch die Gefahren, die beispielsweise durch den Einsatz von HTML-Nachrichten entstehen (wir gehen darauf in diesem Bericht noch detaillierter ein), können durch diese Programme nicht erkannt und bewältigt werden.

Teaser-Bild: Artyom Yefimov/Fotolia.de

Wie kann ich E-Mail-Nachrichten sicherer versenden?

Die einfache Antwort auf diese Frage lautet: Verschlüsseln Sie ihre Nachrichten! Warum aber verschlüsseln dann nicht mehr Anwender ihre Nachrichten standardmäßig? Wer zudem einmal versucht hat, einem Geschäftspartner oder gar einer Bank oder Behörde eine verschlüsselte Nachricht zu übermitteln, wird ebenfalls festgestellt haben, dass die Verbreitung dieser Sicherheitsmaßnahme eher gering ist.

Das liegt unter anderem daran, dass die Anbieter von Mail-Programmen keine entsprechende Standardlösung in ihren Produkten integrieren (oder auch nur so etwas etablieren) und viele Lösungen auf dem Markt leider etwas unpraktisch in der Anwendung sind.

Lösungen zum Verschlüsseln der E-Mails: Eine Freeware-Lösung, deren Einsatz auch vom BSI (Bundesamt für Sicherheit in der Informationstechnik) aktiv unterstützt wird, trägt den Namen GPG4win (GNU Privacy for Windows) und steht zum kostenlosen Download für Windows-Systeme bereit. Die Software kann nicht nur die E-Mail-Nachrichten, sondern auch Dateien und Ordner auf dem PC verschlüsseln. Auch die Integrität der Daten lässt sich mittels der Software durch den Einsatz digitaler Signaturen sichern. Als Standards werden dabei OpenPGP und S/MIME (X.509) unterstützt. Neben dem eigentlichen Verschlüsselungsprogramm GNUPG beinhaltet das Paket eine Software mit Namen "Kleopatra", die als Zertifikatsmanager arbeitet. Die Software ist so angelegt, dass sie sich leicht unter Windows installieren lässt. Sie arbeitet mit Windows XP, Vista und Windows 7 zusammen und unterstützt dabei sowohl 32- als auch 64-Bit-Systeme.

Wer Microsoft Outlook in der Version 2003 oder 2007 verwendet, findet nach der Installation einen neuen Menüpunkt in seinem Programm, der ihm das Verschlüsseln und Signieren seiner Nachrichten erlaubt. Das Programm führt schon bei der Installation durch das Anlegen eines entsprechenden Schlüsselpaares. Kommt allerdings Outlook 2010 zu Einsatz, bekommt der Anwender keine Integration der Lösung geboten: Er muss die Dateien "von Hand" verschlüsseln und in seine Nachricht übertragen.

Nicht einfach zu finden
Zwar liefert Microsoft das Werkzeug „ScanPST“ bei allen Outlook-Versionen seit Office 2000 mit, versteckt es aber immer wieder an anderer Stelle auf dem System.

Einfache, sehr stringente Bedienung
Das Werkzeug "ScanPST" findet in der Regel automatisch den Pfad zur richtigen PST-Datei und startet dann nach dem „OK“ die Überprüfung/Reparatur ebenso automatisch.

Das Programm „OutlookAttachView“ beim Start
Die Freeware ist flexibel genug, um auch mit mehreren Outlook-Profilen zusammenzuarbeiten. Zudem kann der Anwender gleich beim Start den Zeitraum der Suche einschränken.

Der richtige Anhang wurde gefunden
Danach kann der Nutzer nun mit Hilfe von „OutlookAttachView“ entscheiden, ob er das Attachment kopieren, weiterverarbeiten oder nur anschauen möchte.

Welche Dubletten „verstopfen“ den Posteingang?
Das Programm MODupRemover durchsucht die verschiedenen Outlook-Ordner nach doppelten Dateien und bietet sie dann zum Löschen an.

Die Auswahl entscheidet darüber, wie lange der Suchlauf dauert
Wenn ein Anwender hier alle Ordner von Outlook durchsuchen lässt, kann das schon etwas Zeit in Anspruch nehmen.

Zunächst etwas verwirrend
Die Anzeige von MODupRemover erschließt sich dem Anwender nicht auf den ersten Blick – da die Lösung aber alle gelöschten Dateien nur in den Outlook-Papierkorb schiebt, hat der Anwender immer noch das „letzte Wort“.

