Zurück zur Startseite
Gedanken/Hinweise zu eMail/eMail-Sicherheit
Impressum & Datenschutz


Spätestens mit Emotet frage ich mich, warum dieser Schadcode überhaupt wirken kann. Und komme zu einer frappant einfachen Erklärung: eMail scheint heutzutage nicht mehr nur zum Mailen verwendet zu werden, sondern der eMail-Versandmechanismus zum Transport von (binärem) Schadcode!

Aktuelles Beispiel:



Mehr steht in der Mail nicht drin. Ehrlich!

Selbst der genannte Link ist völlig harmlos, auch wenn man nicht beim Absender (Eine 1&1-Mailadresse. So eine hat die Targobank wohl kaum!) oder der Fußnote (Targobank == TUI ???) stutzig werden würde. Wozu also die Panik? Lesen und wegwerfen. Fertig!

Eine weitere Analyse der emfangenen Nachricht brachte nun aber zutage, daß sie nicht nur diese Mail enthielt, sondern einen HTML-Code transportierte, der in einen Browser geworfen, so ausschaut:



Erst im HTML-Anhang kein verdachtserregender TUI-Footer mehr wie in der Mail und auch der Link führt mit Nichten zur Targobank, sondern - wie in der Statuszeile des Browsers zu erkennen - via uidbox.uimserv.net nach http://zumihrantogo.de.

Mein Fazit/meine Empfehlung - nicht nur zu diesem Erlebnis - lautet deswegen ganz einfach:

Liebe eMail-Versender: Nutzen Sie wann immer möglich ausschließlich eMail. Fügen Sie Ihrer eMail keinerlei Anhänge hinzu, selbst HTML kann kritisch werden, wenn es zum Verständnis der Mail vom Empfänger zu interpretieren sein muss¹). Von Microsoft DOC-Dateien oder gar ausführbarem Code ganz zu schweigen. SENDEN SIE AUSSCHLIESSLICH eMAIL!  Das geht nahezu immer, auch wenn HTML mehr Spaß zu machen scheint.

Liebe eMail-Empfänger: Lesen Sie ausschließlich nur Ihre eMail. Öffnen Sie keinerlei Anhänge, auch dann nicht, wenn er harmlos scheinendes HTML enthält. Erst recht nicht, wenn an der Mail DOC-Dokumente oder gar ausführbare Dateien hängen.  LESEN SIE AUSSCHLIESSLICH DIE eMAIL! Erliegen Sie nicht Ihrer Neugierde, was wohl im Anhang stehen mag.

Alle anderen Tipps, auch wenn sie sogar vom BSI stammen, sind - mit Verlaub - Unfug:

"Halten Sie Ihre Software aktuell"
oder "Nutzen Sie einen Virenscanner" schaffen nur trügerische Sicherheit! Liest man nur die eMail, kann nichts passieren! Öffnet man dagegen Anhänge oder führt gar Code aus jenen aus, nutzt auch kein Virenscanner. "Halten Sie Ihre Software aktuell" ist sogar kontraproduktiv, wenn und weil neuere Mailprogramme wohl ungefragt HTML-Anhänge interpretieren oder gar Binäranhänge speichern/ausführen. Mein "prähistorischer" Forte Agent 1.93 ist dagegen sicher: In dem lese ich ausschließlich die eMail. Anhänge, ja selbst schnödes HTML, muss ich dort explizit öffnen. Was ich zum Beispiel bei der o.g. Targobank-eMail zusammen mit anderen Phishing- oder Trojaner-Versuchen erst gar nicht veranstalte …

Gleichermaßen erschreckend wie auch zum Nachdenken anregend dabei ist aber: 

Nur bei geschätzt 5% meiner Mail schafft es der Absender, die zu übermittelnde Information in der Mail unterzubingen, weil es problemlos geht! Der Rest stopft die Info sinnloserweise in einen HTML-Anhang, obwohl es problemlos ginge, darauf zu verzichten!  Lediglich ebenfalls nur geschätzt 5% der Mail muss zum Transport von PDF-Dokumenten "missbraucht" werden. Meist Rechungen aus vertrauenswürdiger Quelle.

