Schnelle Tipps zur E-Mail-Sicherheit

E-Mails sind ein fester Bestandteil des täglichen Lebens von Erwachsenen in den USA.

So erhält eine durchschnittliche Person beispielsweise über 100 E-Mails pro Tag.  Um all das zu sortieren, verbringen Arbeitnehmer durchschnittlich fünf Stunden pro Tag mit dem Abrufen ihrer E-Mails. Angesichts der Tatsache, dass dieses Kommunikationstool so einen großen Teil unserer Aufmerksamkeit beansprucht, ist es kein Wunder, dass Cyberkriminelle es als bevorzugte Methode für die Durchführung größerer Angriffe nutzen.

Sehen Sie sich ein paar aufsehenerregende Beispiele aus den letzten Jahren an:

• Bei einem BEC-Angriff (Business Email Compromise) fälschen oder übernehmen Hacker die E-Mail eines seriösen Unternehmens oder einer seriösen Person, um eine Überweisung zu verlangen oder eine gefälschte Rechnung zu senden, um Zahlungen umzuleiten. Bei einem kürzlich erfolgten BEC-Angriff verlor der Norwegian Investment Fund mehr als € 9 Millionen, als Betrüger eine E-Mail-Adresse fälschten und Barzahlungen auf ihre Konten umleiteten.
• Das FBI schätzt, dass sich allein im Jahr 2021 die durch BEC-Angriffe entstandenen Schäden auf € 2,2 Milliarden beliefen.
• Das Fortune-500-Versicherungsunternehmen Magellan wurde Opfer von Ransomware in einem mehrstufigen Angriff, der mit einer Phishing-Kampagne begann, die sich als Kunde des Unternehmens ausgab. Die Angreifer stahlen zudem Zugangsdaten und sensible Mitarbeiterinformationen.

Die Cloud eröffnet viele neue Möglichkeiten für die Zusammenarbeit und den Informationsaustausch, und in Zukunft könnten diese Tools die E-Mail als Hauptkommunikationsmittel ersetzen. Bis es dazu kommt, gibt es Möglichkeiten, die Sicherheit Ihrer E-Mails zu erhöhen.

Tipps zur E-Mail-Sicherheit für das Jahr 2022

1. Verwenden Sie starke Passwörter

Manche Dinge ändern sich nie. Ob 1992 oder 2022 – das Merken von Passwörtern ist ein Ärgernis.  Daher erstellen viele Menschen einfache Passwörter und verwenden sie häufig wieder (z. B. “Passwort 1234” oder den Namen eines Haustiers).

Die Verwendung von einfachen Passwörtern und/oder die Wiederverwendung der gleichen Passwörter für Ihr E-Mail-Konto und verschiedene Online-Dienste ist jedoch eine gefährliche Praxis, denn es genügt, eines dieser Passwörter zu knacken, damit Ihre Anmeldedaten im Darknet fast kostenlos verfügbar werden.

Dies sind einige Best Practices, die Sie befolgen sollten:

• Erstellen Sie lange Passwörter, die Buchstaben, Zahlen und Symbole kombinieren und keine Wörter aus dem Wörterbuch oder persönliche Daten enthalten. Ziehen Sie Passphrasen in Betracht, die aus der Kombination des ersten Buchstabens jedes Wortes in einem Satz bestehen, z. B. “Ich habe seit meiner Kindheit 1011 Mal die Teenage Mutant Ninja Turtles gesehen”, und die zu einem Passwort werden könnten: !HSMK1011MDTMNTG!
• Verwenden Sie Ihr E-Mail-Passwort nicht erneut für andere Konten.
• Ziehen Sie die Verwendung eines Passwortmanagers in Betracht, der Ihnen hilft, starke Passwörter zu erstellen und sie sicher zu speichern.
• Achten Sie auf undichte Stellen – viele Finanzinstitute bieten dies als Teil eines kostenlosen Kreditüberwachungsdienstes für Kunden an.

2. Achten Sie auf die 5 Anzeichen einer Phishing-E-Mail

Beim Phishing handelt es sich um betrügerische Kommunikation mit der Absicht, vertrauliche Daten (wie Kreditkarteninformationen oder Anmeldedaten) zu stehlen, Malware in ein Computersystem einzuschleusen, Finanzbetrug zu begehen, oder praktisch jedes andere betrügerische Unterfangen, das Sie sich vorstellen können.

Betrüger werden immer besser darin, E-Mail-Benutzer auszutricksen, aber Sie sollten dennoch auf Warnsignale achten, z. B. Grammatikfehler und ungewöhnliche Anfragen. Trauen Sie einer E-Mail nicht, nur weil die Absenderadresse korrekt aussieht, denn E-Mail-Adressen können leicht gefälscht werden.

Achten Sie auf mehrere Teile jeder E-Mail, um festzustellen, ob sie vertrauenswürdig ist:

1. Der Name des E-Mail-Kontos:

Direkt vor der eigentlichen E-Mail-Adresse kann in Ihrem Posteingang ein Name angezeigt werden. Es ist wichtig, sich den Namen anzusehen und ihn mit der ebenfalls verwendeten E-Mail-Adresse zu vergleichen. In dem obigen Beispiel kommt die Nachricht laut Zusammenfassung des Posteingangs von “Employee Benefits”. Es gibt eine Reihe von Fragen, die Sie sich stellen sollten, wenn Sie diesen Namen sehen.

