E-Mail-Sicherheit prüfen - Tipps nicht nur für Gmail
E-Mail-Sicherheit ist ein Buzzword, das immer wieder für Schlagzeilen sorgt. Denn die klassische E-Mail ist auch heutzutage oft das erste Glied einer Angriffskette, mit der Kriminelle versuchen, Zugangsdaten und Geschäftsgeheimnisse zu erbeuten – oder im schlimmsten Fall Daten verschlüsseln, um Lösegeld zu erpressen. Damit es dazu nicht kommt, sollten Sie Ihre E-Mail-Sicherheit prüfen. Im Rahmen einer neuen Blog-Serie geben wir Ihnen Tipps für passende Sicherheitsmassnahmen.
Im ersten Teil erfahren Sie Wichtiges über die Grundlagen und wie Sie den Status Ihrer E-Mail-Sicherheit prüfen können. Darüber hinaus erhalten Sie Tipps, mit welchen Massnahmen Sie eine E-Mail-Adresse sichern können.
Aus der Perspektive eines Endanwenders fällt der Blick sicherlich zunächst auf das vordergründige Werkzeug, das E-Mail-Programm. Viele Anwender sind die Arbeit mit lokal installierten Applikationen gewohnt. Hier steht und fällt die Sicherheit damit, dass diese Anwendungen immer auf dem aktuellen Stand sind. Sichere E-Mail-Programme müssen kontinuierlich mit sämtlichen von ihren Herstellern veröffentlichten Updates versorgt werden, wie auch das Nationale Zentrum für Cybersicherheit (NCSC) der Schweizerischen Eidgenossenschaft empfiehlt.
Gmail erspart Update-Ärger
In der Regel erledigen die Programme dies automatisch, doch im Unternehmensumfeld müssen die Administratoren eventuell tätig werden, Updates zunächst auf Unverträglichkeiten prüfen, paketieren und dann verteilen – eine nie endende Sisyphusarbeit. Unsere Empfehlung: Vertrauen Sie stattdessen auf Gmail und verzichten Sie auf die mühsame Pflege lokal installierter E-Mail-Programme! Gmail verlagert die Arbeit mit E-Mails komplett in den Browser und bietet eine moderne grafische Oberfläche, die ebenso wie ihr technischer Unterbau immer aktuell ist. Pflege und Weiterentwicklung des Cloud-Angebots übernimmt komplett Google und hilft so, E-Mails zu sichern.
Welche E-Mail-Anbieter sind sicher?
Doch in puncto E-Mail-Sicherheit gilt es abseits des E-Mail-Programms zahlreiche weitere Aspekte zu berücksichtigen. Auch wer noch nicht über eine Migration zu Gmail nachgedacht hat, sollte bei der Auswahl eines geeigneten E-Mail-Providers aufmerksam sein. Fragen wie: „Welche E-Mail-Anbieter sind sicher?“ und „Gibt es sichere E-Mail-Anbieter in der Schweiz?“ lassen sich nicht pauschal beantworten. Vielmehr ist es sinnvoll, auf wichtige Funktionen der E-Mail-Sicherheit zu achten, die ein Anbieter auf jeden Fall unterstützen sollte.
SMTP und seine Schwächen
Dabei hilft ein Blick auf den technischen Unterbau der E-Mail-Kommunikation. Um den Versand von E-Mails kümmert sich bereits seit den 1980er-Jahren das Simple Mail Transfer Protocol (SMTP) – also schon weitaus länger, als das Internet in seiner heutigen Form existiert. Begonnen als rein textbasiertes Protokoll nach dem Standard ASCII hatte SMTP erst mit der Erweiterung Multipurpose Internet Mail Extensions (MIME) gelernt, auch Binärdateien, wie etwa Bilder, als Anhang zu übermitteln.
Im Hinblick auf die Sicherheit weist SMTP aus heutiger Sicht konzeptionelle Schwächen auf. So umfassten das Internet und seine Vorläufer anfangs nur wenige Server, über die vor allem wissenschaftliche Einrichtungen und erst später auch Unternehmen sowie Privatpersonen miteinander kommunizierten und der Standard hinter SMTP hatte keine tiefergehenden Sicherheitsmassnahmen vorgesehen. Absender- und Empfängeradressen sind ohne Weiteres auch heute noch frei wählbar. Was in den Kindertagen des Internets kein Problem darstellte, öffnete nach dessen exponentiellem Wachstum auf Milliarden von Clients und Servern Online-Kriminellen Tür und Tor, können diese doch nach Belieben Identitäten fälschen und beim Versenden von E-Mails vermeintlich legitime Adressen verwenden, gemeinhin als Spoofing bezeichnet. SMTP allein hat diesem Treiben nichts entgegenzusetzen, da eine solche Entwicklung für die Urheber des Protokolls Anfang der 1980er-Jahre noch nicht absehbar war.
