40 Jahre E-Mail

E-Mail-Betrug wird immer besser - so schützen Sie sich

Stand
Interview mit
Professorin Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO am KIT
Das Gespräch führte
Stefan Troendle
Onlinefassung
Lilly Zerbst
Portraitbild der Reporterin Lilly Zerbst.

Wie man schädliche E-Mails erkennen und sich schützen kann, erklärt Cybersecurity-Professorin Melanie Volkamer anhand von 5 Tipps im Gespräch mit dem SWR Wissensmagazin "Impuls".

Vor genau 40 Jahren landete die allererste E-Mail in Deutschland. Eine einfache, unscheinbare Nachricht und der Grundstein für eine Revolution in unserer Kommunikation. Aber wie sieht die E-Mail der Zukunft aus?

Welche Technologien werden gerade entwickelt, um unsere Daten sicherer zu machen? Und wie können wir uns vor Phishing Attacken und vor Spam Mails schützen? Ein Gespräch mit Professorin Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO (Security, Usability und Society) am Karlsruher Institut für Technologie (KIT).

Tipp 1: E-Mails verschlüsseln und signieren

Stefean Troendle, SWR Wissensmagazin "Impuls": Mails sind ja inzwischen auch das Haupteinfallstor für Kriminelle. Ein Beispiel sind gefälschte Bestätigungen von Paketdiensten. Welche generellen Strategien gibt es gegen sowas? 

Melanie Volkamer, Professorin im Bereich Cybersecurity am KIT: Einerseits gibt es die Spamfilter, die Teil der E-Mail-Server sind. Immer wenn eine E-Mail reinkommt, überprüfen die, ob das bereits bekannter Spam oder eine bekannte Phishing-E-Mail ist. Und wenn das der Fall ist, wird die gar nicht erst zugestellt.  

Dann gibt es noch andere Technologien: E-Mails können verschlüsselt oder signiert werden, dann ist es für den Angreifer deutlich aufwendiger, insbesondere vorzugeben der Paketdienst zu sein, weil er eben nicht die Möglichkeit hat, die E-Mail im Namen des Paketdienstes zu signieren. 

Stift und Brief - Eine Signatur in einer E-Mail zu fälschen ist für einen Angreifer deutlich schwieriger.
Eine Signatur in einer E-Mail zu fälschen ist für einen Angreifer deutlich schwieriger. Eine Signatur ist daher auch ein Schutz vor Betrug.

Spam-Filter sollen mit Künstlicher Intelligenz besser werden

Impuls: Wie ist es denn möglich, Spamfilter noch sicherer zu machen?

Melanie Volkamer: Die werden immer besser gemacht, aber sie reagieren quasi auf das, was die Angreifer machen. Das heißt, die Angreifer überlegen sich neue Strategien und dann wird der Spamfilter entsprechend angepasst. Zum Beispiel wird da auch künstliche Intelligenz eingesetzt. Das heißt, man versucht auch zu erahnen, wie die nächste Spam-E-Mail oder die nächste Phishing-E-Mail aussehen könnte.  

Aber man kann es nicht hundertprozentig sagen und dadurch hängt man immer so ein Stück weit hinter den Angreifern hinterher. Es lässt sich einfach nicht vermeiden, dass auch die ein oder andere Spam oder Phishing-E-Mail in der Inbox der Nutzenden landet. 

Passwort-Eingabe im Computer-Code - Angreifer geraten durch Phishing E-Mails an sensible Daten und Passwörter.
Angreifer geraten durch Phishing E-Mails an sensible Daten und Passwörter.

Tipp 2: Vorsicht vor personalisiertem E-Mail-Betrug

Impuls: Früher war das der Reiche Prinz aus Nigeria. Was ist denn momentan gerade so angesagt?

Melanie Volkamer: Insgesamt muss man einfach sagen, dass die Phishing E-Mails immer besser werden. Früher war es der Prinz von irgendwo, der Geld zu verschenken hatte. Aber man hat auch die E-Mail einfach daran erkannt, dass sie Grammatikfehler hatte, dass sie einfach insgesamt in einem schlechten Deutsch ist, dass sie keine persönliche Anrede hatte. All das wird weniger, weil die Angreifer sich eben auch an künstlicher Intelligenz bedienen.  

Die Angreifer scrollen im Internet - welche E-Mail-Adressen finden Sie dort oder welche Konstellationen? Zum Beispiel in meinem Fall, wer sind meine Mitarbeiter? Das findet man ja alles auf der Webseite. Dann können sie sehr zielgerichtete E-Mails schreiben, so dass es rein was den Inhalt angeht nicht mehr möglich ist, zu sagen, ist es jetzt die E-Mail eines Angreifers oder die E-Mail von einem Mitarbeiter. 