Nach der Installation des SPAMfighters
Der Anwender wird deutlich darauf hingewiesen, dass er diese Pro-Version nur eine gewisse Zeit nutzen kann – allerdings sind die Funktionen der Standardversion für die meisten Privatanwender durchaus ausreichend.

Enge Integration
Einer der großen Vorteile der SPAMfighter-Software besteht darin, dass sie sich nahtlos in die E-Mail-Anwendungen wie hier den Mozilla Thunderbird einfügt und damit dem Anwender die Arbeit erleichtert.

Eine sehr gute Möglichkeit, das Spam-Aufkommen in der eigenen Mail einzuschränken
Der SPAMfighter erlaubt es, die eingehenden Nachrichten nach der jeweiligen Sprache zu selektieren und entsprechend zu sperren.

Fehlt ansonsten beim Mozilla Thunderbird
Mit dem Add-on Lightning steht auch für dieses Mail-Programm eine Möglichkeit zur Verfügung, die eine Verwaltung von Terminen erlaubt.

Gute gelungene Integration
Obwohl sich das Lighting-Add-on noch in der ersten Version befindet, bietet es dem Anwender schon die meisten Funktionen, die er von einer Terminverwaltung (hier das Einladen zu Terminen) erwartet.

Die MailStore-Anwendung zeigt sich bereits während der Installation flexibel
Sie kann als portable Version auch in einem beliebigen Ordner auf dem System installiert werden.

Archivierung mit sehr vielen Möglichkeiten
Mit Hilfe des MailStore-Programm können Anwender Sicherungen von ganz unterschiedlichen Mail-Programmen und –Profilen anlegen – sie sind dabei nicht auf ein Mail-Konto beschränkt.

Ein weiterer Vorteil einer ordentlichen Archivierung
Mit Hilfe der im Programm integrierten Suchmöglichkeiten lassen sich so auch bestimmte Nachrichten und Anhänge schnell innerhalb der Archive wiederfinden.

MailCheck2 macht bei der Installation zunächst einen sehr unspektakulären Eindruck
Hier muss der Anwender zunächst die Daten seiner Mail-Provider eintragen – das Programm kennt aber POP3- und IMAP-Server der gängigen Provider automatisch.

Zusätzlicher Tool-Tipp
Die Anwendung MailCheck2 kann so konfiguriert werden, dass sie dem Nutzer in der Tool-Leiste einen Überblick über die auf den verschiedenen Konten eingegangenen Mail-Nachrichten bietet.

Die Nachrichten werden im Programm MailCheck2 lediglich im Textformat angezeigt
Da so keine aktiven Inhalte übertragen werden, ist eine große Gefahr von Angriffen über E-Mail-Nachrichten gebannt.

Security auch für Thunderbird

Für Anwender von Mozilla Thunderbird bietet sich die Erweiterung EnigMail an, die ebenfalls auf OpenPGP aufsetzt und eine entsprechende Integration in das Mail-Programm bietet: Sie ist im Gegensatz zu GPG4win nicht von der Version des Mail-Programms abhängig und arbeitete in unseren Tests problemlos auch mit der aktuellen Version 13 von Thunderbird zusammen.

Praxis-Tipp: Wer diese beiden Anwendungen einmal testet, wird feststellen, dass es zunächst einmal eine gewisse Lernkurve zu bewältigen gilt. Das größere Problem dürfte aber sein, sein Gegenüber vom Einsatz einer solchen Lösung zu überzeugen - hier gilt es noch Pionierarbeit zu leisten. Unser Vorschlag deshalb: Setzen Sie eine der gängigen freien Verschlüsselungslösungen wie Truecrypt oder Sophos Free Encryption ein, erzeugen damit einen sicheren Container, schreiben Ihren Text in dem Textverarbeitungsprogramm ihrer Wahl und legen ihn in diesen Container. Dieser wird an den Empfänger als E-Mail-Attachment geschickt, das benötigte Passwort zum Entschlüsseln wird dabei natürlich auf einem anderen Weg (beispielsweise per Telefon oder persönlich) übermittelt.

