Prof. Dr. Norbert Pohlmann Home Logo Mobile
Logo-Glossar
slider

E-Mail-Sicherheitsherausforderungen   - Prof. Dr. Norbert Pohlmann

E-Mail-Sicherheitsherausforderungen  

E-Mail-Sicherheitsherausforderungen - Spam - Postkarte - Verschlüsseung

Was sind E-Mail-Sicherheitsherausforderungen?


Generelle Cyber-Sicherheitsherausforderungen des E-Mail-Dienstes, die bei der Nutzung grundsätzlich betrachtet werden müssen, sind:

E-Mail Sicherheitsherausforderungen - Spam - Postkarte - Verschlüsseung
Abbildung: E-Mail Sicherheitsherausforderungen © Copyright-Vermerk


Weltweit kann jeder E-Mails versenden

Für die erwünschten E-Mails ist das eine sehr gute Eigenschaft. Für die E-Mails, die nicht gewollt sind wie E-Mails mit Werbung, politischen Inhalten und kriminellen Absichten hat sich das Wort „Spam“ etabliert. Es gibt aber auch E-Mails, die uns einen direkten Schaden zufügen sollen. Das sind E-Mails mit Malware oder auch Phishing-E-Mails, mit denen Zugangsdaten „gefischt“ werden sollen. Mit Phishing-E-Mails werden Nutzer motiviert, auf gefälschten Webseiten ihre persönlichen Daten einzugeben. Siehe auch: Angriffsvektoren

Alle nicht erwünschten E-Mails stellen ein großes Problem für die E-Mail-Anwendung dar.

E-Mail-Anhänge werden dazu missbraucht, beim Empfänger Schadcode (Malware) auf das IT-System zu schleusen. Dies kann in Form einer Datei im E-Mail-Anhang geschehen, die der Nutzer erst selbst ausführen muss, damit der Schadcode ausgeführt wird. Oder der Dateianhang nutzt direkt eine Sicherheitslücke in dem verwendeten E-Mail-Programm (Zero-Click Exploit). Eine weitere Möglichkeit, Schadcode über E-Mails einzuschleusen, ist das Verlinken aus der E-Mail heraus auf eine kompromittierte Webseite. Solche E-Mails sind oftmals personalisiert und werden deshalb vom Nutzer als vertrauenswürdig eingestuft. Aber durch das Anklicken eines Links auf eine kompromittierte Webseite gelangt das Schadprogramm auf das eigene IT-System und wird infiziert. Siehe: Drive-by-Download

Aus diesem Grund müssen geeignete Anti-Malware-Systeme in die E-Mail-Infrastruktur eingebunden werden.

Eine E-Mail ist wie eine Postkarte

Es wird vom E-Mail-Dienst keine Vertraulichkeit garantiert. Passwörter, Kreditkartennummern und weitere Bankdaten sowie vertrauliche Unternehmensinformationen, wie Kundendaten, Entwicklungsdaten, Kalkulationen, werden im Klartext übertragen und stellen so ein großes Risiko dar. Die Möglichkeiten, eine E-Mail im Internet oder in Bürogebäuden im Klartext abzugreifen sind sehr hoch.
Untersuchungen und Befragungen zeigen auf, dass weniger als 10 % aller E-Mails verschlüsselt werden. Es wird aber auch aufgezeigt, dass über 40 % der E-Mails in Business-Prozessen verwendet werden.

Aus diesem Grund sollten den Mitarbeitern im Unternehmen E-Mail-Verschlüsselungstechnologien zur Verfügung gestellt werden, damit die E-Mails gegen unberechtigte Einsichtnahme geschützt werden. Die Mitarbeiter müssen aber wissen, wie und – besonders wichtig – wann diese Verschlüsselungstechnologien für vertrauliche E-Mails verwendet werden sollen.

Fehlende Nachweisbarkeit

Der Absender einer E-Mail und die Echtheit des Inhalts einer E-Mail können nicht verifiziert werden, das heißt, es kann nicht eindeutig festgestellt werden, ob die E-Mail während der Übertragung manipuliert wurde. Außerdem können Sender und Empfänger nicht sicher sein, mit wem sie E-Mails austauschen.

Die Gewissheit, dass eine E-Mail angekommen ist (Bestellungen usw.) hängt von der Qualität von E-Mail-Servern anderer ab, auf die der Sender keinen Einfluss hat (vertraglich, rechtlich …). Die Verbindlichkeit einer Bestellung durch eine E-Mail (Zimmer, Tagungsräume usw.) ist nicht zweifelsfrei möglich, da der Sender jede E-Mail-Adresse annehmen kann.

