Bundesamt für Sicherheit in der Informationstechnik

M 5.94 Sicherheit von E-Mail-Clients bei der Nutzung von Internet-PCs

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

E-Mail ist einer der wichtigsten Intranet- und Internet-Dienste. In der modernen Bürokommunikation wird E-Mail als Ergänzung, teilweise auch als Ersatz für die klassischen Kommunikationswege, wie Telefon, Telefax, Brief und Fernschreiber, verwendet. Eine erhebliche Aufwertung hat der E-Mail-Verkehr auch durch die Möglichkeit erfahren, Dateien in Form von Attachments zu transportieren. Dadurch wird E-Mail vielfach auch als Groupware-Lösung benutzt, beispielweise wenn mehrere Kommunikationspartner nacheinander an einem Dokument arbeiten.

Auf technischer Ebene gibt es unterschiedliche Verfahren, E-Mail zu nutzen. Eine Möglichkeit ist die Verwendung von Webmail-Diensten, wie sie von mehreren Dienstleistern im Internet angeboten werden, z. B. Web.de oder gmx. Diese Angebote stellen dem Benutzer alle benötigten Funktionen zum Empfangen, Lesen, Verfassen, Senden und Verwalten von E-Mails über eine WWW-Schnittstelle zur Verfügung. Die Nutzung geschieht somit - wie jedes andere WWW-Angebot - über einen Browser. Die Vorteile von Webmail-Diensten sind,

  • dass neben dem Browser keine weiteren Software-Komponenten auf dem Client installiert werden müssen und
  • dass der Benutzer daher für die Nutzung von E-Mail nicht an einen bestimmten Computer oder Ort gebunden ist.

Nachteilig ist jedoch, dass die Sicherheit der E-Mail-Nutzung weitgehend in der Hand des Webmail-Providers liegt. Empfehlungen zur sicheren Nutzung von Webmail finden sich in Maßnahme M 5.96 Sichere Nutzung von Webmail .

Das klassische Verfahren für die Nutzung von E-Mail ist die Verwendung eines entsprechenden Client-Programms, beispielsweise Microsoft Outlook, Outlook Express, Thunderbird oder KMail. Um eingehende E-Mail vom Provider abzuholen, wird meist das Protokoll POP3 (Post Office Protocol Version 3) oder IMAP (Internet Message Access Protocol) verwendet. Ausgehende E-Mail wird mit Hilfe des Protokolls SMTP (Simple Mail Transfer Protocol) versendet. Hierzu müssen bei der Konfiguration des Client-Programms die Adressen der Server für ausgehende und eingehende E-Mails eingetragen werden. Es wird empfohlen, die IP-Adressen dieser Server beim Provider zu erfragen und fest im Client-Programm einzustellen.

Bevor eingehende E-Mail vom Provider zum Client übertragen werden kann, muss sich der Client in der Regel beim E-Mail-Server authentisieren. Diese Authentisierung geschieht meist durch ein Passwort, das im Klartext an den jeweiligen Server übermittelt wird, wenn keine zusätzlichen Sicherheitsmaßnahmen eingesetzt werden. Dadurch besteht die Gefahr, dass das Passwort beim Transport über das Internet mitgelesen und anschließend missbraucht wird. Um dies zu verhindern, sollte die gesamte Kommunikation mit dem E-Mail-Server mit Hilfe von TLS/SSL verschlüsselt werden. Dies schützt auch die E-Mails bei der Übertragung vor Kompromittierung und Manipulation. Die Möglichkeit, den Zugriff über POP3 oder IMAP mit Hilfe von TLS/SSL abzusichern, bieten inzwischen viele Provider an (siehe auch RFC 2595).

Das Passwort für den Zugriff auf den E-Mail-Server beim Provider sollte ausreichend lang und nicht leicht zu erraten sein, damit Unbefugte nicht auf die E-Mail zugreifen können. Es sollte außerdem regelmäßig gewechselt werden. Die Frage, ob das E-Mail-Passwort auf dem Internet-PC abgespeichert werden darf oder ob es bei jedem Zugriff neu eingegeben werden muss, kann nicht allgemein beantwortet werden. Dies hängt davon ab, wie viele Authentisierungsprozesse der Benutzer insgesamt durchlaufen muss (Anmeldung am Client, Einwahl beim ISP, usw.) und wie groß die Gefahr durch missbräuchliche Nutzung eingeschätzt wird. Weitere Empfehlungen zu Passwörtern sind in Maßnahme M 2.11 Regelung des Passwortgebrauchs aufgeführt.

