Sichere E-Mail

Grundlagen

  • Kryptographische Signatur

    Mit der kryptographischen Signatur stellt der Absender einer Mail Informationen zur Verfügung, die Empfängern die Verifikation seiner Identität ermöglichen.

    In Mail-Programmen wird eine kryptographisch signierte Mail eindeutig gekennzeichnet (meist durch ein Briefsymbol oder ein Siegel-Symbol). Durch Anklicken des Symbols können weitere Informationen über die Signatur angezeigt werden. Beispiele:

    Outlook

    Thunderbird

    AppleMail

    SOGo

  • Verschlüsselung

    Mit der Verschlüsselung stellt der Absender einer Mail sicher, dass diese nur vom Empfänger gelesen werden kann. Sender und Empfänger müssen ein Nutzerzertifikat haben.

    Beachten Sie, dass Sie zum Entschlüsseln von verschlüsselten Mails, Dateien etc. immer auch den privaten Schlüssel brauchen. Das gilt auch für Mails, Dateien etc. die in der Vergangenheit von mittlerweile abgelaufenen Nutzerzertifikaten verschlüsselt wurden. Es empfiehlt sich daher, abgelaufene Nutzerzertifikate (oder generell private Schlüssel) aufzubewahren, falls Sie alte (mit dem abgelaufenen Nutzerzertifikat/Schlüssel) verschlüsselte Mails, Dateien etc. noch entschlüsseln wollen.

  • Nutzerzertifikat

    Um Mails kryptographisch signieren und/oder verschlüsseln zu können, wird ein Nutzerzertifikat benötigt. Während für die Verschlüsselung für Absender und Empfänger ein Nutzerzertifikat benötigt wird, reicht es für das kryptographische Signieren einer Mail aus wenn der Absender ein Nutzerzertifikat hat.

    Sie können hier ein Nutzerzertifikat beantragen (inkl. Schritt-Für-Schritt-Anleitungen):

  • Wie sicher ist die E-Mail?

    Man muss sich im Klaren sein, dass prinzipiell alle Inhalte inkl. Absender und Betreff einer E-Mail gefälscht sein können (mit Ausnahme von Teilen der Header-Informationen). Insbesondere die Absenderadresse und der Anzeigename des Senders können vorgetäuscht werden. In Kombination mit großen Datenlecks durch andere Phishing-Kampagnen (wie z.B. Emotet) können mit den abgeflossenen Daten täuschend echte Phishing-Mails erstellt werden, welche z.B. auf alten Mail-Verläufen aufbauen.

    Die einzige Möglichkeit einen Mail-Absender eindeutig zu verifizieren besteht darin, Mails kryptographisch zu signieren, sodass der Empfänger diese Signatur prüfen kann.

    Zögern Sie nicht die Telefonnummer eines Mailkontakts -außerhalb der Mail- nachzuschlagen und den vermeintlichen Absender telefonisch zur Verifikation zu kontaktieren, falls Signaturen nicht zur Verfügung stehen.

  • Mail-Spam-Abwehr an der LUH

    Die Mail-Filterung auf Malware (u.A. Viren) und Spam erfolgt an der Leibniz Universität Hannover zentral durch das Rechenzentrum.

    Informationen dazu, insbesondere zu den X-DFN-Spam-Leveln, gibt es hier:

Empfehlungen für den sicheren Umgang mit E-Mails

  • Mails kryptographisch signieren

    Wir empfehlen generell alle Mails kryptographisch zu signieren, die notwendigen Zertifikatsinformationen zum Austausch verschlüsselter Mails werden dadurch nebenbei verteilt.

    Absender, Betreff und Inhalt einer Mail sind frei wählbar und können nicht zur Verifikation des Absenders verwendet werden. Zögern Sie nicht die Telefonnummer eines Mailkontakts -außerhalb der Mail- nachzuschlagen und den vermeintlichen Absender telefonisch zur Verifikation zu kontaktieren, falls Signaturen nicht zur Verfügung stehen.

