Sicherheitsaspekte bei der Auswahl eines E-Mail-Programms

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat untersucht, inwiefern E-Mail-Programme relevante Eigenschaften wie Transport- und Inhaltsverschlüsselung, SPAM-, Phishing- und Tracking-Schutz sowie Prinzipien der Usable Security umsetzen. Im Rahmen dieser Untersuchung empfiehlt das BSI folgende Sicherheitsaspekte bei der Auswahl eines E-Mail-Programms.

Bei der Auswahl eines E-Mail-Programms sollten Verbraucher besonders auf folgende Sicherheitsmerkmale und Funktionen achten:

E-Mail-Programme sollten standardmäßig externe Inhalte wie eingebettete Bilder oder Tracking-Pixel blockieren, bis der Nutzer oder die Nutzerin deren Anzeige genehmigt oder einen Proxy Server beim Laden der Bilder verwenden. Dies schützt vor heimlichem Tracking.

Die Beschränkung auf reine Text-E-Mails ist ebenfalls ein wirkungsvolles Mittel, um die Sicherheit der E-Mail-Kommunikation zu erhöhen. Durch das Blockieren externer Inhalte verringert sich die Zahl potenzieller Angriffsflächen und unerwünschtes Tracking wird unterbunden, allerdings geht dies häufig mit Einschränkungen in der Darstellung einher.

Neben der Sicherheit bei der Kommunikation ist auch die lokale Sicherheit von Bedeutung. Zugangsdaten müssen auf dem Gerät verschlüsselt gespeichert werden, um im Falle eines unberechtigten Zugriffs geschützt zu sein. In der Regel speichern E-Mail-Programme E-Mails als Klartextdateien auf dem Endgerät. Daher sind Accountschutz, Bildschirmsperre, regelmäßige Updates, Virenschutz und eine Festplattenverschlüsselung ein wichtiger Schutz für die lokal gespeicherten E-Mails und Zugangsdaten.

Es ist empfehlenswert, Passwörter für E-Mail-Konten verschlüsselt abzulegen, um das Risiko unbefugten Zugriffs durch Schadsoftware oder Angreifer zu minimieren. Außerdem sollten bei Diebstahl, Reparatur oder Weiterverkauf des Endgeräts entsprechende Maßnahmen ergriffen werden, um die vertrauliche Kommunikation und die Zugangsdaten für die E-Mail-Konten zu schützen. Tokenbasierte Authentisierungsprotokolle wie zum Beispiel OAuth2 müssen von dem E-Mail-Programm und dem E-Mail-Anbieter unterstützt werden und können den Zugangsschutz zu dem E-Mail-Konto zum Beispiel durch das verwenden einer Multi-Faktor-Authentisierung erhöhen.

E-Mail-Programme sollten Ende-zu-Ende-Verschlüsselung unterstützen, etwa über S/MIME oder OpenPGP und bei Bedarf einfach zu verwenden sein. Diese Verfahren stellen sicher, dass E-Mail-Nachrichten bereits auf dem eigenen Gerät verschlüsselt und erst bei dem Empfänger wieder entschlüsselt werden. Selbst der E-Mail-Anbieter kann die Inhalte dabei nicht einsehen. Außerdem werden diese verschlüsselt gespeichert, was ebenfalls ein wirkungsvoller Schutz ist.

Zudem empfiehlt es sich, darauf zu achten, ob das E-Mail-Programm eine cloudbasierte Speicherung oder Synchronisation von Zugangsdaten vornimmt. Dabei sollte transparent sein, wie und wo diese Daten verarbeitet werden, um sicherzustellen, dass vertrauliche Informationen zuverlässig geschützt bleiben. Beim Wechsel des E-Mail-Programms mit Cloudspeicherung sollte darauf geachtet werden, dass die Daten übertragen werden können und eine zuverlässige Löschung der Daten beim Online-Dienst gewährleistet ist.

Regelmäßige Aktualisierungen des E-Mail-Programms, der Systemprogramme und Anwendungen sind ein zusätzlicher wichtiger Schutz. Da kontinuierlich auch neue Sicherheitslücken entstehen können, erhalten Nutzer durch zeitnah angebotene Softwareupdates den bestmöglichen Schutz. Bei fortlaufend weiterentwickelten E-Mail-Programmen reagieren die Hersteller zeitnah auf neue Bedrohungen und stellen (Sicherheits-)Updates bereit. Darüber hinaus wird sichergestellt, dass E-Mail-Programme stets aktuelle Sicherheitsstandards, beispielsweise bei der Verschlüsselung, verwenden können.

Fundstelle

Veröffentlichung „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) – abrufbar im Internet unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/DVS-Berichte/E-Mail-Programme.pdf?__blob=publicationFile&v=7