Staffnet

Suche

Sicherer Umgang mit E-Mails

Phishing-Mails, Betrugsmails, Mails mit Schadprogrammen: Bleiben Sie wachsam!

Wissenswertes

Keine Vertraulichkeit

In Sachen Diskretion, Vertraulichkeit und Sicherheit gleicht eine E-Mail einer Postkarte. Wie bei der Postkarte kann potenziell jede und jeder, die oder der Zugriff auf den ?Postweg? zwischen Ihnen und der Zielmailbox hat, empfangene oder gesendete E-Mails mitlesen.

Deshalb geh?ren vertrauliche Daten auf keinen Fall in eine E-Mail, die nicht explizit abgesichert ist.

Malware in E-Mails

Malware-E-Mails sind E-Mails mit Anh?ngen, die Schadprogramme enthalten. Malware ist oftmals versteckt in Zip-, PDF- oder DOC-Dateien.

Phishing: Passwort-Diebstahl   

Diese E-Mails sehen fast aus wie Nachrichten von der ETH oder anderen vertrauensw¨¹rdigen Partnern. In der E-Mail enthaltene Links f¨¹hren dann aber auf ein Plagiat der originalen Website, wo versucht wird, Ihre Login-Daten zu stehlen.

Scam- oder Fraud-E-Mails: Betrug

Mit solchen E-Mails versuchen Angreifende, sich einen finanziellen Vorteil zu verschaffen.

Das Opfer erh?lt eine E-Mail, angeblich von einer vorgesetzten Stelle oder einem/einer VIP. In der E-Mail wird das Opfer gebeten, sich dringlich um einen ?Notfall?, eine Ausnahmesituation, zu k¨¹mmern und beispielsweise schnell gewisse Betr?ge zu ¨¹berweisen, Zugriffsrechte zu erteilen oder Informationen zur Verf¨¹gung zu stellen.

Aufgrund des aufgebauten Drucks durch die/den vermeintliche/n Vorgesetzte/n vers?umen es die Betroffenen h?ufig, den Auftrag kritisch zu hinterfragen, ob die Absendeadresse korrekt und der Auftrag plausibel ist.

Mail-Spoofing. Gef?lschte Absendeadressen

Es ist nicht schwierig, Absendeadressen von E-Mails zu f?lschen, um dann - angeblich im Namen des vorget?uschten Absenders - Betrugsversuche zu starten. Sei es ¨¹ber Scam-Mails oder Phishing, sei es ¨¹ber den Versand von Anh?ngen mit Schadsoftware.
Manchmal sehen die gef?lschten Absendeadressen t?uschend echt aus.  

Bei der Verschl¨¹sselung von E-Mails gilt es zwei Verfahren zu unterscheiden:

Opportunistische Transportverschl¨¹sselung

Die opportunistische Transportverschl¨¹sselung erfolgt automatisch ohne Zutun des Benutzers und verschl¨¹sselt die E-Mail jeweils w?hrend des Transports zwischen zwei Mailservern, sofern Sender- und Empf?ngerseite dies unterst¨¹tzen.

Transportverschl¨¹sselung ist heutzutage sehr verbreitet. Allerdings k?nnen Benutzende in den meisten F?llen nicht wissen, ob f¨¹r ihre E-Mails Transportverschl¨¹sselung zum Einsatz kommt.

Selbst wenn dies in Ausnahmef?llen bekannt ist, bleibt immer noch die Einschr?nkung, dass die E-Mails zwar w?hrend des Transports verschl¨¹sselt sind, auf den E-Mail-Servern der Sende- und Empf?ngerseite aber unverschl¨¹sselt abgelegt werden.  

Ende-zu-Ende-Verschl¨¹sselung

Die Ende-zu-Ende-Verschl¨¹sselung erfolgt in Ihrem E-Mail-Programm mit dem ?ffentlichen Schl¨¹ssel des Empf?ngers. Nur dieser kann die E-Mail mit seinem privaten Schl¨¹ssel wieder entschl¨¹sseln.