1. Kenne ich diesen Namen? Seien Sie misstrauisch! Nennt sich das HR-Team Ihres Unternehmens “Employee Benefits”?
2. Vergleichen Sie den Namen des E-Mail-Kontos mit anderen Bestandteilen der E-Mail, insbesondere mit der E-Mail-Adresse, von der die E-Mail stammt.

Vielleicht ist “Employee Benefits” für sich genommen nicht verdächtig genug, um bei Ihnen die Alarmglocken läuten zu lassen, aber wenn Sie sich die E-Mail-Adresse ansehen und feststellen, dass sie überhaupt nicht mit dem Kontonamen übereinstimmt, wissen Sie, dass Sie der E-Mail nicht trauen können.

2. Die E-Mail-Adresse:

Es gibt vier Hauptbestandteile, auf die Sie besonders achten sollten:

username@domainname.extension

A) Der Benutzername des Absenders lautet discountprogram2021.supportlocal@gmail.com.

Sieht das so aus, als käme sie von dem Absender, als der sich der Verfasser der E-Mail ausgibt? Sind Sie mit diesem E-Mail-Benutzernamen vertraut? Entspricht er Ihren Erwartungen?

B) Die Position des @-Symbols.

Manchmal platzieren Cyberkriminelle das @-Symbol an ungewöhnlichen Stellen, um Ihre Aufmerksamkeit zu umgehen und Sie zu überlisten. Wenn Ihr Unternehmen ein “A” im Namen hat, wie z. B. Ark Enterprises, könnten sie versuchen, eine E-Mail-Adresse zu verwenden, die die Position des @ manipuliert, wie z. B. tina.fayton@rkenterprises.com.

C) Der Domänenname.

Sie müssen bedenken, von wem die E-Mail kommt. Wenn sie von Ihrem eigenen Unternehmen stammt: Passt der Domänenname zu Ihrem Unternehmen? Stimmt er mit dem Unternehmen überein, von dem sie angeblich stammt?

D) Die Top-Level-Domain.

Manchmal stimmen alle anderen Teile der E-Mail-Adresse mit dem überein, was man erwarten würde, außer der Top-Level-Domain! Achten Sie auf die Top-Level-Domain, um festzustellen, ob sie sich von dem unterscheidet, was Sie erwarten würden, wie z. B. .net, .org, .co oder eine andere Domäne, die nicht mit dem übereinstimmt, von dem die E-Mail angeblich stammt. Sehen Sie nicht darüber hinweg!

3. Dringlichkeit.

Die Bösewichte wissen, dass Sie nicht so aufmerksam sind, wie Sie sein sollten, wenn es ihnen gelingt, Ihren Stresspegel zu erhöhen. Das Erhöhen der Dringlichkeit oder das Hinzufügen von Gefahrhinweisen zu ihrer Nachricht kann leicht zur Folge haben, dass Sie sich beeilen, was die Wahrscheinlichkeit erhöht, dass Sie nicht länger nachdenken, bevor Sie antworten oder handeln.

Der Tipp: Halten Sie kurz inne und nehmen Sie sich Zeit, um festzustellen, ob eine E-Mail vertrauenswürdig ist.

4. Verlockende Angebote.

Betrüger sind großartige Psychologen, die wissen, wie sie an Ihr Gefühl der Dringlichkeit oder an Ihre Neugier appellieren können. Cyberkriminelle wissen auch, dass sie bessere Chancen haben, Sie zu einer Antwort oder einem Klick auf ihren Link und zum Handeln zu bewegen, wenn sie Ihr Interesse wecken können.

In vielen Fällen setzen die Betrüger auf Quantität und senden ihre Angebote an so viele Menschen wie möglich, in der Hoffnung, dass sie bei einer Handvoll Interessierter auf offene Ohren stoßen. In anderen Fällen zielen sie mit einem spezifischeren Betrugsangebot auf eine Nischengruppe ab.

Im Folgenden finden Sie einige Best Practices, mit denen Sie vermeiden, auf verlockende Angebote hereinzufallen:

1. Gehen Sie nicht von Ihrem Arbeitscomputer aus darauf ein. Sie sollten Ihr Arbeitsgerät und Ihre Arbeitskonten ohnehin nicht für private Dinge verwenden!
2. Denken Sie daran: Wenn ein Angebot zu gut erscheint, um wahr zu sein, ist es das wahrscheinlich auch nicht!
3. Wenn das Angebot von einem verdächtigen Absender kommt, klicken Sie es nicht an!
4. Handlungsaufforderung.

Alles in der E-Mail, die ganze Arbeit, die der Cyberkriminelle dort hineingesteckt hat, dient nur dazu, Sie zu überzeugen, etwas zu unternehmen und entweder auf den angegebenen Link zu klicken, den Anhang herunterzuladen oder zu antworten.