Irgendwie also kein Wunder, wenn viele Mailversender sinnloserweise Mailempfänger dazu zwingen, Anhänge zu öffnen, statt nur einfach die Mail zu lesen! Primär gefragt sind also die Versender: Nutzten sie ausschließlich Mail statt irgendeinen Firlefanz dranzuhängen, käme auch der Empfänger nicht auf die Idee, diesen Firlefanz zu öffnen.

Meine "Forderungen" - nein, eher Anregungen:

  • "Sicherheits"-Experten sollten ihr Gehirnschmalz in die Entwicklung sicherer Mailprogramme stecken, die ohne explizite Zustimmung des Empfängers lediglich die eMail anzeigen; Anhänge/HTML dagegen nur auf Anforderung mit entsprechender Warnung. Statt ihr Potential an den Transportwegen von eMail zu verschwenden.

  • Der Versand von Anhängen und/oder anderes als text/plain zu verwenden, sollte nur authorisierten Stellen mit Nachweis der Notwendigkeit gestattet sein.

  • Der Mailempfänger sollte allen Absendern unzweifelhaft klarmachen,  er akzeptiere ausschließlich eMail und öffne aus Sicherheitsgründen weder HTML noch andere Anhänge an der Mail.

________
¹) DHL beherrscht dies zum Beispiel: In deren Sendungsbenachrichtigungsmails steht relativ Nichtssagendes, die Sendungsnummer ist nur dem HTML-Anhang zu entnehmen. Warum? Die Nummer könnte trivial in der Mail genannt werden, der HTML-Anhang wäre dann überflüssig wie der sprichwörtliche Kropf.



Weitere Betrachtungen zu eMail:  Spam or not to Spam?

Und womer grad beim Thema eMail sind: Aus jahrelanger Erfahrung mit spamgefüllten Mailboxen habe ich mir einen mentalen Spamfilter angeeignet, der auf typische Spamkriterien reagiert. Dies sind zum Beispiel Betreffzeilen wie "Du hast im Lotto gewonnen!", "Anwalt/Recht/Mahnung" oder "[Important] / [Wichtig]"-Tags. Bei sowas Spamtypischem überfliege ich meist nur den Betreff und vermülle solche Wichtigtuer-Mail ungelesen.

Was aber machen seriöse Mailversender (wie Amazon und Marketplace-Partner) neuerdings? Schicken Mails mit "[Wichtig] Ihre Rechnung von …" im Subject. Dem Fass die Krone schlug neulich ein "
[Wichtig] Rechtliche Information zu Ihrer Bestellung über Amazon 316610" aus: Da vermeint man förmlich, ein Phishing oder einen Trojaner zu riechen, so plump ist der Versuch, im Betreff Aufmerksamkeit zu erzielen, Neugierde auf den Anhang zu wecken. Denkste: Die Mail war echt!

Danke an die "seriösen" Versender solcher "Klöpse": Sie sind nicht wenig schuld daran, daß man einen solchen Unfug trotz besseren Wissens öffnet … :-(




Weitere Betrachtungen zu eMail:  Höflichkeit ist optional?


Stellen Sie sich einmal vor, sie bekämen einen Brief, in dem in großen Lettern "Bitte antworten Sie nicht auf dieses Schreiben. Der Absender dieses Briefes nimmt keine Briefsendungen an" stünde. Und ja: Schickt man trotzdem einen Antwortbrief an den angegebenen Absender, kommt jener in der Tat mit "Empfänger unbekannt" zurück. Unhöflicher geht's nimmer, nicht wahr?

Steht dagegen Vergleichbares in einer eMail und fängt man sich bei einer Antwort einen sogenannten "Bounce" ein, wäre das dann minder unhöflich? Meiner Meinung nach nicht, sondern hier wie dort eine mittelprächtige "Lies gefälligst mein Schreiben, aber halte bloß Deine Antwortfresse"-Unverschämtheit!