Bundesamt für Sicherheit in der Informationstechnik

M 5.54 Umgang mit unerwünschten E-Mails

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Unerwünschte E-Mails, welche auch unter dem Begriff "Spam" bekannt sind, werden in Massen verschickt, belästigen die Empfänger und stören den laufenden Betrieb der IT -Infrastruktur, angefangen bei den E-Mail-übertragenden Systemen bis zu den Clients der Benutzer. Zu den unerwünschten E-Mails gehören Kettenbriefe, unerwünschte Werbung, Bettelbriefe, Junkmails, Phishing-E-Mails und E-Mails mit Schadcode im Anhang. Gefährlich wird es insbesondere dann, wenn E-Mail-Anhänge ausgeführt werden, die E-Mail HTML -basiert ist oder die Mail-Empfänger über Links in der E-Mail auf manipulierte Webseiten gelockt werden sollen.

Durch die Überhäufung mit unerwünschten E-Mails oder durch absichtliche Überlastung durch eingehende E-Mails kann nicht nur das E-Mail-System blockiert werden, sondern es kann auch für den Empfänger solcher E-Mails teuer werden. Kosten entstehen unter anderem durch Übertragungsgebühren, insbesondere dann, wenn Bilder oder Multimediadateien in den unerwünschten E-Mails enthalten sind. Dazu kommt auch noch Kosten für die Filterung der E-Mails und/oder die Arbeitszeit der Mitarbeiter, die benötigt wird, um die eingegangene Spam-Mails zu sichten und zu löschen.

Um sich vor unerwünschten E-Mails zu schützen, sollte jeder Benutzer die Weitergabe seiner E-Mail-Adresse auf das Nötigste einschränken. Besonders vorsichtig sollten Benutzer mit der Herausgabe der Adresse beispielsweise in Newsgroups oder Mailinglisten, bei Gewinnspielen, bei Umfragen oder in ähnlichen Formularen sein. In diesen Fällen sollte die Einrichtung einer Wegwerfadresse in Betracht gezogen werden, um eine möglicherweise personalisierte "Hauptadresse" nicht unnötig in fremde Hände zu geben.

Umgekehrt sollte auch darauf geachtet werden, die E-Mail-Adressen von Kommunikationspartnern nicht ungeprüft weiterzugeben. Besonders wenn mehrere Personen gleichzeitig mit einer E-Mail angeschrieben werden, sollte nicht jeder wissen, wer noch unter welcher E-Mail-Adresse angeschrieben worden ist. Um dies zu vermeiden, kann z. B. die Funktion " BCC " (Blind Carbon Copy) genutzt werden, die praktisch jeder E-Mail-Client bietet.

Auch sollte der eigene Rechner stets frei von Schadsoftware bleiben, da es Schadsoftware gibt, die die lokalen Adressbücher auslesen und auf Spamverteilerlisten setzen.

Grundsätzlich sollten alle Benutzer Spam ignorieren und löschen. Keinesfalls darf geantwortet, Links in der E-Mail gefolgt oder Anhänge ausgeführt werden, da dies negative Auswirkungen haben kann. Eine Bestätigung über die erfolgreiche Zustellung der E-Mail ist gleichzeitig eine Bestätigung, dass die E-Mail-Adresse für die Zustellung von Spam benutzbar ist und dass der Empfänger diese E-Mails auch liest. Zusätzlich existiert das Risiko, dass Rechner mit Schadsoftware infiziert und somit Bestandteil eines Botnetzes werden. Darüber sollten auch alle Mitarbeiter informiert werden.

Mögliche Maßnahmen gegen unerwünschte E-Mails sind die folgenden:

  • Um Spam zu vermeiden oder wenigstens für die Empfänger erkennbar zu machen, ist es notwendig, unerwünschte E-Mails maschinell und automatisch zu erkennen und abzuweisen bzw. zu markieren. Dazu muss ein entsprechendes E-Mail-Filtersysteme betrieben werden (mehr dazu ist in Maßnahme M 5.109 Einsatz eines E-Mail-Scanners auf dem Mailserver beschrieben).
  • Unerwünschte E-Mails enthalten außerdem häufig Anhänge, die ungeahnte Nebeneffekte auslösen können, oder Dateiformate, die als potentiell problematisch eingeschätzt werden. Alle Betroffenen sollten sich der Problematik bewusst sein und entsprechende Vorkehrungen treffen (siehe M 4.199 Vermeidung problematischer Dateiformate ).
  • Die meisten E-Mail-Clients können so konfiguriert werden, dass sie als unerwünscht markierte E-Mails in separate Ordner verschieben. Entsprechende Filterregeln können durch die Benutzer bzw. die Administratoren eingerichtet werden. Die Benutzer sollten hierüber informiert werden.
  • Einige E-Mail-Clients besitzen auch eigene Erkennungsmechanismen gegen unerwünschte E-Mails. Diese können die Benutzer aktivieren, um ihre Posteingänge entsprechend zu klassifizieren.
  • Jede Institution sollte festlegen, ob ihre Mitarbeiter Artikel in Newsgruppen posten dürfen und wenn ja, in welcher Form und zu welchen Themen. Dabei sind die Benutzer darauf hinzuweisen, dass die Netiquette zu beachten ist, insbesondere ist die Verbreitung von für die Allgemeinheit irrelevanten Informationen zu unterlassen.
  • Es kann unter Umständen sinnvoll sein, keine leicht erratbaren E-Mailadressen zu verwenden (siehe auch M 2.122 Einheitliche E-Mail-Adressen ).
    Wenn die Angabe einer Adresse für Mailinglisten, Abfragen oder ähnliches erforderlich ist, besteht eine andere Möglichkeit darin, eine spezielle E-Mail-Adresse dafür einzurichten. E-Mail an diese Adresse kann dann gefiltert, ignoriert oder gelöscht werden. Falls hierzu keine Absenderadressen aus der eigenen Domain gewählt werden sollen, kommen hierfür auch die Anbieter von kostenlosen E-Mail-Accounts in Betracht.
  • Auf keinen Fall sollte versucht werden, Spam-Verursacher durch Mailbomben oder ähnliches zu bestrafen. Spam sollte nicht einmal durch ein Reply beantwortet werden. Häufig sind die Absenderangaben in Spam-Mails gefälscht. Antworten erreichen dann nur Unschuldige oder kommen als unzustellbar zurück. Auf jeden Fall verursachen auch Antworten wiederum ein erhöhtes Netzaufkommen und im schlimmsten Fall bestätigen sie Werbemailern sogar noch die Korrektheit angeschriebener E-Mail-Adressen.
  • Auch wenn in der unerwünschten E-Mail die Möglichkeit angeboten wird, sich für weitere E-Mails streichen zu lassen, sollte auf keinen Fall auf solche E-Mails reagiert werden. Anderenfalls kann der Spammer die Antwort als Bestätigung nutzen, dass die angeschriebene E-Mail-Adresse korrekt ist.
  • Eine weitere Maßnahme gegen akute Belästigung durch Spam ist die Benachrichtigung des eigenen Mailproviders sowie des Mailproviders des Verursachers, damit diese gegen den Verursacher vorgehen können. Allerdings sollte dabei berücksichtigt werden, dass nicht alle Mailprovider zeitnah auf solche Beschwerden reagieren.

Dabei ist zu beachten, dass nicht alle dieser Maßnahmen in allen Umgebungen sinnvoll sind, weil sie diverse Einschränkungen mit sich bringen. So kann es einerseits sinnvoll sein, nicht aus den Benutzernamen abgeleitete E-Mailadressen zu verwenden, um sich vor unerwünschten Werbemails zu schützen. Andererseits können abstrakte E-Mailadressen die Kommunikation mit Externen erschweren, da sie schwerer zu merken sind. Die Form der E-Mailadressen muss auf jeden Fall den organisationsinternen Regelungen genügen.

Durch die Eintragung auf Mailinglisten kann ebenfalls eine hohe Mailbelastung entstehen. Generell sollte regelmäßig überprüft werden, ob die in einer Mailingliste diskutierten Inhalte das Lesen lohnen, sonst ist sie abzubestellen. Die Benutzer müssen darüber informiert sein, dass nach der Eintragung auf Mailinglisten die dadurch entstehende Mailbelastung regelmäßig, d. h. möglichst täglich, zu kontrollieren ist. In größeren Institutionen sollten für die Arbeit interessante Mailinglisten nur über einen Mitarbeiter (z. B. den Mail-Administrator) abonniert werden und dann zentral allen zur Verfügung gestellt werden.

Auch bei der Gestaltung von Webseiten sollte an Spam gedacht werden. Spammer versuchen unter anderem ihren Adresspool dadurch zu erweitern, dass sie mit Tools Webseiten automatisch darauf absuchen, ob dort E-Mail-Adressen genannt sind, z. B. für Nachfragen. Es gibt leider kaum wirksame Möglichkeiten, solche automatischen Auswerte-Tools scheitern zu lassen. Daher sollte genau überlegt werden, ob und welche E-Mail-Adressen auf Webseiten bekannt gegeben werden. Hierfür können beispielsweise aufgabenbezogene E-Mail-Adressen eingerichtet werden. Auch diese werden natürlich mit Spam belästigt werden, aber das Problem kann auf diese Weise begrenzt werden. Für die Sichtung der eingehenden Mails und die Trennung der "echten" Mail-Eingänge vom Spam sollte ausreichend Zeit vorgesehen werden.

Prüffragen:

  • Sind die Benutzer über die Problematik und den Umgang mit Spam informiert und sensibilisiert?

  • Werden E-Mail-Filterprogramme in Abstimmung mit dem Datenschutzbeauftragten, dem Personalrat und den Benutzern eingesetzt?

  • Gibt es eine Regelung für die Verwendung von Newsgroups und Mailinglisten?

  • Wird die Spam-Problematik bei der Gestaltung von Webseiten berücksichtigt?

Stand: 13. EL Stand 2013