    Für das kryptographische Signieren von Mails wird ein Nutzerzertifikat benötigt, welches Sie hier beantragen können:

  • Mails nur im Text-Format anzeigen lassen

    Mail-Programme zeigen Mails oft standardmäßig in HTML an. Dies hat den Nachteil, dass z.B. bei Links die Link-Adresse durch einen Linktext verschleiert werden kann. Im Falle einer Phishing-Mail kann so z.B. ein schädlicher Link versteckt sein.

    Wir empfehlen daher, eingehende Mails nur im Text-Format anzeigen zu lassen, um mögliche versteckte Inhalte / schädliche Links in Phishing-Mails auf einem Blick erkennen zu können. Dies kann entweder standardmäßig eingestellt werden (empfohlen) oder für verdächtige Mails zum Überprüfen eingeschaltet werden. Nachfolgend die Konfigurationsbeispiele für die gängigsten Mail-Programme.

    Outlook

    Microsoft hat dazu einen Support-Artikel.

    Thunderbird

    AppleMail

    Temporär: Darstellung - E-Mail - Alternative für reinen Text

    Permanent: Über den folgenden Befehl (+Mail-Neustart) kann die permanente Anzeige von reinem Text erzwungen werden:

    $ defaults write com.apple.mail PreferPlainText -bool TRUE

    Die Einstellung kann zurückgenommen werden, indem der gleiche Befehl mit FALSE statt TRUE ausgeführt wird.

  • Mails nur im Text-Format versenden

    Die Etablierung von E-Mail-Kommunikation im HTML-Format birgt einige Risiken. Z.B. können bei Links die Link-Adressen durch einen Linktext verschleiert werden. Im Falle einer Phishing-Mail kann so z.B. ein schädlicher Link versteckt sein. Bei etablierten HTML-Mails vertrauen EmpfängerInnen möglicherweise eher dem Inhalt und überprüfen Links etc. weniger sorgfältig, sodass sie anfälliger für Phishing-Mails sind welche sich für etablierte Mails ausgeben bzw. diese kopieren.

    Wir empfehlen daher, ausgehende Mails nur im Text-Format zu verfassen und auf die Etablierung von HTML-Mails (wenn möglich) zu verzichten. Wenn HTML-Mails unbedingt verschickt werden müssen, dann sollten diese auf jeden Fall kryptographisch signiert sein.

    Nachfolgend zeigen wir Konfigurationsbeispiele für die gängigsten Mail-Programme.

    AppleMail

    Apple hat dazu einen Support-Artikel. Wir empfehlen hier, die Konfiguration so zu wählen, dass alle Mails im Text-Format verfasst werden.

    Outlook

    Microsoft hat dazu einen Support-Artikel. Wir empfehlen auch hier, das Ändern des Formats für alle neuen Nachrichten zu aktivieren.

    Sogo

    In den Einstellungen unter E-Mail - Allgemein - Nachrichten verfassen in: Reintext
    In den Konten-Einstellungen unter "Verfassen & Adressieren" des Kontos KEINE Checkbox ankreuzen bei "Nachrichten im HTML-Format verfassen"
  • Absendemailadresse komplett anzeigen lassen

    Mail-Programme kürzen (bekannte) E-Mail-Adressen oft mit einem Anzeigenamen / Alias ab. Wir empfehlen, die Einstellungen so zu ändern, dass immer die vollständige E-Mail-Adresse des Senders angezeigt wird, um Phishing-Mails direkt erkennen zu können. (Oft werden in Phishing-Mails mindestens der Anzeigename gefälscht).

    Thunderbird

    In Thunderbird kann der Anzeigename auch für bekannte Kontakte deaktiviert werden (empfohlen - Haken nicht setzen)

    Outlook

    Registerkarte Ansicht - Ansichtseinstellungen - Spalten. Dort dann die Spalte Empfängername hinzufügen.

  • Header-Informationen anzeigen lassen

    In den Header-Informationen von Mails sind viele Informationen enthalten. Eine detaillierte Erklärung der einzelnen Bestandteile würde an dieser Stelle zu weit führen. Es lohnt sich jedoch, die Header-Informationen von Mails detaillierter als standardmäßig üblich anzeigen zu lassen, um Phishing-Mails zu erkennen.

    AppleMail

    Apple hat dazu einen Support-Artikel.

    Outlook

    Microsoft beschreibt das Anzeigen von Kopfzeilen für Internetnachrichten in Outlook in einem Support-Artikel.

    Sogo

    In Sogo kann der Quelltext angezeigt werden, welcher die Header-Informationen enthält.

    Thunderbird

    Ändern der Anzeigeoption für Kopfzeilen auf "Alle"
    Vorher (Kopfzeilen=Normal): Es werden nur die Felder "Von", "Betreff" und "An" angezeigt.
    Nachher (Kopfzeilen=Alle): Es werden alle Informationen des Headers angezeigt (deutlich mehr als hier im Screenshot ersichtlich).
  • (Automatisches) Öffnen & Ausführen von Anhängen vermeiden

    Das Öffnen & Ausführen von Anhängen stellt ein großes Sicherheitsproblem dar. Schadcode wird ausgeführt und verbreitet sich selbst über Dateianhänge. In vielen Fällen ist es durch die Verwendung von Cloud-Diensten oder dem Download-Ticket-Service des LUIS nicht notwendig sich Dateien zuzusenden.

    Das automatisierte Öffnen & Ausführen von Anhängen sollte auf jeden Fall vermieden werden. Standardmäßig ist dies bei Mail-Programmen jedoch meist nicht aktiv.

  • Externe Inhalte in Nachrichten verbieten

    Es sollte vermieden werden, dass externe Inhalte einer E-Mail aus dem Internet heruntergeladen werden, sobald die Nachricht geöffnet wird. Einige Mail-Programme unterbinden dies standardmäßig, andere wiederum nicht. Daher sollte die korrekte Einstellung überprüft werden.

    AppleMail

    Apple hat dazu einen Support-Artikel (dort die Option "Entfernte Inhalte in Nachrichten laden" deaktivieren).

    Outlook

    Support-Artikel von Microsoft.

    SOGo

    Thunderbird

    Support-Artikel von Mozilla

    Die Option findet sich in den Einstellungen unter Datenschutz & Sicherheit. Empfohlen: Haken nicht setzen.
  • Versenden von E-Mails über Verteilerlisten

    Beim Versenden von E-Mails an viele Empfänger über eine Verteilerliste kann es sinnvoll sein zu verhindern, dass der einzelne Empfänger die gesamte Empfängerliste mit E-Mail Adressen erhält.

    Für diesen Zweck wird, nachdem die Mail wie gewohnt verfasst ist, im Feld „An“ nicht die Verteilerliste angegeben, sondern z. B. die eigene Adresse. Als eigentliches Adressfeld wird das Feld „BCC“ genutzt. BCC steht dabei für „Blind Carbon Copy“ und hat den Vorteil, dass für den einzelnen Empfänger alle anderen der Liste verdeckt und unsichtbar bleiben.

    Anders ist es in kleinen geschlossenen Kreisen wie z.B. Projektgruppen. Hier sollten die Adressen weiterhin in das "TO:/AN:"- oder "CC:"-Feld eingetragen werden, insbesondere dann, wenn jedem Empfänger kenntlich sein soll, welche Personen die Mail erhalten haben.