Einige E-Mail-Clients bieten die Möglichkeit, E-Mails im HTML- oder Rich Text Format (RTF) zu erstellen. Beim HTML-Format besteht das Problem, dass darin auch aktive Inhalte, z. B. Javascript, und Verweise auf andere Objekte im Internet enthalten sein können. Dies hat schon mehrfach zu Sicherheitsproblemen geführt. Daher sollten keine E-Mails im HTML-Format versendet werden. Falls unbedingt Formatierungselemente, wie z. B. Schriftart und Farbe, benötigt werden, ist stattdessen das RTF-Format zu verwenden. Die Client-Programme sollten daher so konfiguriert werden, dass sie E-Mails im reinen Text-Format oder im RTF-Format erstellen und versenden.

Für eingehende HTML-formatierte E-Mails sollte der Client so konfiguriert werden, dass er bei der Anzeige solcher E-Mails keine aktiven Inhalte ausführt. Einige E-Mail-Clients zeigen HTML-formatierte E-Mails nicht selbst an, sondern starten einen externen Viewer oder Browser. In diesem Fall sollte ein Viewer bzw. Browser verwendet werden, der keine aktiven Inhalte ausführt. Außerdem sollte sichergestellt sein, dass beim Lesen der E-Mail keine Zugriffe auf andere Objekte im Internet erfolgen, beispielsweise indem die Internet-Verbindung vorher getrennt wird. Alternativ können HTML-formatierte E-Mails auch mit einem reinen Text-Editor geöffnet werden. Aufgrund der enthaltenen Steuerelemente (Tags) lässt sich der Inhalt dabei jedoch meist schwer lesen.

Einige Client-Programme bieten eine Vorschau-Funktion für E-Mails an. Dabei wird der Inhalt einer ausgewählten E-Mail angezeigt, ohne dass sie explizit vom Benutzer geöffnet wurde. Dadurch besteht die Gefahr, dass schädliche Inhalte in E-Mails unbeabsichtigt ausgeführt werden. Die Vorschau-Funktion sollte daher deaktiviert werden.

Attachments, d. h. Dateien, die als Anlage zum eigentlichen Text in der E-Mail enthalten sind, sind ein beliebtes Transportmedium für Computer-Viren, Würmer und andere Schadprogramme. Die im E-Mail-Programm angezeigte Dateinamenserweiterung (.jpg, .exe, usw.) stimmt außerdem nicht immer mit dem tatsächlichen Dateityp überein. Es gibt Techniken, mit denen in bestimmten Client-Programmen die tatsächliche Dateinamenserweiterung verborgen werden kann. Attachments in eingehenden E-Mails sollten daher grundsätzlich mit Misstrauen behandelt werden, insbesondere wenn die Übersendung nicht abgesprochen oder der Absender unbekannt ist. Vor dem Öffnen bzw. Starten sollten Attachments abgespeichert und mit einem Viren-Schutzprogramm geprüft werden.

Ausführbare Dateien und Dateien, die Änderungen an der Systemkonfiguration vornehmen können, beispielsweise .exe, .vbs, .reg unter Windows oder Shell-Skripten unter Linux, sollten nicht ohne Zustimmung der Administration gestartet werden. Vorsicht ist auch bei Attachments geboten, die offenbar keinen Bezug zur üblichen Geschäftsbeziehung mit dem Absender haben, z. B. Erotik-Angebote vom Steuerberater, oder wenn die E-Mail in einer anderen Sprache als sonst verfasst ist. Bei solchen Auffälligkeiten sollten die eventuell enthaltenen Attachments zunächst nicht geöffnet, sondern die Administration oder der IT-Sicherheitsbeauftragte verständigt werden. Zur Klärung kann auch beim Absender nachgefragt werden, was es mit den Attachments auf sich hat.

Unter Windows sollten möglichst nur solche Programme als Standardapplikationen konfiguriert werden, die keine Makros bzw. eingebetteten Skripten ausführen können. Für die meisten verbreiteten Dokumenten- bzw. Dateitypen, z. B. Word- oder Excel-Dateien, sind entsprechende Viewer verfügbar. Auf die Installation der vollwertigen Anwendungsprogramme, beispielsweise Microsoft Office, sollte nach Möglichkeit ganz verzichtet werden. Anstelle der Default-Einstellung Zusammenführen sollte für den Dateityp .reg ein Editor als Standardapplikation konfiguriert werden. Anderenfalls werden die in der Datei enthaltenen Registry-Einträge bei einem Doppelklick oder bei einem anderweitig ausgelösten Öffnen der Datei in die Registry des Internet-PCs eingetragen. Durch diese Konfigurationsänderung können u. a. Sicherheitseinstellungen ungewollt deaktiviert werden. Die Standardapplikation für Dateitypen kann vom Explorer aus über das Dialogfeld Ansicht | Optionen | Dateitypen geändert werden.