Auf Authentifizierung und Verschlüsselung achten
Doch eine Reihe von Erweiterungen sorgt für Sicherheit. Die beginnt mit der Zugangskontrolle, also einer Authentifizierung per SMTP-Auth oder SMTPS, sodass nur noch legitime Benutzer E-Mails an einen Server abliefern können.
Weiterhin sorgt Transport Layer Security (TLS) via SMPTS oder STARTTLS für eine verschlüsselte Übertragung von E-Mails vom Client zum Server sowie auf ihrem weiteren Weg vom Server zu nachfolgenden Servern. Die erste gute Nachricht: Diese Massnahmen haben sich inzwischen als Standard etabliert und E-Mail-Anbieter bieten dies üblicherweise von Haus aus an.
Drei Bausteine für mehr E-Mail-Sicherheit
Authentifizierung und Transportverschlüsselung reichen aber nicht, um den Online-Ganoven das Handwerk zu legen. Für eine umfassende Absicherung der E-Mail-Kommunikation und wirkliche E-Mail-Sicherheit sind vielmehr drei weitere Bausteine notwendig:
- Sender Policy Framework (SPF)
- DomainKeys Identified Mail (DKIM) und
- Domain-based Message Authentication, Reporting and Conformance (DMARC)
In den folgenden Beiträgen dieser Blog-Serie erfahren Sie mehr über diese Bausteine und ihre Konfiguration. Im optimalen Fall wirken die drei Technologien in Kombination und sorgen dafür, dass Kriminelle E-Mail-Adressen nicht mehr missbräuchlich verwenden können. Ein auf Sicherheit bedachter E-Mail-Anbieter sollte entsprechend SPF, DKIM sowie DMARC anbieten und bei deren Einrichtung unterstützen, sodass Sie ohne Probleme Ihre E-Mail-Adresse sichern können.
Die zweite gute Nachricht: Google integriert mit Gmail alle drei Bausteine und macht die Einrichtung so einfach wie möglich. Ein paar Handgriffe sind allerdings nötig, um die Funktionen zu aktivieren. Sie wünschen sich Unterstützung bei der Absicherung Ihrer E-Mail-Kommunikation? Gerne sind wir für Sie da und sorgen gemeinsam mit Ihnen für E-Mail-Sicherheit.
E-Mail-Sicherheit prüfen - Tipps nicht nur für Gmail
E-Mail-Sicherheit ist ein Buzzword, das immer wieder für Schlagzeilen sorgt. Denn die klassische E-Mail ist auch heutzutage oft das erste Glied einer Angriffskette, mit der Kriminelle versuchen, Zugangsdaten und Geschäftsgeheimnisse zu erbeuten – oder im schlimmsten Fall Daten verschlüsseln, um Lösegeld zu erpressen. Damit es dazu nicht kommt, sollten Sie Ihre E-Mail-Sicherheit prüfen. Im Rahmen einer neuen Blog-Serie geben wir Ihnen Tipps für passende Sicherheitsmassnahmen.
Im ersten Teil erfahren Sie Wichtiges über die Grundlagen und wie Sie den Status Ihrer E-Mail-Sicherheit prüfen können. Darüber hinaus erhalten Sie Tipps, mit welchen Massnahmen Sie eine E-Mail-Adresse sichern können.
Aus der Perspektive eines Endanwenders fällt der Blick sicherlich zunächst auf das vordergründige Werkzeug, das E-Mail-Programm. Viele Anwender sind die Arbeit mit lokal installierten Applikationen gewohnt. Hier steht und fällt die Sicherheit damit, dass diese Anwendungen immer auf dem aktuellen Stand sind. Sichere E-Mail-Programme müssen kontinuierlich mit sämtlichen von ihren Herstellern veröffentlichten Updates versorgt werden, wie auch das Nationale Zentrum für Cybersicherheit (NCSC) der Schweizerischen Eidgenossenschaft empfiehlt.
Gmail erspart Update-Ärger
In der Regel erledigen die Programme dies automatisch, doch im Unternehmensumfeld müssen die Administratoren eventuell tätig werden, Updates zunächst auf Unverträglichkeiten prüfen, paketieren und dann verteilen – eine nie endende Sisyphusarbeit. Unsere Empfehlung: Vertrauen Sie stattdessen auf Gmail und verzichten Sie auf die mühsame Pflege lokal installierter E-Mail-Programme! Gmail verlagert die Arbeit mit E-Mails komplett in den Browser und bietet eine moderne grafische Oberfläche, die ebenso wie ihr technischer Unterbau immer aktuell ist. Pflege und Weiterentwicklung des Cloud-Angebots übernimmt komplett Google und hilft so, E-Mails zu sichern.
