Weltweit werden an jedem Tag rund 360 Milliarden E-Mails versendet und empfangen. Rund ein Prozent davon, rund 3,4 Milliarden, sollte man besser nicht öffnen: Denn das sind Phishing-E-Mails, Cyberangriffe auf Daten und Technik der Nutzer. 94 Prozent aller erfolgreichen Angriffe auf die IT gehen solche Phishing-E-Mails voraus – ein Grund mehr, den technischen Schutz des Einfallstors E-Mail und auch die Schulung der Mitarbeiter zu prüfen und zu verbessern.
Das Gute vorweg: Fast 62 Prozent aller E-Mail-Nutzer haben bereits Erfahrung mit Phishing-E-Mails, schauen immer dann genau hin, wenn sich der Inhalt einer Mail besonders wichtig macht. Und vergleichen zumindest, ob die Absender-E-Mail zum vermeintlichen Absender passt. Aber: Gerade die jüngere Generation ist laut einer Studie der Uni Würzburg weniger in der Lage, Rechtschreibfehler in Mail-Absendern zu erkennen. Diese Generation fühlt sich auch besonders sicher im Umgang mit digitalen Medien, geht deshalb nicht selten lässiger damit um.
Technik prüfen – Mitarbeiter schulen
Unternehmen steuern gegen, immer mehr trainieren langjährige wie neue Mitarbeiter im Umgang mit Cybergefahren. Darin sind die großen Firmen vermutlich besser als die kleinen Arbeitgeber. Und das dürfte auch für den technischen Schutz vor Cyberangriffen gelten. Neben den Schutzmaßnahmen, die Unternehmen für ihre E-Mail-Konto ergreifen – beispielsweise ein starkes Passwort und eine Zwei-Faktor-Authentifizerung – finden im Hintergrund weitere technische Schutzmaßnahmen durch den Provider, also den Anbieter des E-Mail-Dienstes statt. Dabei ist der Hintergrund fast wörtlich zu verstehen: Diese Schutzmaßnahmen betreffen das sogenannte Backend, sie laufen ohne eine mögliche Einflussnahme der Nutzenden im verarbeitenden System ab. Bei E-Mails beziehen sie sich insbesondere auf den Transport der E-Mail und auf die E-Mail-Authentifizierung.
Server-Anbieter schon getestet
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt ein Tool entwickelt, um Sicherheitseigenschaften im Internet zu analysieren. Dabei kommen nicht-invasive Messmethoden zum Einsatz, indem zum Beispiel öffentlich zugängliche DNS-Daten von E-Mail-Domains ausgewertet werden. Auf diese Weise können Rückschlüsse auf sicherheitsrelevante Konfigurationen im E-Mail-Bereich gezogen werden – darunter Sicherheitseigenschaften wie SPF, DNSSEC und DANE. Der kostenlose E-Mail-Check des BSI prüft, ob der E-Mail-Anbieter des Unternehmens die Nachrichten verschlüsselt versendet, ob moderne Sicherheitsprotokolle verwendet werden und ob die E-Mails vor Manipulation geschützt sind. Zum Prüfwerkzeug für die Mailversender geht es hier. Viele Unternehmen nutzen die Mailservier kleinere Hoster, sollten sich dort schlau machen, wie hoch das Sicherheitslevel ist.
Digitale Identitäten gefährdet
Denn E-Mail-Accounts sind vergleichsweise leicht anzugreifen und bieten den Tätern die Möglichkeit, ganze Identitäten zu übernehmen, um damit Straftaten zu begehen, Daten zu stehlen, Falschinformationen zu verbreiten oder Personen zu diskreditieren. Der E-Mail-Account ist nicht nur der digitale Ort, in dem unser persönlicher Schriftverkehr stattfindet – dort laufen unsere digitalen Identitäten zusammen! Aus diesem Grund ist sie oft Einfallstor für verschiedenartige Angriffsmethoden von Cyberkriminellen und verdient besondere Aufmerksamkeit.
E-Mail-Sicherheitsjahr 2025
Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb zusammen mit dem eco – Verband der Internetwirtschaft e.V. und dem bitkom e.V. das E-Mail-Sicherheitsjahr 2025 ausgerufen. Ziel ist es, den E-Mail-Verkehr in Deutschland in der Fläche sicherer zu machen.
Autor:
Volksbank in Ostwestfalen – Bild © Pixel-Shot – adobe stock