Wichtig: Die meisten Verschlüsselungsprogramme bieten auch die Möglichkeit, selbst-entpackende, ausführbare Dateien zu erstellen. Auch wenn dieses Vorgehen zunächst wie eine gute Idee erscheint, sollten Sie diese Methode nicht verwenden: Diese Programme erzeugen zumeist Dateien mit der Endung *.exe, und solche Anhänge werden aus Sicherheitsgründen von einem Großteil der Mail-Server und -Gateways blockiert und nicht angenommen.

Warum sollte man keine HTML-Nachrichten verwenden?

Reine Textnachrichten sind langweilig - jedenfalls scheinen das sowohl die Entwickler der meisten E-Mail-Programme als auch die Absender eines Großteils der Nachrichten zu meinen: Nachrichten im HTML-Format sind zumeist Standard. Vom Standpunkt der Sicherheit aus betrachtet stellt der Einsatz dieses Formats allerdings ein erhebliches Risiko da. Durch die Möglichkeit, in HTML auch entsprechende Skripte einzubetten, können so ungewollt potenziell gefährliche Programme auf den Rechner gelangen. Auch wenn die Nachrichten dann keine "bunten" Überschriften und eingebetteten Bildern bieten - das reine Textformat ist der sicherere Weg.

Welche Sicherheitseinstellungen sind bei Outlook sinnvoll?

In Zusammenhang mit der vorherigen Frage ist es zunächst einmal sehr sinnvoll, das Mail-Programm so zu konfigurieren, dass es automatisch alle Nachrichten nur noch im Textformat anzeigt. Dies gelingt in neueren Outlook-Versionen über das sogenannte Vertrauensstellungscenter (bis Outlook 2007) oder Sicherheitscenter (ab Outlook 2010). Erreicht werden können diese Einstellungen über den Weg: Datei/Optionen/Sicherheitscenter/Einstellungen für das Sicherheitscenter/E-Mail-Sicherheit. Dort kann ein Anwender festlegen, dass Standardnachrichten (und auch signierte Nachrichten) nur im Textformat angezeigt wird. Zeigt sich beim Lesen einer derart konvertierten E-Mail, dass sie im Textformat nur schwer oder überhaupt nicht lesbar ist, lassen sich die ursprünglichen Formatierungen wiederherstellen. Dies geschieht per Mausklick auf "als HTML anzeigen". Bitte nur anwenden, wenn die Nachricht aus einer verlässlichen Quellen stammt!

Wer nicht ganz auf HTML-Nachrichten verzichten will, dabei aber die Sicherheit verbessern möchte, kann im Sicherheits- oder Vertrauensstellungscenter auch den Eintrag "Automatischer Download" auswählen. Hier sind verschiedene Konfigurationen möglich, wie das Ausschalten des automatischen Bilder-Downloads in HTML-Nachrichten. Höchste Sicherheit bietet nur das Sperren aller angebotenen Optionen - seien Sie sich jedoch darüber im Klaren, dass die Nachrichten dann nicht mehr unbedingt "leserfreundlich" aussehen.

Ist vom Einsatz einer Web-Mail-Lösung grundsätzlich abzuraten?

Grundsätzlich können Web-Mail-Lösungen heute ebenso gut eingesetzt werden wie "althergebrachte" E-Mail-Lösungen auf dem Rechner. Allerdings gilt beim Einsatz von Web-Mail-Anwendungen der gleiche wie für Cloud-Dienste ganz allgemein. Wer eine Web-Mail-Lösung verwendet, muss immer ein besonderes Augenmerk auf die Client-Server-Verbindung haben (sei es auf Notebook, Tablet oder Smartphone) und die folgenden Grundsätze beachten:

• Zugriff auf Web-Mail-Konten nur und ausschließlich über SSL-Verbindungen - nie eine offene Verbindung zulassen.

• Sicherstellen, dass die Website auch schon bei der Anmeldung verschlüsselt ist - manche Seiten schalten die SSL-Verbindung erst NACH dem Verbindungsaufbau ein, wodurch der Name und das Passwort des Anwenders unverschlüsselt übertragen werden. Mit der Erweiterung HTTPS Everywhere kann man Firefox und Google Chrome dazu bringen, bei Webseiten immer eine verschlüsselte Verbindung zu verwenden - falls verfügbar.

• Kommt das Mail-Konto für geschäftliche Zwecke zum Einsatz, sollte sichergestellt sein, dass der Provider die Daten in Deutschland oder mindestens in der EU hostet.

• Wer mit seinem mobilen Client auf eine Web-Mail-Lösung oder auch auf den regulären Mail-Server zugreift, sollte dazu NIEMALS einen öffentlichen nicht verschlüsselten WLAN-Hotspot verwenden.

Ein Web-Mail-Konto eignet sich gut als "Zweit-Postfach": Wer sein eigenes "echtes" Mail-Postfach konsequent nur für die wichtige Kommunikation mit vertrauenswürdigen Absendern/Empfänger verwendet, kann ein solches (zumeist kostenloses) Zweitkonto gut dazu verwenden, um beispielsweise interessante Beiträge von Firmenseiten herunterzuladen, die zumeist die Eingabe einer E-Mail-Adresse verlangen. Auch die Teilnahme an Gewinnspielen und ähnlichen Aktivitäten wird so sicherer: Werden im Rahmen dieser Kontakte Spam-Nachrichten ausgelöst (was leider immer noch der Fall ist), landen diese nur auf dem Zweitkonto und verstopfen nicht die wirklich wichtige Adresse.

Last but not least: sichern, sichern, sichern …

Einen Ratschlag sollte jeder Anwender immer beherzigen: Sichern Sie ihre Mail regelmäßig und häufig. Heute werden sehr viele wichtigen Nachrichten und Informationen über diesen Kanal verschickt, die für den Geschäftsbetrieb wichtig sind. Geht die komplette gesammelte Mail verloren, weil beispielsweise die Festplatte im Rechner defekt ist, kann es im günstigsten Fall möglich sein, die Nachrichten mithilfe des Providers wiederherzustellen. Wer eine gehostete E-Mail-Lösung verwendet, kann sich in der Regel darauf verlassen, dass der Provider grundsätzlich entsprechende Sicherungsmaßnahmen einsetzt und so die Nachrichten wiederherstellbar sind. Kommen aber in kleinen und mittleren Betrieben oder in SOHO-Umgebungen (Small Office / Home Office) beispielsweise nur individuelle Systeme mit Outlook zum Einsatz, ist der Anwender gefordert, seine Nachrichten selbst zu sichern.

Die einfachste Möglichkeit der Sicherung besteht beim Einsatz von Microsoft Outlook darin, die zentrale Datenbank des Mail-Programms regelmäßig in einer Sicherungskopie abzulegen. Bei dieser PST-Datei (Personal Store) handelt es um ein proprietäres Dateiformat von Microsoft. Es enthält nicht nur die Nachrichten, sondern auch die Kontakte, Notizen und Kalenderdaten, die der Anwender in Outlook gespeichert hat. Während diese Datei bei früheren Outlook-Versionen in den Ordnern des Benutzerprofils zu finden war, wird sie heute standardmäßig unter dem Pfad C:\Benutzer\(Benutzername)eigene Dokumente\Outlook-Dateien abgelegt und kann von dort einfach kopiert werden. Thunderbird verwendet mehrere Dateien, die bei Windows 7 unter dem Pfad C:\Benutzer\(Benutzername)\AppData\Roaming\Thunderbird\Profiles zu finden sind. Auch diese Dateien können von dort kopiert und gesichert werden.

Praxis-Tipp: Sichern ist eine lästige Aufgabe, die man sich so einfach wie möglich gestalten sollte. Deshalb ist es sinnvoll, auf eine der vielen Free- und Shareware-Lösungen zurückzugreifen, die diese Aufgabe deutlich erleichtern können. So hat sich bei uns unter anderem die Lösung MailStore Home bewährt, die für den privaten Bereich kostenlos ist und sowohl mit den verschiedenen Outlook-Versionen als auch mit Thunderbird und Web-Mail-Lösungen zusammenarbeitet. Wer nur mit Mozilla-Tools arbeitet, sollte einen Blick auf MozBackup werfen, eine Open-Source-Lösung, die dann auch noch die Daten des Firefox-Browsers mitsichert.

Auf jeden Fall darf eine regelmäßige Sicherung der E-Mail-Daten nicht vernachlässig werden und sollte fester Bestandteil eines jeden Sicherheitskonzept rund um die elektronischen Nachrichten sein. (mec)

Dieser Beitrag basiert auf einem Artikel von Computerwoche.