Vor genau 40 Jahren landete die allererste E-Mail in Deutschland. Eine einfache, unscheinbare Nachricht und der Grundstein für eine Revolution in unserer Kommunikation. Aber wie sieht die E-Mail der Zukunft aus?
Welche Technologien werden gerade entwickelt, um unsere Daten sicherer zu machen? Und wie können wir uns vor Phishing Attacken und vor Spam Mails schützen? Ein Gespräch mit Professorin Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO (Security, Usability und Society) am Karlsruher Institut für Technologie (KIT).
- Tipp 1: E-Mails verschlüsseln und signieren
- Tipp 2: Vorsicht vor personalisiertem E-Mail-Betrug
- Tipp 3: Linktext und Webadressen überprüfen
- Tipp 4: HTTPS sind keine Sicherheitsgarantie für Links in E-Mails
- Tipp 5:Vorsicht bei E-Mail mit Dateianhang - Makros in Word unterbinden
Tipp 1: E-Mails verschlüsseln und signieren
Stefean Troendle, SWR Wissensmagazin "Impuls": Mails sind ja inzwischen auch das Haupteinfallstor für Kriminelle. Ein Beispiel sind gefälschte Bestätigungen von Paketdiensten. Welche generellen Strategien gibt es gegen sowas?
Melanie Volkamer, Professorin im Bereich Cybersecurity am KIT: Einerseits gibt es die Spamfilter, die Teil der E-Mail-Server sind. Immer wenn eine E-Mail reinkommt, überprüfen die, ob das bereits bekannter Spam oder eine bekannte Phishing-E-Mail ist. Und wenn das der Fall ist, wird die gar nicht erst zugestellt.
Dann gibt es noch andere Technologien: E-Mails können verschlüsselt oder signiert werden, dann ist es für den Angreifer deutlich aufwendiger, insbesondere vorzugeben der Paketdienst zu sein, weil er eben nicht die Möglichkeit hat, die E-Mail im Namen des Paketdienstes zu signieren.
Spam-Filter sollen mit Künstlicher Intelligenz besser werden
Impuls: Wie ist es denn möglich, Spamfilter noch sicherer zu machen?
Melanie Volkamer: Die werden immer besser gemacht, aber sie reagieren quasi auf das, was die Angreifer machen. Das heißt, die Angreifer überlegen sich neue Strategien und dann wird der Spamfilter entsprechend angepasst. Zum Beispiel wird da auch künstliche Intelligenz eingesetzt. Das heißt, man versucht auch zu erahnen, wie die nächste Spam-E-Mail oder die nächste Phishing-E-Mail aussehen könnte.
Aber man kann es nicht hundertprozentig sagen und dadurch hängt man immer so ein Stück weit hinter den Angreifern hinterher. Es lässt sich einfach nicht vermeiden, dass auch die ein oder andere Spam oder Phishing-E-Mail in der Inbox der Nutzenden landet.
Tipp 2: Vorsicht vor personalisiertem E-Mail-Betrug
Impuls: Früher war das der Reiche Prinz aus Nigeria. Was ist denn momentan gerade so angesagt?
Melanie Volkamer: Insgesamt muss man einfach sagen, dass die Phishing E-Mails immer besser werden. Früher war es der Prinz von irgendwo, der Geld zu verschenken hatte. Aber man hat auch die E-Mail einfach daran erkannt, dass sie Grammatikfehler hatte, dass sie einfach insgesamt in einem schlechten Deutsch ist, dass sie keine persönliche Anrede hatte. All das wird weniger, weil die Angreifer sich eben auch an künstlicher Intelligenz bedienen.
Die Angreifer scrollen im Internet - welche E-Mail-Adressen finden Sie dort oder welche Konstellationen? Zum Beispiel in meinem Fall, wer sind meine Mitarbeiter? Das findet man ja alles auf der Webseite. Dann können sie sehr zielgerichtete E-Mails schreiben, so dass es rein was den Inhalt angeht nicht mehr möglich ist, zu sagen, ist es jetzt die E-Mail eines Angreifers oder die E-Mail von einem Mitarbeiter.
Tipp 3: Linktext und Webadressen in E-Mails überprüfen
Impuls: Wie werden sich E-Mails denn in Zukunft entwickeln? Müssen wir alles verschlüsseln?
Melanie Volkamer: Ich glaube, es wird nicht funktionieren, dass wir alles verschlüsseln. Was wir vor allem bräuchten, wäre, die E-Mails zu signieren, weil die Tools dafür im Moment nicht benutzbar genug sind. Da forschen wir auch dran, aber da ist einfach noch viel zu tun.
Insgesamt brauchen wir einerseits mehr Sensibilisierung, dass die Menschen wissen, worauf sie jetzt achten sollen, weil sie eben nicht mehr auf den Inhalt achten können. Sondern mehr Sensibilisierung wenn es um den Link geht, den man anklicken soll - dass es um die Webadresse oder URL hinter dem Link geht.
Aber auch, dass die E-Mail-Programme verbessert werden, sodass es den Menschen einfacher gemacht wird zu entscheiden, ob etwas eine Phishing-E-Mail ist oder nicht, weil die relevanten Sicherheitsindikatoren entsprechend hervorgehoben werden.
Tipp 4: HTTPS sind keine Sicherheitsgarantie für Links in E-Mails
Impuls: Für Internetkäufe gibt es ja beispielsweise HTTPS für sichere Webseiten. Dort kann man dann zumindest mal schauen, dass es so eine gewisse Sicherheitsgarantie gibt. Gibt es denn solche Sicherheitszertifikate auch für E-Mails?
Melanie Volkamer: Das ist zum Beispiel auch einer der Trugschlüsse, weswegen wir dringend gute Sensibilisierungsmaßnahmen brauchen. Denn nur weil da HTTPS steht, heißt das eben nicht, dass es kein Link zu einer Phishing Seite ist. Das heißt lediglich, dass zu der Webseite, mit der man sich verbindet, die Verbindung sicher sein wird. Aber wenn das eine sichere Verbindung zur Phishing Seite ist, bringt mir das nichts.
Tipp 5: Vorsicht bei E-Mail mit Dateianhang - Makros in Word unterbinden
Impuls: Eine Riesengefahr auch im Bezug auf Schadsoftware sind Dateianhänge. Welche Möglichkeit für mehr Sicherheit gibt es da?
Melanie Volkamer: Wir sagen einerseits für sowohl die Mailserver als auch für die Empfänger, dass man alles, was man nicht kennt als Typ schon mal gleich ignorieren sollte. Denn da werden einfach neue, ich sag mal ‘Dateitypen’ verwendet, in denen man besonders gut Schadsoftware integrieren kann.
Dann ist es aber oft auch so, dass man ja im Arbeitsalltag Word-Dokumente geschickt bekommt. Und da ist die größte Gefahr, dass in dem Word-Dokument sogenannte Makros integriert sind und die Makros dann im Fall eines Angriffs Schadsoftware ausführen.
Makros sind kleine Programme. Man sieht dem Word Dokument am Anhang in der Regel zwar an, dass es ein Makro hat. Viel wichtiger ist aber, dass man in seiner Microsoft Word Umgebung sichergestellt hat, dass Makros gar nicht erst ausgeführt werden. Das verhindert, dass der Angriff ausgeführt werden kann. Dann kann man in Anführungszeichen die Datei öffnen, aber es passiert nichts, weil dieses Makro des Angreifers am Rechner gar nicht ausgeführt wird.