Auf dem gesamten Transportweg von Ihrem E-Mail-Client zu dem des Empf?ngers sowie bei der Ablage auf den E-Mail-Servern kann niemand Einsicht nehmen.  

Digitale Zertifikate

Ein Digitales Zertifikat ist mit einem Ausweis vergleichbar, beispielsweise mit einem Firmenausweis oder einem Mitgliedsausweis f¨¹r einen Sportclub. Es gibt auch Digitale Zertifikate, die aufgrund ihrer h?heren Sicherheitsstufe f¨¹r rechtlich verbindliche Transaktionen eingesetzt werden k?nnen.

Digitale Zertifikate k?nnen zur Identifikation von Benutzenden, aber auch zur Identifikation von Servern, Endger?ten oder Software ausgestellt werden. Im Kontext von E-Mail-Zertifikaten geht es ausschliesslich um Benutzerzertifikate.

Aufbau Digitaler Zertifikate

Grunds?tzlich stellt ein Digitales Zertifikat Informationen ¨¹ber eine Identit?t zur Verf¨¹gung. Diese Informationen werden vor Ausstellung des Zertifikats durch den Herausausgeber ¨¹berpr¨¹ft und formal best?tigt. Unterschiedliche Sicherheitsstufen von Zertifikaten erfordern dabei auch unterschiedlich aufwendige Formalit?ten bei der initialen ?berpr¨¹fung der Identit?t des Antragsstellers oder der Antragstellerin.  Je h?her die Sicherheitsstufe eines Zertifikats, desto weitreichender die Einsatzm?glichkeiten.   

Jedes Digitale Zertifikat besteht aus ?ffentlichen und geheimen Informationen. Der ?ffentliche Teil enth?lt alle Informationen, die Dritten zug?nglich sein m¨¹ssen, um die Identit?t eines Benutzers oder einer Benutzerin zu ¨¹berpr¨¹fen, wie beispielsweise e-Mail-Adresse, Name des Eigent¨¹mers oder der Eigent¨¹merin und Ablaufdatum des Zertifikats. Der private Schl¨¹ssel, der zu jedem Zertifikat geh?rt, ist geheim.

Absicherung des E-Mail-Verkehrs mit Digitalen Zertifikaten

Der Austausch von E-Mails kann mit E-Mail-Zertifikaten abgesichert werden. Diese Digitalen Benutzerzertifikate k?nnen ?hnlich wie ein Siegel verwendet werden, um den Absender oder die Absenderin einer E-Mail zu verifizieren. Bei einer Mail, die mit einem g¨¹ltigen Zertifikat signiert wurde, k?nnen die Empf?nger sicher sein, dass sie vom Besitzer, bzw. von der Besitzerin des Zertifikats versendet wurde und dass sie inhaltlich unver?ndert ausgeliefert wurde. Dar¨¹ber hinaus k?nnen die Zertifikate auch f¨¹r die Verschl¨¹sselung von Transport und Ablage von E-Mails verwendet werden.   

Die beiden wesentlichen Sicherheitsfunktionen von E-Mail-Zertifikaten sind:  

Digitales Signieren

Die E-Mail wird "besiegelt". Eine g¨¹ltige Digitale Signatur ist mit einem ungebrochenen Siegel vergleichbar.

  • Die Absenderin, bzw. der Absender ist die Besitzerin, bzw. der Besitzer des Zertifikats, die Mail ist echt.
  • Die Mail ist inhaltlich unver?ndert an die Empf?nger-Mailbox ausgeliefert worden, sie ist unverf?lscht.

Signierte E-Mails tragen wesentlich zum Schutz vor Phishing- und Fraud-Mails bei, insbesondere wenn E-Mails routinem?ssig signiert werden und Empf?nger auf die Signaturen achten. Denn dann sind sie alarmiert, wenn sie eine unsignierte Mail erhalten, die angeblich von ihrer oder ihrem Vorgesetzten stammt und sie aufgefordert werden, dringend und an allen ¨¹blichen Prozessen vorbei, Gutscheine eines Online-Stores zu kaufen oder andere finanzielle Transaktionen auszul?sen.

