Phishing und E-Mail-Sicherheit

Durch die anhaltend weite Verbreitung von E-Mail-Kommunikation im dienstlichen und geschäftlichen Umfeld ist diese auch für Kriminelle sehr interessant. E-Mail-Sicherheit betrifft dabei allerdings nicht nur den Empfang von möglicherweise schädlichen oder unerwünschten E-Mails, sondern auch den Versand von eigenen E-Mails, insbesondere wenn sensible Informationen enthalten sind. Häufig werden im Zusammenhang mit schädlichen und unerwünschten E-Mails die Begriffe Spam und Phishing genutzt.

Aber Vorsicht: Auch über andere Kommunikationswege als E-Mail kann es ähnliche Angriffsversuche oder unerwünschte Nachrichten geben, sodass auch bei Messengern, in sozialen Netzwerken oder gar per Telefon ungewöhnliche Kommunikationen hinterfragt werden sollten.

  • Spam

    Als Spam bezeichnet man allgemein unerwünschte Mitteilungen, die meist massenhaft verschickt werden. Der Name stammt vom Dosenfleisch "SPAM", welches durch einen Monty Python-Sketch zu einem Synonym für "ungewollte Dinge im Überfluss" wurde. Obwohl Spam-Nachrichten über verschiedene Wege verteilt werden können, wie auch per Fax oder SMS, denkt man bei Spam meistens an E-Mails. Die Urheber*innen, auch Spammer*innen genannt, von solchen Nachrichten verschicken diese automatisiert. Meistens werden solche Nachrichten für Werbezwecke, Betrugsversuche, die Verteilung von Schadsoftware oder Phishing genutzt.

    Für Werbezwecke oder Betrugsversuche werden häufig "fantastische" und "unglaubliche" Produkte, z. B. neuartige Diät-Pillen oder Angebote, wie z. B. Methoden zum schnellen Geldverdienen, angepriesen. Mit vielen tollen Versprechungen soll der*die Empfänger*innen dazu bewegt werden, auf das Angebot einzugehen. In der Regel halten solche Produkte und Angebote aber nicht das, was sie versprechen oder sind gar nicht existent und das gezahlte Geld ist für immer verloren.

  • Phishing

    Als Phishing werden von Kriminellen speziell präparierte E-Mails oder Internetseiten bezeichnet, die darauf ausgelegt sind, Informationen für den Identitätsdiebstahl von Nutzenden zu erlangen. Häufig handelt es sich um E-Mails, die vorgeben von bekannten Unternehmen, z. B. Banken oder der Universität Münster, zu stammen und täuschend echt aussehen können. Meist wird auf ein dringendes Problem (Drohung der Löschung des Kontos, Aufforderung zur Passwortänderung, etc.) verwiesen und das sofortige Handeln der Nutzenden gefordert. Dies ist nur ein Vorwand, damit die Nutzenden übereilt eine verlinkte Internetseite besuchen oder eine mitgeschickte, schädliche Datei ausführen.

    Die verlinkten Internetseiten sind oft wie Originalinternetseiten von Unternehmen gestaltet und in der Adresszeile des Browsers taucht meist eine Adresse auf, die der echten zum Verwechseln ähnlich sieht, z. B. http://www.uni-meunster.de anstatt http://www.uni-muenster.de. Teilweise wird zusätzlich zu vermeintlichen "Sicherheitsprüfungen" oder "Aktualisierungen" die Eingabe persönlicher Daten gefordert, um weitere Informationen, wie Adresse oder Kreditkartennummer, abgreifen zu können. Sollten Sie dies tun, landen die Informationen allerdings bei den Kriminellen, die diese für ihre eigenen Zwecke missbrauchen oder weiterverkaufen.

  • Gefahren des E-Mail-Versands

    Der Versand von E-Mails verhält sich ähnlich wie die klassische Postzustellung beispielsweise einer Postkarte. Jede Person mit etwas Fachwissen kann:

    • einen Blick auf die Postkarte werfen, also mitlesen,
    • auf der Postkarte herummalen, also verändern, und
    • Postkarten unter falschem Namen absenden, also fälschen.

    Der Grund für die ersten beiden genannten Punkte ist die Tatsache, dass E-Mails von sich aus nicht verschlüsselt oder signiert sind. Jede Person, die Zugriff auf Teile des Transportwegs hat, kann den Inhalt der E-Mail lesen oder verändern. Fast alle E-Mail-Dienste bieten mittlerweile Transportverschlüsselungen für den E-Mail-Versand an, diese verschlüsseln die E-Mails aber nur bis zum Server des E-Mail-Dienstes! Wie Sie E-Mails mit sensiblen Inhalten bis zur empfangenden Person absichern (Ende-zu-Ende-Verschlüsselung), erfahren Sie hier.

