4.3 Sicherheit der E-Mail-Kommunikation
Die größte Bedrohung aber, die von der Benutzung von E-Mail ausgeht, stellen destruktive Inhalte dar, die mit Attachments verschickt werden. Viren in E-Mails selbst sind zwar bei bestimmten Clients möglich, aber viel seltener – die Warnungen, die dazu hin und wieder verbreitet werden, sind zum allergrößten Teil falsch, (also „Hoaxes“). Zur Epidemie werden die bösartigen E-Mails, wenn sie in Form von „Würmern“ große Teile des Internets automatisch überschwemmen, indem sie z. B. Adressverzeichnisse befallener Rechner benutzen. Attachments können auch Computer-Viren enthalten, die den eigenen Rechner angreifen, wenn das Attachment geöffnet wird.
Der automatische Schutz vor infizierten Attachments ist schwierig. Der effektivste und einfachste Schutz aber ist, keine Attachments mit unbekannten Dateien zu öffnen, insbesondere wenn Ihnen der Absender und das Dateiformat fremd sind. Daher sollten auch Sie selbst nie an Unbekannte unverlangt E-Mails mit Attachments ohne eine kurze Vorankündigung versenden, z. B. im Rahmen von Blindbewerbungen.
Zusätzlich zu dieser Vorsichtsmaßnahme sollten Sie ein Anti-Viren-Programm installieren. Diese Programme können allerdings nur gegen Viren schützen, die bereits bekannt sind. Da immer wieder neue Viren auftauchen, ist ein hundertprozentiger Schutz nicht möglich. Unbedingt notwendig ist es, sich regelmäßig ein aktualisiertes Update des Anti-Viren-Programms zu beschaffen.
Unter Umständen sollten Sie auch die Benutzung einer „Personal Firewall“ in Betracht ziehen. Diese Programme schotten Ihren Rechner vor Zugriffen von außen ab. Sehr sicher sind auch (Web- )Browser-Zugänge zu Mailsystemen, wie sie von vielen Universitäten und kostenlosen E-Mail-Diensten im WWW angeboten werden. Am besten hilft eine gesunde Portion Misstrauen gegenüber „seltsamen“ E-Mails: kaum ein Virus kann ohne die aktive Mitwirkung der Benutzer einen Schaden anrichten.
Benutzerinnen von E-Mail setzen im Geist oft fälschlicherweise E-Mails mit Briefen gleich und vertrauen elektronischen Nachrichten alles an, was sie gerne als Briefgeheimnis geschützt wissen wollen. Eigentlich ist E-Mail aber besser mit offenen Postkarten zu vergleichen: Mail-Administratoren und andere Personen, die sich Zugang zu Servern verschaffen können, könnten zumindest theoretisch alles lesen, was da an elektronischen Nachrichten eingeht. Auch die riesige Menge an E-Mails, in denen die einzelne Nachricht wie die Nadel im Heuhaufen verschwindet, ist nur ein theoretischer Schutz vor unbefugtem Lesen. Mit Software-Unterstützung ist es auch kein Problem, Tausende von Mails nach Schlüsselwörtern zu durchsuchen, was von staatlichen Geheimdiensten auch gemacht wird.. Zwischen Firmen wurden bereits spektakuläre Fälle von Betriebsspionage bekannt. In amerikanischen und britischen Firmen ist das Abhören der E-Mails des Personals erlaubt und wird auch betrieben.
Die Verschlüsselung von E-Mails ist eine Möglichkeit, den Inhalt für Unbefugte unleserlich zu machen. Sie wird allerdings nicht sehr häufig verwendet – offensichtlich fühlen sich die Benutzerinnen (fälschlicherweise) sicher genug.
Das bekannteste Verfahren zur Verschlüsselung von E-Mails heißt Pretty Good Privacy“ (PGP). Die Software dafür integriert sich transparent in die meisten populären Mail-Clients und ermöglicht die sichere Übertragung elektronischer Nachrichten. PGP benutzt einen öffentlichen und einen privaten Schlüssel. Mit dem öffentlichen Schlüssel kann jede beliebige Person eine Nachricht so verschlüsseln, dass nur die Besitzerin des privaten Schlüssels diese wieder öffnen kann. Dieses Verfahren ist vergleichbar mit einem sicheren Briefkasten, in den jeder etwas hineinwerfen, aber nur der etwas herausnehmen kann, der den privaten Schlüssel kennt.