Auch via E-Mail werden in vielen Fällen Informationen übertragen, deren Vertraulichkeit und Integrität beim Transport vom Sender zum Empfänger geschützt werden müssen. Hierfür können Verschlüsselung und digitale Signaturen eingesetzt werden. Problematisch ist dabei, dass sich unterschiedliche Verfahren, wie S/MIME, GnuPG bzw. PGP und MailTrusT, für die kryptographische Absicherung von E-Mail etabliert haben, die gar nicht oder nur teilweise interoperabel sind. Bevor Verschlüsselung oder digitale Signatur für E-Mails eingesetzt werden kann, muss daher eine Abstimmung mit den Kommunikationspartnern darüber erfolgen, welches oder welche Verfahren verwendet werden (siehe auch M 5.63 Einsatz von GnuPG oder PGP ). Die hierzu benötigten Software-Komponenten werden häufig als Plug-Ins für gängige E-Mail-Programme angeboten. Falls mehrere verschiedene Plug-Ins zur E-Mail-Verschlüsselung verwendet werden sollen, ist darauf zu achten, dass keine technischen Probleme dadurch entstehen, dass diese in das gleiche E-Mail-Programm installiert werden.

Beim Empfang bzw. beim Lesen eingehender Nachrichten bieten gängige E-Mail-Programme die Möglichkeit, Empfangs- oder Lesebestätigungen anzufordern. Für eine Empfangsbestätigung muss der Server des Empfängers den DSN-Standard (Delivery Service Notification) unterstützen, für eine Lesebestätigung muss der E-Mail-Client den MDN-Standard (Message Disposition Notification) unterstützen. Abhängig vom E-Mail-Client kann dieser so eingestellt werden, dass er eine Bestätigungsanforderung immer, nie oder nur bei bestimmten Absender(kreisen) beantwortet.

Aus Sicht der Informationssicherheit sind solche Bestätigungsnachrichten in der Regel unproblematisch. Im Zusammenhang mit Werbe-E-Mails, die unspezifisch an eine große Anzahl von E-Mail-Adressen versendet werden, kann diese Funktion jedoch unerwünscht sein. Dem Absender wird dadurch signalisiert, dass die jeweilige E-Mail-Adresse existiert und ggf. auch dass die Werbe-E-Mail gelesen wurde.

Eingehende oder ausgehende E-Mails können bei einigen E-Mail-Clients auf Wunsch automatisch an einen festgelegten E-Mail-Empfänger oder eine Verteilerliste gesendet werden, beispielsweise als BCC (Blind Carbon Copy). Bei Thunderbird können hierfür entsprechende E-Mail-Adressen z. B. unter Einstellungen | Konten | Kopien & Ordner | BCC an diese E-Mail-Adressen eingetragen werden. Diese Funktion sollte nur verwendet werden, wenn sichergestellt ist, dass alle Personen, die auf die dort eingetragene E-Mail-Adresse zugreifen können, alle eingehenden bzw. ausgehenden E-Mails lesen dürfen. Anderenfalls besteht die Gefahr, dass vertrauliche Informationen ungewollt an Dritte weitergegeben werden.

Bei einigen Versionen des Betriebssystems Windows wird das Client-Programm Outlook Express mitgeliefert. Falls dieses Programm nicht benötigt wird, z. B. weil ein anderes Client-Programm eingesetzt oder ein Webmail-Dienst genutzt wird, sollte Outlook Express deinstalliert werden.

Für alle auf dem Internet-PC installieren Software-Komponenten muss sichergestellt sein, dass alle verfügbaren sicherheitsrelevanten Patches und Updates zeitnah eingespielt werden.

Prüffragen:

  • Erfolgt bei der Verwendung von externen Webmail-Diensten die gesamte Kommunikation verschlüsselt?

  • Ist das Passwort für den Zugriff auf den E-Mail-Server des Providers ausreichend komplex und wird darüber hinaus regelmäßig gewechselt?

  • Ist festgelegt, in welchem Format E-Mails zu erstellen und zu versenden sind?

  • Sind die E-Mail-Clients so konfiguriert, dass aktive Inhalte von E-Mails nicht ausgeführt werden?

  • Ist sichergestellt, dass E-Mail-Anhänge vor dem Öffnen mit einem Viren-Schutzprogramm geprüft werden?

  • Existieren Regelungen für E-Mail-Anhänge mit ausführbaren beziehungsweise sicherheitskritischen Dateien?

  • Ist geregelt, wie und ob eine automatische E-Mail-Weiterleitung zu erfolgen hat?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK