Sicherheit im E-Mail-Verkehr

Sicherheit im E-Mail-Verkehr

Hier möchten wir unseren Geschäftspartnern erklären, warum es sicherer ist, wenn man E-Mails im Format „nur Text“ empfängt und versendet statt im html-Format. Der nachstehende Text erklärt auch, warum es dann aber nicht möglich ist „eingebundene“ Dateien anzuzeigen. Die Sicherheitsvorteile von Nur-Text-E-Mails liegen in der

Verhinderung von Schadcode-Angriffen:

  • HTML-E-Mails können schädliche Skripte (z. B. JavaScript) enthalten, die ausgeführt werden, sobald die E-Mail geöffnet wird.
  • Diese Skripte können dazu verwendet werden, schädliche Aktionen durchzuführen, wie z. B. Daten abzugreifen oder Schadsoftware zu installieren.
  • Reduzierung von Tracking:
  • HTML-E-Mails ermöglichen das Einbetten von unsichtbaren Tracking-Pixeln, mit denen Absender sehen können, ob und wann eine E-Mail geöffnet wurde.
  • Nur-Text-E-Mails verhindern diese Nachverfolgung vollständig, da sie keine eingebetteten Inhalte unterstützen.

Es geht auch um die Verhinderung von Phishing-Angriffen:

  • HTML erlaubt es, Links zu tarnen, sodass der sichtbare Text einen seriösen Link zeigt, während der tatsächliche Ziel-Link gefährlich ist.
  • In Nur-Text-E-Mails wird der tatsächliche Link angezeigt, was es einfacher macht, Phishing-Versuche zu erkennen.

Nur Text bietet geringere Angriffsflächen:

  • HTML-E-Mails können komplexe Formatierungen und Multimedia-Inhalte enthalten, die Schwachstellen in E-Mail-Clients oder deren Render-Engines ausnutzen könnten.
  • Nur-Text-E-Mails enthalten ausschließlich Klartext, was solche Angriffe unmöglich macht.

Dateien „einbinden“ oder „anhängen“:

Das von uns gewählte Verfahren führt zu einer technischen Beschränkung, die aber keine Einschränkung der Kommunikation bedeuten, wenn man damit umzugehen weiß:

  • Nur-Text-E-Mails unterstützen keine HTML-Tags oder eingebetteten Inhalte wie Bilder, Videos oder Formatierungen.
  • Dateien wie Bilder oder PDF-Vorschauen können in Nur-Text-E-Mails daher nicht visuell eingebunden oder dargestellt werden.
  • Stattdessen werden sie als Anhänge angezeigt, die der Empfänger aktiv herunterladen und öffnen muss.

Gründe für unsere Sicherheitsentscheidung:

  • Das Fehlen eingebetteter Dateien erhöht die Sicherheit, da schädliche Inhalte nicht automatisch geladen werden können.
  • Beispielsweise können auch eingebettete Bilder schädlich sein (durch Exploits oder Tracking-Mechanismen).

Fazit:

Nur-Text-E-Mails bieten eine deutlich höhere Sicherheit, da sie potenzielle Angriffsflächen durch HTML und eingebettete Inhalte vermeiden. Die Einschränkung im Komfort ist nicht groß. Es ist halt nicht möglich, eingebundene Dateien oder Multimedia-Inhalte direkt in der E-Mail anzuzeigen. Stattdessen sind solche Inhalte nur über Anhänge verfügbar, was bewusste Handlungen der Absender und der Empfänger erfordert.

Wer unsere Haltung zu Sicherheitsthemen noch nicht versteht,
dem erklären wir das gern am Telefon noch mal ausführlich.