Seit ihrer Entstehung hat sich die E-Mail als schnelles und unkompliziertes Kommunikationsmedium etabliert. Neben reinem Text eignet sich die E-Mail auch, um schnell kleinere Dateien wie Textdokumente oder Bilder auszutauschen. Obwohl mittlerweile diverse cloudbasierte Dienste für den Dateiaustausch angeboten werden, ist die E-Mail häufig noch die erste Wahl, wenn schnell Dateien wie Textdokumente oder Bilder an einen oder mehrere Empfänger verschickt werden sollen.

Was im privaten Umfeld vielleicht nützlich erscheint, kann sich im E-Mail-Marketing oder allgemein in der Kommunikation mit Kunden über E-Mail jedoch als problematisch erweisen. Besonders bei Transaktionsmails, die häufig dringend vom Kunden erwartet werden und zum Teil sensible Daten enthalten, kann dies zu Problemen führen.

Verbundene Herausforderungen und mögliche Konsequenzen werden im Folgenden erläutert:

Anhänge als Einfallstor für Malware

Anhänge sind ein beliebtes und häufiges Einfallstor für Malware. Sollte ein Krimineller daran interessiert sein, Phishing zu versenden, so wird er bewusst den Eindruck erwecken wollen, als würde der Versand von einer vertrauenswürdigen Quelle stammen. Je nach Art des Phishings könnte dies z.B. der Vorgesetzte, ein Finanzdienstleister oder Versicherungsunternehmen sein. Dies erhöht die Wahrscheinlichkeit und Gefahr, dass diese Anhänge auch geöffnet werden.

Meist sind die Anhänge zudem so manipuliert, dass sie Sicherheitslücken der Anwendung (z.B.: PDF Betrachter), des E-Mail Clients oder Betriebssystems ausnutzen, um den Computer des E-Mail Empfängers zu infizieren. Einmal unter der Kontrolle des Kriminellen, kann der Rechner unbemerkt Teil eines Bot-Netzwerkes werden und so Spam verschicken oder sich an DDoS Angriffen beteiligen. Ebenso kann sich ein Krimineller auf diese Weise Zugriff auf sämtliche Daten auf dem Rechner des E-Mail Empfängers verschaffen. Wegen dieser gravierenden Risiken prüfen Mailboxprovider und Spamfilter die Anhänge sehr gründlich. Als Konsequenz kann die Zustellbarkeit dieser E-Mails negativ beeinträchtigt werden. E-Mail Clients warnen oder verhindern zudem teilweise das Laden und Ausführen von Anhängen. Die Konsequenz wäre entsprechend, dass Empfänger diese E-Mails gar nicht erst erhalten würden oder Anhänge nicht lesen können.

Fehlende Verschlüsselung bedeutet fehlender Datenschutz

Nicht jeder E-Mail Server im Internet unterstützt STARTTLS als Transportverschlüsselung. Dieses Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security dient dazu, E-Mails sicher verschlüsselt zu versenden, weiterzuleiten oder zu empfangen. Ohne STARTTLS können sowohl der Inhalt der E-Mail als auch entsprechende Anhänge von dritten gelesen werden.

Selbst mit STARTTLS besteht noch die Gefahr eines „Man-in-the-Middle“-Angriffs, (MITM- Angriff) durch den E-Mails abgefangen werden können. Einen höheren Grad an Sicherheit kann man nur durch zusätzliche Protokolle wie DANE und DNSSEC erreichen. Diese sind jedoch noch nicht im Markt etabliert. Zusätzlich besteht die Gefahr, dass der Empfänger unwissentlich seine E-Mails unverschlüsselt vom Postfach in einem unsicheren Netzwerk abruft.

Nicht selten enthalten E-Mails oder Anhänge sensible Inhalte wie Zahlungsinformationen oder Versicherungs- oder Gesundheitsdaten, die nicht von unbefugten Personen gelesen werden sollen. Als Versender sollte man sich somit überlegen, welche Informationen man via E-Mail verschickt und welcher Schaden entstehen kann, wenn diese Informationen in falsche Hände geraten sollten.

Der Versender wird zur Verantwortung gezogen, wenn personenbezogene Daten öffentlich verbreitet werden. In diesem Fall greifen die Vorschriften der Artikel 32 ff. DS- GVO. Über das Sicherheitsleck müssen die Aufsichtsbehörden sowie der Betroffene informiert werden. Die Behörden können dann gegen den Versender Sanktionen verhängen, s. Artikel 58 DS-GVO.

E-Mail Anhänge sollten aus diesen Gründen im kommerziellen Umfeld vermieden werden. Eine empfehlenswerte Alternative für E-Mail Anhänge ist ein (Deep)Link zum Download im eigenen Kundenportal. Dort kann sich der Kunde mittels TLS-gesicherter Verbindung seine ihm zugeordneten Dokumente ansehen oder runterladen. So hat der Benutzer zudem die Möglichkeit, seine Dokumente zentral zu verwalten ohne einzelne Anhänge in seinem überfüllen E-Mail Client suchen zu müssen. Ein regelmäßiger Login im Portal schafft auch zusätzliche Kundenbindung und die Möglichkeit zur Bewerbung weiterer Angebote.

Autoren: Technical Team
der Certified Senders Alliance