Mithilfe einer digitalen Signatur auf der Basis von Public-Key-Verfahren kann eine E-Mail signiert werden. Damit ist eine gesetzliche Verbindlichkeit von E-Mails realisierbar. Außerdem werden auf der Geschäftsebene Sicherheitsfunktionen gebraucht, die zum Beispiel durch die Bestätigung des Empfangs auf der Anwendungsebene oder auf der Infrastrukturebene Verbindlichkeit herstellen.

Es muss jedoch zurzeit festgestellt werden, dass Spam, Malware, Phishing-Mails und andere Schwachstellen, wie schlecht konfigurierte und betriebene E-Mail-Server, unzureichende Nutzung von Verschlüsselung und digitaler Signatur sowie nicht-aufgeklärte Mitarbeiter ein ernsthaftes Problem mit hohem Schadenspotenzial und ein sehr hohes Cyber-Sicherheitsrisiko für jeden Einzelnen, die Unternehmen und für die Gesellschaft darstellen.

Herausforderung bei der Verschlüsselung von E-Mails

Bis auf einige isolierte PGP– und S/MIME-Inseln gibt es in der Praxis kaum fundierte Cyber-Sicherheitskonzepte für unternehmensweite und übergreifende E-Mail-Verschlüsselungslösungen. Die Ursachen für die geringe Nutzung sind neben dem Unwissen über die Risiken, die hohen Kosten für die E-Mail-Verschlüsselungsinfrastruktur durch Clientsoftware, Token, Lesegeräte, Rollout, Helpdesk, Zertifikatsmanagement usw.

End-to-End-Verschlüsselungslösungen für E-Mails haben sich in der Praxis kaum durchgesetzt. Neben den hohen Kosten und aufwendiger Administration kranken die End-to-End-Lösungen an den folgenden Problemfeldern:

  • Interoperabilitätsprobleme, insbesondere bei unternehmensübergreifender und produktübergreifender Verschlüsselung
  • Message-Recovery-Problematik
  • Vertreter-Regeln
  • Malware-Problematik in E-Mail-Anhängen

End-to-End-Konzepte sind individuelle Konzepte, das heißt, sie benötigen so viele Schlüssel wie Mitarbeiter im Unternehmen sind. Scheidet ein Mitarbeiter aus dem Unternehmen aus, muss gewährleistet sein, dass berechtigte Personen die an diesen Mitarbeiter gerichteten oder von ihm bereits erhaltenen E-Mails lesen und beantworten können. Die Schlüssel der Mitarbeiter müssen bei diesen Konzepten entweder an zentraler Stelle hinterlegt werden, oder jede E-Mail muss zusätzlich mit einem „Hauptschlüssel“– also doppelt – verschlüsselt werden. Die gleiche Problematik gilt für die Vertretung bei Abwesenheit des Mitarbeiters.

Bei der Prüfung verschlüsselter Mail-Anhänge auf Malwarebefall wären aufwendige Umverschlüsselungen erforderlich, da Anti-Malware-Programme nur im Klartext die Anhänge analysieren können.

Hier müssen dann auf den IT-Systemen besondere Anti-Malware-Maßnahmen getroffen werden, um nach der Entschlüsselung die Anhänge auf Malwarebefall zu untersuchen.

Siehe auch:
– E-Mail Sicherheit

Weitere Informationen zum Begriff “E-Mail-Sicherheitsherausforderungen”:


Artikel


Mail-Verlässlichkeit – Verbreitung und Evaluation

Wie Sicherheit im Internet messbar wird

IT-Sicherheitsherausforderungen im 21. Jahrhundert

Mailtrust macht europäische E-Mail sicher

Bedrohungen und Herausforderungen des E-Mail-Dienstes

Die virtuelle Poststelle


Bücher


Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download


Vorlesungen


Vorlesungen zum Lehrbuch Cyber-Sicherheit


Vorträge


IT-Sicherheit in Lebensräumen

Immer noch nicht sicher? Neue Strategien und Lösungen!

Sicher einkaufen und surfen im Netz

Betrugsschutz beim Online-Banking


Webseiten


Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

It’s all about Trust!


Zurück zur Übersicht




Summary
E-Mail-Sicherheitsherausforderungen
Article Name
E-Mail-Sicherheitsherausforderungen
Description
E-Mail-Sicherheitsherausforderungen liegen in den Bereichen: Jeder kann E-Mails versenden, sind wie Postkarten und fehlende Nachweisbarkeit. Weitere Herausforderungen sind: Message-Recovery-Problematik, Vertreter-Regeln und Malware in E-Mail-Anhängen.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
E-Mail-Sicherheitsherausforderungen - Spam - Postkarte - Verschlüsseung
E-Mail-Sicherheitsherausforderungen   Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten