Bundesamt für Sicherheit in der Informationstechnik

Sichere Nutzung von E-Mail (ISi-Mail-Client)

Die Nutzung von E-Mail wird auf verschiedene Weise gefährdet. So werden E-Mails zum Verbreiten von Schadprogrammen wie Viren, Würmer und Trojanische Pferde genutzt. Unerwünschte E-Mails (Spam) sind sowohl eine Belästigung für den Nutzer als auch eine Bedrohung für die Verfügbarkeit des E-Mail-Dienstes.

Die Studie (ISi-S) zum E-Mail-Client beschreibt, wie bestehenden Gefährdungen bei normalem Schutzbedarf mit geeigneten Maßnahmen begegnet werden kann. Diese Maßnahmen beziehen sich dabei auf eine sichere Architektur des E-Mail-Clients, eine geschützte Anbindung an den E-Mail-Server und einen sicheren Austausch von Informationen zwischen den einzelnen Kommunikationspartnern.

In der vorgeschlagenen Architektur wird die eigentliche E-Mail-Client-Software durch weitere Komponenten für verschiedene Sicherheitsüberprüfungen ergänzt:

  • Ein Virenschutzprogramm, das eingehende und ausgehende E-Mails auf Schadprogramme prüft,
  • Eine Anti-Spam-Software, die unerwünschte E-Mails erkennt und aussortiert,
  • Eine Anti-Phishing-Software, die Angriffe abwehrt, bei denen der Benutzer mittels gefälschter E-Mails dazu verführt wird, vertrauliche oder persönliche Daten preiszugeben, und
  • Eine Personal Firewall, die alle eingehenden und ausgehenden Verbindungen filtert.

Darüber hinaus wird empfohlen eine E-Mail-Richtline zu erstellen, die beschreibt, wie sich Anwender bei der Nutzung von E-Mail zu verhalten haben. Beispielsweise sollten Dateianhänge nicht unbedacht geöffnet werden, um einer Infizierung mit Schadprogrammen vorzubeugen.

Die Anbindung der E-Mail-Clients an den E-Mail-Server sollte über standardisierte Protokolle erfolgen, die mittels SSL/TLS (Secure Socket Layer/Transport Layer Security) zusätzlich durch Authentisierung und Verschlüsselung gesichert werden sollten.

Schließlich sollten für den sicheren Austausch von Informationen zwischen den einzelnen Kommunikationspartnern Verfahren zur Verschlüsselung und zur Erstellung digitaler Signaturen von E­Mails verwendet werden.

Dokumente der ISi-Reihe zu E-Mail-Client

Folgende Dokumente wurden bereits bzw. werden in Kürze veröffentlicht:

IT-Grundschutz

Mit den IT-Grundschutz-Katalogen stellt das BSI in Form von Bausteinen zu verschiedenen Themen Zusammenstellungen von Gefährdungen und Maßnahmen zur Verfügung. Nachfolgend werden exemplarisch einige dieser Gefährdungen und Maßnahmen herausgegriffen, die einen besonderen Bezug zum betrachteten Thema haben. Eine umfassende Grundsicherung nach IT-Grundschutz eines IT-Verbunds kann jedoch nur erreicht werden, wenn die im BSI-Standard 100-2 beschriebene IT-Grundschutz-Vorgehensweise insgesamt angewendet wird.

Die IT-Grundschutz-Kataloge widmen dem Thema "E-Mail" (B 5.3) einen eigenen Baustein. Hierin wird auf Gefährdungen und Maßnahmen Bezug genommen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK