Bundesamt für Sicherheit in der Informationstechnik

M 5.96 Sichere Nutzung von Webmail

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

Nicht jede Institution betreibt einen eigenen Mailserver, sondern nutzt die entsprechenden Dienstleistungen von externen Anbietern. Dabei ist Webmail eine einfache, benutzerfreundliche Variante, um über die Webserver der Anbieter auf Maildienste zuzugreifen. Mit Webmail werden alle Internet-basierten E-Mail-Dienste bezeichnet, bei denen zur Benutzung nur ein Browser als Client und eine Internet-Anbindung benötigt wird. Dazu gehören z. B. die Angebote von Web.de, Freenet.de oder gmx.de. Webbasierte E-Mail-Dienste erlauben den Zugriff auf E-Mails unabhängig vom Ort und Provider.

Bei der ersten Anmeldung bei einem Webmail-Dienstleister müssen in der Regel Name und Adresse des Benutzers, die gewünschte E-Mail-Adresse und ein Zugangspasswort angegeben werden. Einige Anbieter verlangen eine schriftliche Bestätigung der Anmeldung. Das gewählte Passwort dient bei nachfolgenden Anmeldungen zur Authentisierung. Der Benutzer erhält dann ein oder mehrere E-Mail-Adressen sowie ein Benutzerkonto, über das E-Mail empfangen, weiterverarbeitet und gesendet werden kann.

Es gibt eine Vielzahl von Anbietern von Webmaildiensten, viele davon bieten ihre Dienstleistungen sogar kostenlos an. Es ist zu beachten, dass diese sich nicht nur im Funktionsumfang unterscheiden (z. B. Postfachgröße, Fax, SMS, Spamfilter, etc.), sondern auch das Sicherheitsniveau stark variieren kann, bis hin zu gravierenden Sicherheitslücken.

Bei der Auswahl eines Dienstleisters sollte daher sorgfältig vorgegangen werden. Wichtig sind insbesondere die folgenden Punkte:

  • Die Allgemeinen Geschäftsbedingungen ( AGB s) sollten zunächst einmal überhaupt auffindbar und abrufbar sein, außerdem sollten sie verständlich sein und keinen unakzeptablen Bedingungen enthalten. Letzteres heißt u. a., dass der Datenschutz gewährleistet sein sollte. Der Kunde sollte also nicht der Weitergabe seiner personenbezogenen Daten zustimmen müssen, was häufig in Werbeflut resultiert. Ebenso sollten gravierende Änderungen der Dienstleistungen und Kostenstrukturen rechtzeitig angekündigt werden, damit die Kunden reagieren können (z. B. Posteingänge umleiten, Postfächer sichern).
  • Bei Vielreisenden ist ein weltweiter Zugriff auf die Postfächer wichtig. Außerdem sollte generell getestet werden, wie lange der Versand bzw. Empfang von E-Mails dauert.
  • Neben der Benutzerfreundlichkeit des Angebotes sollte auch untersucht werden, ob Onlinehilfen, FAQ s oder andere Dokumentation vorhanden ist. Außerdem sollte die Erreichbarkeit und Kompetenz des Supportteams hinterfragt werden (per E-Mail, Telefon oder Fax).
  • Bei der Bewertung der Sicherheit des Angebotes sollten die technischen und organisatorischen Sicherheitsvorkehrungen betrachtet werden:
    • Es sollte möglich sein, über eine verschlüsselte Verbindung auf das Benutzerkonto zuzugreifen, z. B. über SSL.
    • Die E-Mail sollte verschlüsselt bzw. digital signiert werden können.
    • Es ist zu hinterfragen, ob eine Prüfung der Identität von Neukunden stattfindet, ob es beispielsweise möglich ist, sich unter falschem Namen oder falscher Adresse anzumelden oder sich fehlleitende E-Mailadressen wie support@... auszusuchen. Die Identität des Kunden sollte postalisch geprüft werden.
    • Jeder kann einmal ein Passwort vergessen. Trotzdem ist es kein gutes Zeichen, sondern falsch verstandene Benutzerfreundlichkeit, wenn man bei der Hotline ohne große Nachfragen ein neues Passwort erhält. Hier müssen vernünftige Sicherheitsüberprüfungen eingebaut sein.
    • Für den Zugriff auf die Webmail-Dienste sollten keine aktiven Inhalte akzeptiert werden müssen (Java, JavaScript, ActiveX).
    • Eine Virenprüfung der ein- und ausgehenden E-Mail sollte selbstverständlich sein.
    • Spamfilterung sollte möglich sein.

Auch bei der Nutzung von Webmail-Diensten sind einige Punkte zu beachten:

  • Das Passwort für den Zugriff auf die Webmail-Dienste sollte geeignet gewählt sein, also lang genug (mindestens 8 Stellen) und kompliziert genug (Zahlen, Buchstaben und Sonderzeichen). Das Passwort sollte regelmäßig gewechselt werden. Es darf auf keinen Fall auf dem PC abgespeichert oder am PC aufbewahrt werden. Weitere Hinweise zur Passwortauswahl finden sich in M 2.11 Regelung des Passwortgebrauchs .
  • Für den Zugriff auf das Benutzerkonto sollte SSL benutzt werden.
  • E-Mail sollte möglichst verschlüsselt bzw. digital signiert werden. Hierzu ist in der Regel eine Abstimmung mit dem Empfänger darüber erforderlich, welche kryptographischen Verfahren und Programme hierfür auf beiden Seiten zur Verfügung stehen.
  • Auch wenn der Anbieter Virenschutz verspricht, sollten Dateianhänge außerdem auf dem eigenen Rechner auf Viren überprüft werden.
  • Eingehende E-Mails sollten regelmäßig gelesen werden. Wichtige E-Mails sollten lokal gespeichert werden. Außerdem sollten die Postfächer regelmäßig aufgeräumt werden, also lokal bereits gespeicherte oder unwichtige E-Mails gelöscht werden. Darüber hinaus sollten die Postfächer regelmäßig auf lokale Datenträger gespeichert werden, aber auch die lokal gespeicherten E-Mails sorgfältig gesichert werden.
  • Der Webmail-Dienst sollte immer über den Log-Out-Button oder ähnliche Mechanismen verlassen werden, damit keine anderen Benutzer des lokalen PCs auf die Webmail zugreifen können.

HTML-formatierte E-Mails können Sicherheitsprobleme verursachen (siehe G 5.103 Missbrauch von Webmail ). Es sollte vermieden werden, HTML-formatierte E-Mails oder solche mit aktiven Inhalten zu versenden. Der Provider sollte die Möglichkeit anbieten, dass eventuell in eingehender E-Mail enthaltene aktive Inhalte herausgefiltert werden. Außerdem sollten E-Mail-Clients gewählt werden, bei denen HTML-formatierte E-Mails als solche zu erkennen sind, damit der Benutzer diese nicht unbewusst öffnet.

Prüffragen:

  • Sind die allgemeinen Geschäftsbedingungen des Webmail-Dienstleisters mit den Anforderungen der Institution vereinbar?

  • Entsprechen die vom Webmail-Dienstleister angebotenen technischen und organisatorischen Sicherheitsmaßnahmen den Anforderungen der Institution?

  • Sind die für die Webmail-Dienste eingesetzten Passwörter ausreichend komplex und werden regelmäßig gewechselt?

  • Ist die lokale Speicherung von E-Mails bei der Nutzung von Webmail-Diensten und das Bearbeiten des Postfaches geregelt?

  • Gibt es Regelungen für die sichere Nutzung von Webmail-Diensten?

Stand: 13. EL Stand 2013