Ende-zu-Ende-Verschl¨¹sselung

Verf¨¹gen Sende- und Empf?ngerseite ¨¹ber E-Mail-Zertifikate und haben sie die ?ffentlichen Schl¨¹ssel ihrer Zertifikate ausgetauscht, k?nnen sie ihren E-Mail-Verkehr verschl¨¹sseln. So gesicherte Mails k?nnen nur mit Hilfe der privaten Schl¨¹ssel der Beteiligten gelesen werden. Werden die privaten Schl¨¹ssel sicher verwahrt, ist also praktisch ausgeschlossen, dass solche Mails durch Unbefugte eingesehen werden k?nnen.   

E-Mail-Zertifikate sicher verwalten

?hnlich wie Siegel oder Identit?tskarten, d¨¹rfen die privaten Schl¨¹ssel der Zertifikate nicht in unbefugte H?nde geraten oder verloren gehen. Sie m¨¹ssen sicher verwaltet werden. Die Informatikdienste bieten mit einen Service zum Bezug und f¨¹r die sichere Verwaltung von E-Mail-Zertifikaten (Public Key Infrastructure, PKI) an. Im Angebot sind pers?nliche Zertifikate und Zertifikate f¨¹r Gruppenmailboxen.

E-Mails sicher senden

  • Signieren Sie Ihre E-Mails mit einem Digitalen Zertifikat.
  • ?berpr¨¹fen Sie die Empf?ngerliste vor dem Klick auf den Sendeknopf.
  • Seien Sie sich bewusst: Nach dem Absenden haben Sie keine Kontrolle mehr ¨¹ber Ihre E-Mails. Sie wissen nicht, ob sie kopiert und/oder weitergeleitet werden.
  • Nutzen Sie bei mehreren Empf?ngern das Adressfeld ?BCC? (englisch f¨¹r Blind Carbon Copy, deutsch Blindkopie) statt ?CC?, wenn die restlichen Empf?ngeradressen nicht f¨¹r alle sichtbar sein sollen.
  • Leiten Sie keine Kettenmails weiter.

Vertrauliche Informationen d¨¹rfen nur per E-Mail versendet werden, wenn sie verschl¨¹s?selt ¨¹bermittelt werden. Daf¨¹r gibt es unterschiedliche M?glichkeiten:

  • Versenden Sie vertrauliche Informationen in einem Passwort-gesch¨¹tzten ZIP-Archiv als Anhang zur eigentlichen E-Mail.
    ?bermitteln Sie das Password ¨¹ber einen anderen Kanal, z.B. per SMS.
  • Falls Sie und der Empf?nger bzw. die Empf?ngerin ein Zertifikat zur E-Mail-Versch¨¹sselung besitzen, nutzen Sie diese f¨¹r eine ?Ende-zu-Ende-Verschl¨¹sselung?.
  • Wenn Sie sicher sind, dass die Transportverbindung zum Zielsystem verschl¨¹sselt ist und ihnen die Transportverschl¨¹sselung ausreicht, k?nnen Sie die E-Mail ohne zus?tzliche Massnahmen versenden.

E-Mails sicher empfangen

  • Achten Sie auf Digitale Signaturen.
    Verwendet der Absender ¨¹blicherweise eine Digitale Signatur? Falls sie fehlt, k?nnte es sich um einen Betrugsversuch handeln.
  • ?berpr¨¹fen Sie die Absendeadresse: Passt die E-Mail-Adresse zum angezeigten Namen?
  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten und von unbekannten Stellen bzw. Personen stammen.
  • Bei Verdacht lehnen Sie ein per E-Mail an Sie gerichtetes Anliegen ab oder halten Sie telefonisch R¨¹cksprache. Sprechen Sie mit Ihren IT-Spezialisten, wenn Sie unsicher sind.
  • Klicken Sie bei verd?chtigen E-Mails nicht auf Links und ?ffnen Sie keine Anh?nge.
  • ?ffnen Sie keine ?exe?-Dateien und andere ausf¨¹hrbare Dateiformate. Auch bei allen anderen Dateianh?ngen ist Vorsicht geboten, insbesondere wenn Sie den Absender nicht kennen.
  • Enth?lt das Word-Dokument, welches Sie gerade erhalten haben, ein Makro und eine entsprechende Aufforderung, dieses zu aktivieren, um das Dokument ansehen zu k?nnen? Tun Sie dies auf keinen Fall.
  • Wenn Ihnen eine E-Mail verd?chtig erscheint, scheuen Sie sich nicht, bei Ihrer ISG oder beim ID Service Desk nachzufragen.
  • Wenn Sie viele verd?chtige E-Mails auf einmal erhalten, informieren sie so bald wie m?glich Ihren IT-Support.

