Seit ihrer Entstehung hat sich die E-Mail als schnelles und unkompliziertes Kommunikationsmedium etabliert. Neben reinem Text eignet sich die E-Mail auch, um schnell kleinere Dateien wie Textdokumente oder Bilder auszutauschen. Obwohl mittlerweile diverse cloudbasierte Dienste f\u00fcr den Dateiaustausch angeboten werden, ist die E-Mail h\u00e4ufig noch die erste Wahl, wenn schnell Dateien wie Textdokumente oder Bilder an einen oder mehrere Empf\u00e4nger verschickt werden sollen.<\/p>\n
Was im privaten Umfeld vielleicht n\u00fctzlich erscheint, kann sich im E-Mail-Marketing oder allgemein in der Kommunikation mit Kunden \u00fcber E-Mail jedoch als problematisch erweisen. Besonders bei Transaktionsmails, die h\u00e4ufig dringend vom Kunden erwartet werden und zum Teil sensible Daten enthalten, kann dies zu Problemen f\u00fchren.<\/p>\n
<\/p>\n
Verbundene Herausforderungen und m\u00f6gliche Konsequenzen werden im Folgenden erl\u00e4utert:<\/p>\n
<\/p>\n
Anh\u00e4nge sind ein beliebtes und h\u00e4ufiges Einfallstor f\u00fcr Malware. Sollte ein Krimineller daran interessiert sein, Phishing zu versenden, so wird er bewusst den Eindruck erwecken wollen, als w\u00fcrde der Versand von einer vertrauensw\u00fcrdigen Quelle stammen. Je nach Art des Phishings k\u00f6nnte dies z.B. der Vorgesetzte, ein Finanzdienstleister oder Versicherungsunternehmen sein. Dies erh\u00f6ht die Wahrscheinlichkeit und Gefahr, dass diese Anh\u00e4nge auch ge\u00f6ffnet werden.<\/p>\n
Meist sind die Anh\u00e4nge zudem so manipuliert, dass sie Sicherheitsl\u00fccken der Anwendung (z.B.: PDF Betrachter), des E-Mail Clients oder Betriebssystems ausnutzen, um den Computer des E-Mail Empf\u00e4ngers zu infizieren. Einmal unter der Kontrolle des Kriminellen, kann der Rechner unbemerkt Teil eines Bot-Netzwerkes werden und so Spam verschicken oder sich an DDoS Angriffen beteiligen. Ebenso kann sich ein Krimineller auf diese Weise Zugriff auf s\u00e4mtliche Daten auf dem Rechner des E-Mail Empf\u00e4ngers verschaffen. Wegen dieser gravierenden Risiken pr\u00fcfen Mailboxprovider und Spamfilter die Anh\u00e4nge sehr gr\u00fcndlich. Als Konsequenz kann die Zustellbarkeit dieser E-Mails negativ beeintr\u00e4chtigt werden. E-Mail Clients warnen oder verhindern zudem teilweise das Laden und Ausf\u00fchren von Anh\u00e4ngen. Die Konsequenz w\u00e4re entsprechend, dass Empf\u00e4nger diese E-Mails gar nicht erst erhalten w\u00fcrden oder Anh\u00e4nge nicht lesen k\u00f6nnen.<\/p>\n
<\/p>\n
Nicht jeder E-Mail Server im Internet unterst\u00fctzt STARTTLS als Transportverschl\u00fcsselung. Dieses Verfahren zum Einleiten der Verschl\u00fcsselung einer Kommunikation mittels Transport Layer Security dient dazu, E-Mails sicher verschl\u00fcsselt zu versenden, weiterzuleiten oder zu empfangen. Ohne STARTTLS k\u00f6nnen sowohl der Inhalt der E-Mail als auch entsprechende Anh\u00e4nge von dritten gelesen werden.<\/p>\n
Selbst mit STARTTLS besteht noch die Gefahr eines \u201eMan-in-the-Middle\u201c-Angriffs, (MITM- Angriff) durch den E-Mails abgefangen werden k\u00f6nnen. Einen h\u00f6heren Grad an Sicherheit kann man nur durch zus\u00e4tzliche Protokolle wie DANE und DNSSEC<\/em> erreichen. Diese sind jedoch noch nicht im Markt etabliert. Zus\u00e4tzlich besteht die Gefahr, dass der Empf\u00e4nger unwissentlich seine E-Mails unverschl\u00fcsselt vom Postfach in einem unsicheren Netzwerk abruft.<\/p>\n <\/p>\n Nicht selten enthalten E-Mails oder Anh\u00e4nge sensible Inhalte wie Zahlungsinformationen oder Versicherungs- oder Gesundheitsdaten, die nicht von unbefugten Personen gelesen werden sollen. Als Versender sollte man sich somit \u00fcberlegen, welche Informationen man via E-Mail verschickt und welcher Schaden entstehen kann, wenn diese Informationen in falsche H\u00e4nde geraten sollten.<\/p>\n Der Versender wird zur Verantwortung gezogen, wenn personenbezogene Daten \u00f6ffentlich verbreitet werden. In diesem Fall greifen die Vorschriften der Artikel 32 ff. DS- GVO. \u00dcber das Sicherheitsleck m\u00fcssen die Aufsichtsbeh\u00f6rden sowie der Betroffene informiert werden. Die Beh\u00f6rden k\u00f6nnen dann gegen den Versender Sanktionen verh\u00e4ngen, s. Artikel 58 DS-GVO.<\/p>\n <\/p>\n E-Mail Anh\u00e4nge sollten aus diesen Gr\u00fcnden im kommerziellen Umfeld vermieden werden. Eine empfehlenswerte Alternative f\u00fcr E-Mail Anh\u00e4nge ist ein (Deep)Link zum Download im eigenen Kundenportal. Dort kann sich der Kunde mittels TLS-gesicherter Verbindung seine ihm zugeordneten Dokumente ansehen oder runterladen. So hat der Benutzer zudem die M\u00f6glichkeit, seine Dokumente zentral zu verwalten ohne einzelne Anh\u00e4nge in seinem \u00fcberf\u00fcllen E-Mail Client suchen zu m\u00fcssen. Ein regelm\u00e4\u00dfiger Login im Portal schafft auch zus\u00e4tzliche Kundenbindung und die M\u00f6glichkeit zur Bewerbung weiterer Angebote.<\/p>\n Autoren: Technical Team
\nder Certified Senders Alliance<\/p>\n","protected":false},"author":17,"featured_media":3620,"template":"","categories":[131],"tags":[85,86,87],"yoast_head":"\n