Welche E-Mail-Anbieter sind sicher?
Doch in puncto E-Mail-Sicherheit gilt es abseits des E-Mail-Programms zahlreiche weitere Aspekte zu berücksichtigen. Auch wer noch nicht über eine Migration zu Gmail nachgedacht hat, sollte bei der Auswahl eines geeigneten E-Mail-Providers aufmerksam sein. Fragen wie: „Welche E-Mail-Anbieter sind sicher?“ und „Gibt es sichere E-Mail-Anbieter in der Schweiz?“ lassen sich nicht pauschal beantworten. Vielmehr ist es sinnvoll, auf wichtige Funktionen der E-Mail-Sicherheit zu achten, die ein Anbieter auf jeden Fall unterstützen sollte.
SMTP und seine Schwächen
Dabei hilft ein Blick auf den technischen Unterbau der E-Mail-Kommunikation. Um den Versand von E-Mails kümmert sich bereits seit den 1980er-Jahren das Simple Mail Transfer Protocol (SMTP) – also schon weitaus länger, als das Internet in seiner heutigen Form existiert. Begonnen als rein textbasiertes Protokoll nach dem Standard ASCII hatte SMTP erst mit der Erweiterung Multipurpose Internet Mail Extensions (MIME) gelernt, auch Binärdateien, wie etwa Bilder, als Anhang zu übermitteln.
Im Hinblick auf die Sicherheit weist SMTP aus heutiger Sicht konzeptionelle Schwächen auf. So umfassten das Internet und seine Vorläufer anfangs nur wenige Server, über die vor allem wissenschaftliche Einrichtungen und erst später auch Unternehmen sowie Privatpersonen miteinander kommunizierten und der Standard hinter SMTP hatte keine tiefergehenden Sicherheitsmassnahmen vorgesehen. Absender- und Empfängeradressen sind ohne Weiteres auch heute noch frei wählbar. Was in den Kindertagen des Internets kein Problem darstellte, öffnete nach dessen exponentiellem Wachstum auf Milliarden von Clients und Servern Online-Kriminellen Tür und Tor, können diese doch nach Belieben Identitäten fälschen und beim Versenden von E-Mails vermeintlich legitime Adressen verwenden, gemeinhin als Spoofing bezeichnet. SMTP allein hat diesem Treiben nichts entgegenzusetzen, da eine solche Entwicklung für die Urheber des Protokolls Anfang der 1980er-Jahre noch nicht absehbar war.
Auf Authentifizierung und Verschlüsselung achten
Doch eine Reihe von Erweiterungen sorgt für Sicherheit. Die beginnt mit der Zugangskontrolle, also einer Authentifizierung per SMTP-Auth oder SMTPS, sodass nur noch legitime Benutzer E-Mails an einen Server abliefern können.
Weiterhin sorgt Transport Layer Security (TLS) via SMPTS oder STARTTLS für eine verschlüsselte Übertragung von E-Mails vom Client zum Server sowie auf ihrem weiteren Weg vom Server zu nachfolgenden Servern. Die erste gute Nachricht: Diese Massnahmen haben sich inzwischen als Standard etabliert und E-Mail-Anbieter bieten dies üblicherweise von Haus aus an.
Drei Bausteine für mehr E-Mail-Sicherheit
Authentifizierung und Transportverschlüsselung reichen aber nicht, um den Online-Ganoven das Handwerk zu legen. Für eine umfassende Absicherung der E-Mail-Kommunikation und wirkliche E-Mail-Sicherheit sind vielmehr drei weitere Bausteine notwendig:
- Sender Policy Framework (SPF)
- DomainKeys Identified Mail (DKIM) und
- Domain-based Message Authentication, Reporting and Conformance (DMARC)
In den folgenden Beiträgen dieser Blog-Serie erfahren Sie mehr über diese Bausteine und ihre Konfiguration. Im optimalen Fall wirken die drei Technologien in Kombination und sorgen dafür, dass Kriminelle E-Mail-Adressen nicht mehr missbräuchlich verwenden können. Ein auf Sicherheit bedachter E-Mail-Anbieter sollte entsprechend SPF, DKIM sowie DMARC anbieten und bei deren Einrichtung unterstützen, sodass Sie ohne Probleme Ihre E-Mail-Adresse sichern können.
Die zweite gute Nachricht: Google integriert mit Gmail alle drei Bausteine und macht die Einrichtung so einfach wie möglich. Ein paar Handgriffe sind allerdings nötig, um die Funktionen zu aktivieren. Sie wünschen sich Unterstützung bei der Absicherung Ihrer E-Mail-Kommunikation? Gerne sind wir für Sie da und sorgen gemeinsam mit Ihnen für E-Mail-Sicherheit.
