Die 3 größten Mythen der E-Mail-Sicherheit

Und was ihr dagegen tun könnt

26/2/2022
IT-Security
Die 3 größten Mythen der E-Mail-Sicherheit

Die 3 größten Mythen der E-Mail-Sicherheit

Pro Tag werden weltweit aktuell rund 300 Milliarden E-Mails verschickt. Das sind 300 Milliarden potenzielle Risikosituationen für Privatpersonen und Unternehmen. Doch weil wir tagtäglich mit E-Mails zu tun haben, fühlen wir uns im Umgang mit ihnen recht sicher. Phishing erkennen? Kein Problem! Es reicht, verdächtige Anhänge nicht zu öffnen? Aber ja! Wir räumen auf mit den drei größten Mythen der E-Mail-Sicherheit, denen wir im Arbeitsalltag unterliegen.

Wie viele E-Mail-Adressen habt ihr? Wir schätzen: mindestens drei Stück. Eine für die Arbeit, eine E-Mail für seriösen, privaten Austausch und eine E-Mail für alles nicht so Wichtige, zum Beispiel Anmeldungen in Onlineshops, in denen ihr nur einmal bestellen werdet. Was ihr im Privatleben gut steuern könnt, ist im Arbeitskontext nur selten möglich. Eure Job-Mail-Adresse kommt fast überall zum Einsatz – und taucht damit eher früher als später auch in Verteilern von Cyberkriminellen auf.

Und diese nehmen sie dankbar an, sind doch Unternehmen attraktive Ziele für Cyberattacken. Deshalb ist es wenig überraschend, dass E-Mails eines der häufigsten Einfallstore sind, über die die aufwendigen Sicherheitssysteme von Unternehmen ausgehebelt werden. Genauso wenig überraschend dürfte es sein, dass sich professionelle Cyberkriminelle wesentlich schlauer anstellen als der ausländische Anwalt, der deine Kontodaten haben möchte, um dir das Erbe eines kürzlich verstorbenen entfernten Verwandten zu überweisen. Deshalb: Let’s talk E-Mail-Sicherheit und lasst uns mit den größten Mythen aufräumen.

Mythos 1: Wenn ich eine E-Mail nur anschaue und keine Anhänge öffne, passiert nichts! 

Ja, Cyberkriminelle mögen Anhänge. Unser Partner für E-Mail Sicherheit Hornetsecurity hat mit einem Blick auf die eigenen Zahlen herausgefunden, dass zum Beispiel Archivdateien, also komprimierte Anhänge, besonders beliebt sind. Hinzu kommen die klassischen, bei Unternehmen sehr beliebten Dateien, z. B. Excel-, Word- und PowerPoint-Dateien mit Makros, in denen sich Malware versteckt. Auch PDFs erfreuen sich noch immer zum Verbreiten schädlicher Links besonderer Beliebtheit. Doch noch häufiger kommen im HTML-Code der E-Mail versteckte Codes zum Einsatz, die allein durch das Öffnen der E-Mail auf dem Computer des Anwenders ausgeführt werden. Dies kann im schlimmsten Fall zum Download von Malware führen. Deshalb gilt: Nicht nur keine Dateianhänge öffnen, sondern auch die automatische Anzeige der E-Mail im HTML-Format deaktivieren!

Abbildung 1 - Verteilung schädlicher E-Mail-Anhänge pro Woche im ersten Halbjahr 2021 (Quelle: Cyberthreat Report)

Mythos 2: Ich erkenne Phishing-Mails drei Meter gegen den Wind!

Mit Blick auf das Chaos, das Verschlüsselungstrojaner in 2021 verursacht haben, bleibt eigentlich nur zu sagen: Schön wär’s. Phishing-Mails sind und bleiben beliebt, doch der Trick, den Nutzer mit vermeintlich verfänglichen Website-Besuchen und Videos zu erpressen, ist mittlerweile fast ein alter Hut. Immer beliebter – und leider auch immer erfolgreicher – wird Phishing via „Brand Impersonation“. Bedeutet: Nutzer bekommen eine E-Mail einer bekannten Marke und sollen zu Sicherheits- oder Authentifizierungszwecken auf einer Website ebenselbiger sensible Daten eingeben. Dahinter verbirgt sich jedoch nicht das bekannte Unternehmen, sondern Cyberkriminelle. Besonders häufig betroffen sind Amazon, die Deutsche Post und DHL oder auch Paypal. 

Das wirksamste Mittel ist hier: genauestens hinschauen! Ist der Absender Amazon oder Amaz0n? Zeigt die Link-Vorschau wirklich einen dhl.de/...-Link an oder doch eher bit.ly? Ist eine korrekte Anrede vorhanden? Und für die Grammatikexperten unter euch: Passen Formatierung, Rechtschreibung und Kommata? Solltet ihr Zweifel haben: nichts klicken, keinen Anhang öffnen und nach einer Information an die eigene IT direkt als Phishing-Mail markieren.

Abbildung 2 Beispiel einer Phishing-Mail mit Brand Impersonation (Quelle: Cyberthreat Report)

Übrigens: Trudelt eine E-Mail ein, in denen eine Abmeldung von einem Newsletter oder Verteiler möglich ist, dann ist das meistens nicht nur Spam, sondern häufig auch Phishing. Deshalb gilt auch hier: nicht auf den Abmeldelink klicken.

Mythos 3: Steht im Absenderfeld ein glaubwürdiger Name, ist die E-Mail sicher!

Leider lassen sich die angezeigten Namen und Organisationen eines Absenders mittlerweile sehr leicht fälschen. Deshalb ist es wichtig, zu prüfen, wer der tatsächliche Absender ist. Legt man den Mauszeiger über den Namen wird meist die E-Mail-Adresse angezeigt, von der die E-Mail abgeschickt wurde. Noch sicherer ist es, die E-Mail mit einem Doppelklick auf die Nachricht außerhalb des Lesebereichs zu öffnen und dann auf Datei > Eigenschaften zu gehen. Unter „received from“ wird die tatsächliche Absender-Mail-Adresse zu finden sein.

Was alle drei Mythen eint: Leider ist der Mensch meistens die Schwachstelle, wenn es um IT-Sicherheit geht. Deshalb sind Unternehmen gut beraten, in die Sensibilisierung und Aufklärung ihrer Mitarbeitenden und in die IT-Sicherheit des Unternehmens zu investieren. Mehr dazu und weiteren Ansatzpunkten für mehr IT-Sicherheit gibt es übrigens hier: IT-Sicherheit: Vorsicht ist besser als Nachsicht.

Dein Draht zu uns

Gemeinsam mit uns mehr erreichen.

Dir gefallen unsere Produkte, Leistungen und die Sicht auf die Dinge? Dann zögere nicht und kontaktiere uns. Lass uns deine IT gemeinsam neu denken!

Deine Anfrage

Sende uns deine Anfrage und wir melden uns in Kürze.

Vielen Dank für deine Anfrage!
Wir melden uns zeitnah bei dir!
Oops! Etwas hat nicht geklappt.
Bitte versuche es noch einmal.