5. FAHREN SIE NICHT FORT.

Vertrauen Sie Links nicht blind! Laden Sie Anhänge nicht blindlings herunter. Antworten Sie nicht blindlings.
Sie müssen sich immer vergewissern, dass es sich um eine vertrauenswürdige E-Mail handelt, bevor Sie etwas unternehmen.

Wenn Sie mit einem Laptop/Desktop arbeiten, können Sie den Mauszeiger über den Link bewegen (ohne zu klicken), um die URL zu sehen, zu der Sie weitergeleitet werden, wenn Sie klicken. Wenn die URL nicht nach dem aussieht, wohin Sie angeblich geleitet werden sollen,

KLICKEN SIE NICHT!

Wenn in der E-Mail steht, dass sie von einer vertrauenswürdigen Stelle stammt, Sie sich aber nicht sicher sind, ob die E-Mail selbst echt ist, verwenden Sie einfach Ihren Browser und geben Sie die Ihnen bekannte Website-Adresse ein.

Öffnen Sie keine Anhänge von unbekannten Empfängern. In Word-, Text-, Excel- und PDF-Dateien kann sich Malware verbergen. Als Faustregel gilt: Öffnen Sie keine ausführbaren Dateien (mit der Endung .exe), ganz egal, von welchem Absender sie stammen.

BONUS-TIPPS:

• Achten Sie auf die Vertauschung von Buchstaben oder Zahlen!
  – ‘r’ neben ‘n’, um ein ‘m’ zu ersetzen, z. B. ‘.corn’ statt ‘.com’
  – ‘0’ anstelle eines ‘o’
  – ‘!’ anstelle eines ‘I’
  – ein klein geschriebenes ‘L’ (l) anstelle eines groß geschriebenen ‘i’ (I)
• Achten Sie auf falsch gesetzte Satzzeichen “n.caldwell” oder “nc.aldwell”.
• Klicken Sie nicht auf einen Link von einem Unternehmen, mit dem Sie keine Geschäfte machen oder von dem Sie keine Korrespondenz erwarten.
• Verwenden Sie im Zweifelsfall ein Tool wie Virus Total, um zu prüfen, ob Antivirenprogramme die URL als bösartig eingestuft haben.

3. Verwenden Sie E-Mail-Sicherheits-Tools

E-Mail-Spamfilter und Virenschutz machen Ihre E-Mails sicherer, aber Sie müssen sie auf dem neuesten Stand halten. Aktivieren Sie automatische Updates sowohl für Ihre Sicherheitstools als auch für Ihre E-Mail-Anwendung, wenn Sie eine Desktop-Version verwenden. Vergessen Sie nicht, auch Ihre mobile E-Mail-App auf dem neuesten Stand zu halten.

4. Verwenden Sie separate Konten für Privates und Arbeit

Wenn Sie Ihr Gerät sowohl für die Arbeit als auch für private Aktivitäten nutzen müssen, sollten Sie alles Mögliche tun, um beides voneinander zu trennen.

Melden Sie sich nicht mit Ihrer beruflichen E-Mail-Adresse für persönliche Konten an, z. B. für Social Media, Shopping-Konten oder Streaming-Dienste. Selbst wenn Sie sich für einen Newsletter anmelden wollen, der mit Ihrer beruflichen Tätigkeit zusammenhängt, sollten Sie nicht Ihre berufliche E-Mail-Adresse für die Anmeldung verwenden, es sei denn, es handelt sich um eine von der IT-Abteilung Ihres Unternehmens genehmigte Website.

Je weniger Gruppen, Listen oder Websites Ihre beruflichen E-Mail-Daten enthalten, desto besser. Es ist auch wichtig, Ihre persönlichen Konten so sicher wie möglich zu halten. Um Ihre persönlichen E-Mails besser zu schützen, sollten Sie ein separates Konto für Zwecke wie das Abonnieren von Nachrichtenlisten, den Zugriff auf geschützte Inhalte und den Erhalt von Händler-Updates einrichten.

5. Versenden Sie keine vertraulichen Informationen per E-Mail

Ihre E-Mail kann während der Übertragung abgefangen werden. Senden Sie keine E-Mails, die sensible oder vertrauliche Daten enthalten. Verwenden Sie stattdessen einen sicheren, verschlüsselten Filesharing-Dienst.

Dies sind grundlegende Maßnahmen, die jeder Einzelne ergreifen kann, um seine E-Mails zu schützen. Unternehmen sollten diese und andere Best Practices in ihr Schulungsprogramm zum Thema Cybersecurity aufnehmen.

Auf Unternehmensebene sollte ein ganzheitlicher Cybersecurity-Plan auch andere Strategien umfassen, wie die Verwendung fortschrittlicher E-Mail-Tools und Bedrohungserkennung und -abwehr, in Verbindung mit wirksamen Schulungsmaterialien, damit die Mitarbeiter wachsam bleiben, aber auch einfache Dinge, die jeder Endbenutzer auf persönlicher Ebene tut, können einen großen Beitrag zur Datensicherheit leisten.