E-Mail Sicherheit - Tobias Lange Externer Datenschutzbeauftragter

E-Mail Sicherheit und die Technik hinter E-Mails ist kompliziert geworden. Es geht dabei längst um mehr als nur das funktionieren von Empfang und Versenden von E-Mails. Musste man früher dazu nur IMAP oder POP3 als Verfahren kennen, gestaltet sich die Technik rund um E-Mails und die E-Mail Sicherheit heute viel komplexer.

E-Mail Sicherheit fängt auf dem DNS Server an. Hier kann man sehr viele Einstellungen machen, um Schutz vor SPAM und Spoofing zu tätigen. Gängig in diesem Zusammenhang sind zum Beispiel DMARC und DKIM, was ich zum Beispiel für meine Kunden einrichte. Inzwischen ist auch DNSSEC, auch im Zusammenhang mit DANE, ein Sicherheitsstandard, den man, wenn er beim Provider verfügbar ist, unbedingt aktivieren sollte.

Das wichtigste beim E-Mailverkehr ist natürlich, dass die verschickten E-Mails beim Empfänger auch ankommen. Falsch eingestellte E-Mail-Server oder DNS-Einträge verhindern das oftmals. So können ganz gewöhnliche E-Mails einen hohen SPAM-Score haben oder werden, wegen falscher Einstellungen des eigenen DNS Servers, aufgrund von Reverse-DNS Verfahren beim Empfänger abgelehnt.

Ein wichtiger Punkt bei der E-Mailsicherheit ist auch der Umgang des Menschen mit den E-Mails. Sowohl mit den E-Mails, die man empfängt, als auch mit denen, die man schreibt. Eine gute Schulung der Mitarbeiter*innen einer Organisation ist sehr wichtig und zahlt sich immer aus. E-Mail Sicherheit fängt ganz klar bei den Mitarbeiter*innen an. Klicken diese auf einen Link mit Schadware oder öffnen einen Anhang, der bösartigen Code enthält, nützen meist auch alle technischen Vorkehrungen nicht.

Es wäre in jedem Fall zu kurz gegriffen, die E-Mail Sicherheit auf den Empfang von E-Mails zu beschränken. Ebenso wichtige Themen sind die Verschlüsselung und das Versenden von E-Mails. Bei letzterem ist auf die richtige Nutzung der Felder „An, Cc und Bcc“ und auf weitere Details zu achten.

Ich entwickle für meine Kunden passende Konzepte bei der E-Mail Sicherheit und analysiere Schwachstellen bzw. Handlungsbedarf. Daneben gebe ich Schulungen für Mitarbeiter*innen, die inzwischen auch von den Datenschutzbehörden indirekt vorgeschrieben sind.