  • Versenden von signierten Mails an Mailverteiler (z.B. Listserv)

    Um über eine Mailingliste (Listserv) signierte Mails an die abonnierten Personen zu verschicken müssen einige Punkte beachtet werden:

  • Umgang mit nicht kryptographisch signierten Mails

    Bei dem Erhalt von nicht kryptographisch signierten Mails sollten Sie erhöhte Vorsicht walten lassen und Ihre "Security-Awareness" stärken. Machen Sie sich bewusst, dass fast alle Informationen in solchen Mails gefälscht sein können. Wir raten:

    • die zuvor genannten Empfehlungen für den sicheren Umgang mit E-Mails umsetzen / berücksichtigen, um Phishing-Mails zu erkennen
    • keine Links in E-Mails anklicken (insbesondere wenn die Mail als HTML angezeigt wird, da dann der "echte" Link nicht sofort sichtbar sein kann)
    • im Zweifel mit dem Absender telefonisch oder persönlich Rücksprache halten (insbesondere bei Aufforderungen zu Handlungen über Mail, z.B. Zahlungen oder Aufforderungen zum Versenden von Zugangsdaten)

Anleitungen

Anleitungen für die Verwendung eines Nutzerzertifikates in Mail-Programmen (Thunderbird, Outlook, AppleMail)
Anleitungen für die Nutzung von PGP, um z.B. verschlüsselte E-Mails an Uni-externe Personen senden zu können.
Dokumentation zur Einrichtung von LUIS-Mailboxen in Mail-Programmen.

FAQ

  • Was benötige ich, um meine Mails kryptographisch zu signieren?

    Sie benötigen ein Nutzerzertifikat, welches Sie anschließend in Ihrem Mail-Programm importieren können.

  • Ist eine Text-Signatur das gleiche wie eine kryptographische Signatur?

    Nein.

    Die Text-Signatur bezeichnet einen Textabschnitt (häufig am Ende) einer E-Mail. Sie wird meist dazu verwendet, um Informationen über den Absender (Name, Adresse, Telefonnummer o.ä.) automatisch in neu erstellte Mails einzufügen. Sie ist nicht geeignet um einen Absender zu verifizieren, da sie beliebig gewählt werden kann.

    Die kryptographische Signatur hingegen wird durch ein asymmetrisches Kryptosystem erstellt und ermöglicht Empfängern die Verifikation des Absenders.

  • Wie versende ich eine verschlüsselte Mail an eine (Universitäts-)externe Person?

    Das kann mithilfe von PGP realisiert werden. Weitere Informationen dazu finden Sie in unserer Anleitung.

  • Ich habe verdächtige Mails erhalten, was soll ich tun?

    Die meisten Spam-Phishing-Mails können gelöscht und ignoriert werden. Sind Sie sich jedoch unsicher oder haben mit dem Absender interagiert, kontaktieren sie im Zweifel bitte security@luis.uni-hannover.de

    Bitte senden Sie uns die verdächtigen Mails als Original im Anhang zu. Einfaches Weiterleiten reicht in diesem Falle nicht aus, da so die relevanten Header-Informationen verloren gehen.

  • Kann ich Spam-Mails zur Verbesserung der Spam-Abwehr melden?

    Ja.

    E-Mails, die von der Spamabwehr nicht erkannt wurden, nach Ihrer Auffassung aber Spam sind, senden Sie bitte (als Original im Anhang) an:

    spam@luis.uni-hannover.de

    Alternativ können Sie im Sogo-Webmailer die E-Mails als Spam markieren. Dazu wählen Sie die zu meldenden Mails aus und klicken anschließend auf das "Daumen runter"-Symbol, um die Mails  als Spam zu melden. Die Mails werden dann automatisch an spam@luis.uni-hannover.de gesendet und dort vom Mail-Team verarbeitet.

  • Wie sende ich eine verdächtige Mail im Original als Anhang weiter?

    Manchmal ist es nötig, dass Sie verdächtige Mails an das Sicherheitsteam senden (z.B. wenn Sie verdächtige Mails erhalten haben und weitere Informationen wünschen). Dies muss immer als Original im Anhang geschehen, da sonst (z.B. beim normalen Weiterleiten) die Header-Information der Mail verloren gehen. Im Folgenden wird gezeigt, wie das geht.