Phishing E-Mail auf Handy - Eine Phishing E-Mail gibt vor, das Bank-Konto zu sperren.
Eine Phishing E-Mail gibt vor, das Bank-Konto zu sperren. Zu erkennen ist der Betrug unter anderem am harten Tonfall und der unpersönlichen Anrede. Doch die Mails werden immer besser.

Tipp 3: Linktext und Webadressen in E-Mails überprüfen

Impuls: Wie werden sich E-Mails denn in Zukunft entwickeln? Müssen wir alles verschlüsseln?

Melanie Volkamer: Ich glaube, es wird nicht funktionieren, dass wir alles verschlüsseln. Was wir vor allem bräuchten, wäre, die E-Mails zu signieren, weil die Tools dafür im Moment nicht benutzbar genug sind. Da forschen wir auch dran, aber da ist einfach noch viel zu tun. 

Insgesamt brauchen wir einerseits mehr Sensibilisierung, dass die Menschen wissen, worauf sie jetzt achten sollen, weil sie eben nicht mehr auf den Inhalt achten können. Sondern mehr Sensibilisierung wenn es um den Link geht, den man anklicken soll - dass es um die Webadresse oder URL hinter dem Link geht.  

Aber auch, dass die E-Mail-Programme verbessert werden, sodass es den Menschen einfacher gemacht wird zu entscheiden, ob etwas eine Phishing-E-Mail ist oder nicht, weil die relevanten Sicherheitsindikatoren entsprechend hervorgehoben werden. 

Tipp 4: HTTPS sind keine Sicherheitsgarantie für Links in E-Mails

Impuls: Für Internetkäufe gibt es ja beispielsweise HTTPS für sichere Webseiten. Dort kann man dann zumindest mal schauen, dass es so eine gewisse Sicherheitsgarantie gibt. Gibt es denn solche Sicherheitszertifikate auch für E-Mails?

Melanie Volkamer: Das ist zum Beispiel auch einer der Trugschlüsse, weswegen wir dringend gute Sensibilisierungsmaßnahmen brauchen. Denn nur weil da HTTPS steht, heißt das eben nicht, dass es kein Link zu einer Phishing Seite ist. Das heißt lediglich, dass zu der Webseite, mit der man sich verbindet, die Verbindung sicher sein wird. Aber wenn das eine sichere Verbindung zur Phishing Seite ist, bringt mir das nichts.

Tipp 5: Vorsicht bei E-Mail mit Dateianhang - Makros in Word unterbinden

Impuls: Eine Riesengefahr auch im Bezug auf Schadsoftware sind Dateianhänge. Welche Möglichkeit für mehr Sicherheit gibt es da? 

Melanie Volkamer: Wir sagen einerseits für sowohl die Mailserver als auch für die Empfänger, dass man alles, was man nicht kennt als Typ schon mal gleich ignorieren sollte. Denn da werden einfach neue, ich sag mal ‘Dateitypen’ verwendet, in denen man besonders gut Schadsoftware integrieren kann.

Dann ist es aber oft auch so, dass man ja im Arbeitsalltag Word-Dokumente geschickt bekommt. Und da ist die größte Gefahr, dass in dem Word-Dokument sogenannte Makros integriert sind und die Makros dann im Fall eines Angriffs Schadsoftware ausführen. 

Makros sind kleine Programme. Man sieht dem Word Dokument am Anhang in der Regel zwar an, dass es ein Makro hat. Viel wichtiger ist aber, dass man in seiner Microsoft Word Umgebung sichergestellt hat, dass Makros gar nicht erst ausgeführt werden. Das verhindert, dass der Angriff ausgeführt werden kann. Dann kann man in Anführungszeichen die Datei öffnen, aber es passiert nichts, weil dieses Makro des Angreifers am Rechner gar nicht ausgeführt wird. 

Mehr zu E-Mail und Sicherheit:

Vor 40 Jahren Wie die erste E-Mail nach Deutschland kam

Die E-Mail ist eines der wichtigsten Kommunikationsmittel – doch dafür wurde sie ursprünglich nicht entwickelt. Auch darum ist es schwer, sie sicher zu machen, erklären Fachleute.

Impuls SWR Kultur

Deutschland

Von Paypal, Ebay & Co 5 Tipps, wie sich Phishing-Mails erkennen lassen

Das Paypal-Konto wurde gesperrt? Immer wieder tauchen E-Mails auf, die auf den ersten Blick echt aussehen. Doch dabei handelt es sich um Phishing-Mails. Hier erfährst du, woran du diese Mails erkennst.

Stand
Interview mit
Professorin Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO am KIT
Das Gespräch führte
Stefan Troendle
Onlinefassung
Lilly Zerbst
Portraitbild der Reporterin Lilly Zerbst.