    Wie bei einem Brief ist auch bei E-Mails die Überprüfung der Adressangabe bei der Zustellung nicht vorgesehen, sodass das Fälschen möglich ist. Nur beim Verschicken einer E-Mail wird diese Überprüfung teilweise durchgeführt. Der Mailserver der Universität Münster ("secmail.uni-muenster.de") nimmt beispielsweise keine E-Mails an, wenn die Adresse nicht zum Absendenden passt. Allerdings kann die Universität Münster nicht weltweit erzwingen, dass E-Mails mit "uni-muenster.de" oder "wwu.de" Adressen nur über diesen Server verschickt werden.

  • Typische Anhaltspunkte für schädliche oder unerwünschte E-Mails

    Alle E-Mail-Nutzenden kommen früher oder später mit den Begriffen Spam und Phishing in Kontakt, da solche Nachrichten größtenteils über E-Mail verschickt werden. Doch wie erkennt man Spam-, Phishing-, Betrugs- und andere gefährliche E-Mails? Dies ist oft nicht einfach, da vor allem Phishing-E-Mails immer besser gestaltet werden, sodass sie einen täuschend echten Aufbau und oft übereinstimmendes Design mit legitimen E-Mails bekannter Unternehmen haben. Es gibt einige Anhaltspunkte, auf die Sie jedoch achten sollten:

    • Adresse: Achten Sie auf plausible Absende-Adressen, die zum angeblichen Urhebenden passen, wie z. B. "...@uni-muenster.de" für E-Mails von der Universität Münster.
    • Anrede: Die meisten Unternehmen werden in der Anrede Ihren richtigen Namen verwenden. In gefälschten Nachrichten werden häufig allgemeingültige Anreden verwendet, wie z.B. "Lieber Kunde", "Sehr geehrter ...-Kunde" oder einfach "Guten Tag".
    • Dringlichkeit/Drohungen: Die meisten Phishing-Versuche zeichnen sich durch Aufforderungen zu sofortigem Handeln, wie das sofortige Einloggen auf einer Internetseite oder das Überprüfen einer Rechnung, aus. Häufig wird mit angeblichen Konsequenzen (z. B. Sperrung des Zugangs oder Abbuchung hoher Geldsummen) gedroht, falls Sie zu lange warten. Die meisten legitimen Unternehmen werden sich bei dringenden Belangen per Post oder telefonisch an Sie wenden.
    • Angebote/Gewinne: In Spam-Nachrichten für Werbe- oder Betrugszwecke werden häufig tolle Angebote gemacht und hohe Gewinne versprochen. Sollte eine E-Mail solche Angebote oder eine Vielzahl an Werbung enthalten, sollten Sie misstrauisch werden und nicht darauf eingehen.
    • Links: Ein weiteres Merkmal von betrügerischen E-Mails sind kryptisch aussehende oder zum Verwechseln ähnliche Links, z. B. "uni-meunster.de" oder "uni-muenster.de.com" anstatt "uni-muenster.de". Häufig werden solche Links hinter Texten/Knöpfen versteckt. Nehmen Sie den ganzen Link im Tooltip genau unter die Lupe und prüfen die Plausibilität, wenn Sie mit dem Mauszeiger darauf zeigen.
    • Digitale Signaturen: E-Mails mit einer korrekten digitalen Signatur werden in den meisten E-Mail-Anwendungen durch ein Siegel an der Nachricht angezeigt. Da betrügerische E-Mails häufig unter falschen Absendeadressen verschickt werden, besitzen diese in der Regel keine gültige digitale Signatur. Da die Verwendung noch relativ beschränkt ist, werden allerdings die meisten E-Mails sowieso noch unsigniert versendet.
    • Grammatik/Rechtschreibung: Texte aus betrügerischen E-Mails werden häufig mit Hilfe von Übersetzungstools generiert, so dass gehäuft die Grammatik und Rechtschreibung nicht stimmt.

    Auf unserer Checkliste: Betrügerische E-Mails erkennen sind noch einmal alle wichtigen Punkte zusammengefasst, an denen Sie erkennen können, ob es sich um eine Phishing- oder andere schädliche E-Mail handelt. Wenn mehrere dieser Anhaltspunkte auf eine E-Mail zutreffen, handelt es sich wahrscheinlich um eine betrügerische Nachricht. Falls diese einen konkreten Bezug zur Universität Münster hat, melden Sie die E-Mail ansonsten löschen Sie diese einfach!