    AppleMail

    Öffnen Sie die E-Mail, dann in der Menüleiste über "E-Mail" - "Als Anhang weiterleiten" (oder über "Rechtsklick" auf die Mail die Sie weiterleiten wollen, dann "Als Anhang weiterleiten").

    Outlook

    Outlook verwirft bei der Weiterleitung leider wichtige Informationen, die X-DFN-Header. Diese werden von dem Mail-Team aber benötigt. Leiten Sie Spam-Mails daher bitte mit dem jeweiligen Webmail-Angebot weiter.

    Thunderbird

    "Rechtsklick" auf die Mail --> "Weiterleiten als: Anhang".

    Ein alternativer Weg ist per Drag-and-Drop:

    Beim Verfassen die verdächtige Mail per Drag-And-Drop aus dem Posteingang in das "Anhang"-Feld fallen lassen.
    Die Original-Mail ist nun als ".eml"-Datei im Anhang zu finden. Die Mail kann nun versendet werden.

    Outlook Webmailer (Workaround)

    Im Kontextmenü einer Mail aus der Liste aller Mails gibt es ein Element "Nachrichtendetails anzeigen". Dieses ist markiert. Im Kontextmenü einer Mail aus der Liste aller Mails gibt es ein Element "Nachrichtendetails anzeigen". Dieses ist markiert. Im Kontextmenü einer Mail aus der Liste aller Mails gibt es ein Element "Nachrichtendetails anzeigen". Dieses ist markiert.
    Im Kontextmenü ("Rechtsklickmenü") einer Mail auf "Nachrichtendetails anzeigen" klicken. Der danach angezeigte Text enthält leider nicht die komplette Mail, sondern nur die Header. Deswegen sollte dieser nicht an den Spamfilter gesendet werden. Für die Analyse durch das Sicherheitsteam ist er aber geeignet. Zum Versenden den Text markieren, kopieren und in eine eine Mail zum Versenden einfügen.
    Menü mit Unterpunkt "Nachrichtendetails anzeigen" in Outlook Webmailer. Erreichbar durch den Pfeil nach unten neben dem "Allen Antworten"-Feld in der Mailansicht. Menü mit Unterpunkt "Nachrichtendetails anzeigen" in Outlook Webmailer. Erreichbar durch den Pfeil nach unten neben dem "Allen Antworten"-Feld in der Mailansicht. Menü mit Unterpunkt "Nachrichtendetails anzeigen" in Outlook Webmailer. Erreichbar durch den Pfeil nach unten neben dem "Allen Antworten"-Feld in der Mailansicht.
    Der beschriebene Menüpunkt "Nachrichtendetail anzeigen" kann alternativ auch in der Mailansicht im Drop-Down-Menü neben dem "Allen Antworten"-Feld gefunden werden.
  • Meine Mailbox wurde gesperrt, wie kann ich sie wieder entsperren?

    Im Falle der Sperrung einer Mailbox erhalten Sie i.d.R. eine Nachricht vom LUIS oder Ihrem zuständigen Systemadministrator mit weiteren Instruktionen.

    Nachdem die Mailbox wieder entsperrt wurde, müssen weitere Schritte zur Reaktivierung vorgenommen werden. Diese sind hier beschrieben.

  • Die Signatur von Listserv-Mails wird als ungültig angezeigt. Was tun?

    Um über eine Mailingliste (Listserv) signierte Mails an die abonnierten Personen zu verschicken müssen einige Punkte beachtet werden:

  • Ich habe weitere Fragen, an wen kann ich mich wenden?

    Weitere Fragen bzgl. E-Mail-Sicherheit können Sie gerne an security@luis.uni-hannover.de richten.

Weitere Informationen

Das BSI präsentiert die vier gängigsten Irrtümer in der E-Mail-Sicherheit

Kontakt

IT-Sicherheit
Sicherheitsteam
IT-Sicherheit
Sicherheitsteam