Viele Taktiken spielen auf Emotionen an unter Verwendung bekannter Social Engineering Techniken.

Bemerkungen wie ?Sie m¨¹ssen innert 24 Stunden auf diesen Link klicken, um Ihren Acount zu raktivieren.? oder ?Ihr Account wird blockiert.? werden verwendet, um beim Empf?nger Angst zu erzeugen und Druck auszu¨¹ben.

Unter Druck werden unlogische Entscheidungen gef?llt. Wenn Sie das Gef¨¹hl haben, der Urheber der E-Mail versucht Sie emotional zu bedr?ngen, werden Sie wom?glich gerade gephisht.

Diese Merkmale k?nnen Anzeichen f¨¹r Phishing E-Mails sein:

  • Bei E-Mails, die eine Aktion von Ihnen verlangen und mit Konsequenzen drohen (wie Geldverlust, Strafanzeige, Konto- oder Kartensperrung), handelt es sich meistens um Phishing-Angriffe.
  • Seri?se Dienstleister verlangen von Ihren Kunden nie die Angabe von Passw?rtern oder Kreditkartendaten per E-Mail oder Telefon.
  • Rechtschreibe- und Grammatikfehler: Oft enthalten Phishing-E-Mails unvollst?ndige S?tze oder sind nicht korrekt ¨¹bersetzt.
  • Versandzeit: Oft werden Phishing-E-Mails zu einer un¨¹blichen Zeit verschickt.
  • Forderungen: Der Absender ¨¹bt zeitlichen oder moralischen Druck aus.
  • Inhalt: Sie werden zu einer ungew?hnlichen Handlung aufgefordert. Beispielsweise verlangt der Absender, dass Sie Ihre Passw?rter oder andere pers?nliche Daten preisgeben.
  • Anrede: Sie werden nicht mit Ihrem Namen angesprochen.
  • URL: Die URL entspricht nicht dem erwarteten Pfad. Nutzen Sie die ?Mouse Over?-Funktion, um verlinkte URLs zu pr¨¹fen, bevor Sie sie anklicken.

Auch bei korrekt formulierten E-Mails kann es sich um Phishing-Attacken handeln.

Rechtm?ssige Webseite

Wenn eine E-Mail Sie zum Besuch einer Webseite veranlasst, dann vergewissern Sie sich, dass Sie auf der rechtm?ssigen Webseite gelandet sind, bevor sie irgendwelche Eingaben auf dieser Webseite t?tigen.

  • Stimmt die URL der Webseite?
    • Phishing-Links werden ?verschleiert?, um auszusehen wie ein Link zu einer Login-Seite: Bsp. ?https://password.ethz.ch?
    • Oft ist der Text in der URL leicht ver?ndert und enth?lt Buchstabendreher: Bsp. ?https://password.ehtz.ch?
    • Die URL zeigt woanders hin: Bsp. "https://password.ethz.ch.free.fr"
    • Wenn Sie mit der Maus ¨¹ber den Link gehen ohne zu klicken (hovering) und ein anderer, langer Domain-Name erscheint, handelt es sich m?glicherweise um einen Phishing-Versuch.
  • Handelt es sich um eine verschl¨¹sselte Verbindung (https)?
  • Ist das SSL-Zertifikat dieser Webseite ein g¨¹ltiges Zertifikat?
JavaScript wurde auf Ihrem Browser deaktiviert