PGP unterstützt außerdem digitale Signaturen zur Durchführung rechtsgültiger Geschäfte im Internet, d. h. der Absender einer E-Mail identifiziert sich eindeutig gegenüber einem Kommunikationspartner, der dieser Nachricht daher vertrauen kann. Keine technischen Gegenmittel helfen beim in letzter Zeit immer häufiger werdenen „Phishing“ (von „Password Fishing“). Damit versuchen Betrüger, an persönliche Daten von BenutzerInnen, vor allem natürlich an Kreditkartendaten und E-Banking-Zugangsdaten, heranzukommen. Die Methode ist fast immer gleich: Die Täter senden massenhaft Mails, die einen getarnten Link zu einer Website enthalten, auf der man seine Daten eingeben soll. Der Vorwand ist meist eine angebliche Sicherheitsüberprüfung, z.T. weil vorgeblich Daten verloren gegangen oder missbraucht worden seien. Der Link sieht in den HTML-Mails auf den ersten Blick aus, als führe er zur Website des Unternehmens, von dem die Mails vorgeblich kommen. Teilweise wird eine Grafik eingebunden, die wie Text aussieht, aber als Ganzes mit einem Link zur Website der Betrüger versehen ist. Vorzugsweise werden als Absender Banken und Kreditkartenunternehmen vorgetäuscht, aber auch eBay wurde bereits benutzt. Hier hilft nur Misstrauen: seriöse Unternehmen würden niemals auf diese Art Ihre Daten abfragen! Löschen Sie eine derartige Mail schon beim geringsten Zweifel oder prüfen Sie die Seriosität, z. B. in der Liste bereits bekannter Phishing-Betreffzeilen beim Hoax-Service der TU Berlin (hoax.info.de).
Dieses Service sammelte ursprünglich, wie der Name sagt, „Hoaxes“, also Falschmeldungen, ursprünglich über Computer-Viren. Die Empfänger werden aufgefordert, die e-Mail an möglichst viele Adressen weiterzusenden. Verwandt mit dieser Art der Internet-Verschmutzung sind elektronische Kettenbriefe. Der Versuch, auf diese Weise Geld zu erschwindeln, ist illegal („Pyramidensysteme“), aber es gibt offensichtlich genügend E-Mail-Benutzer, die Glücksverheißungen, Spendenaufrufe oder Petitionen (die oft schon jahrelang kursieren) naiv weiterleiten. Bevor Sie einen solchen Aufruf weiterleiten, prüfen Sie immer, am besten beim Hoax-Service, ob es sich um eine seriöse E-Mail handelt oder um einen Hoax; Sie ersparen damit Ihren Freunden und Bekannten unnötige E-Mails.
Weniger eine Bedrohung der Sicherheit als eine Belästigung stellen die „Spam-Mails“ und „Junk-Mails“ dar. „Spam“ hat sich als Bezeichnung für unverlangte Werbung in E-Mails und Newsgruppen eingebürgert. Die Erfinder und Urheber von Spams überschwemmen das Internet mit Millionen von Nachrichten und bezahlen dafür quasi nichts, während die Empfängerinnen die Mails auf eigene Kosten (zumindest an Zeit) herunterladen und ansehen.
Während früher Versprechungen schnellen Gewinns überwogen („Make money fast“, „Earn $ 1000 a week“ usw.), sind es derzeit vor allem Angebote an Pharmaka und Pronografie, sowie (ebenfalls ein Dauerbrenner) dubiose Geldwasch-Angebote angeblicher Nachfahren angeblicher afrikanischer Politiker.
Provider (ob privat oder universitär) verwenden inzwischen Spam-Filter, die bereits serverseitig die einlangenden E-Mails sortieren und gegebenenfalls als „Spam“ markieren. Alle gängigen E-Mail-Programme besitzen Funktionen für das Filtern von Nachrichten, die beim Eintreffen von E-Mails mit bestimmten, benutzerdefinierten Schlüsselwörtern im Text aktiv werden. Damit können die von Provider-Seite erkannten Spams sofort in einen eigenen Ordner aussortiert werden. Sie können diesen Ordner von Zeit zu Zeit durchsehen, ob nicht doch eine seriöse Mail irrtümlich ausgefiltert wurde, bevor Sie die hier gesammelten Mails löschen. Sie können auch zusätzliche Filter definieren oder einen (zusätzlichen) Spam-Filter client-seitig installieren.
Die E-Mail-Adressen für Spam-Mails werden automatisiert durch Durchsuchen des WWW gewonnen. Eine wirkungsvolle Gegenmaßnahme ist daher, Ihre E-Mail-Adresse im Web (Adressverzeichnisse, Webseiten usw.) in einer Form zu veröffentlichen, die das maschinelle Lesen unmöglich macht: z. B. nicht als Text, sondern als Bild, oder so, dass die Benutzerinnen sie erst zusammen- oder übersetzen müssen, wie etwa walter.mayer@