Von Attachments in E-Mails können Gefahren ausgehen. Daher filtern viele Provider sie nach strengen Kriterien, das kann zu Problemen in der Kundenkommunikation führen. Verschlüsselungstechnologien helfen, die eigenen E-Mails vor Missbrauch zu schützen.
Die erste E-Mail kam ohne Anhang am 3. August 1984 in Deutschland an. Professor Michael Rotert empfing an der Universität Karlsruhe (TH) einen Willkommensgruß zum CSNET, einem Vorläufer des Internet. „Michael, this is your official welcome to CSNET. We are glad to have you aboard“, stand dort zu lesen. Heute ist die E-Mail ein Massenmedium: 280 Milliarden E-Mails versenden heute Menschen auf der ganzen Welt jeden Tag. Und weil es so einfach und praktisch ist, hängen sie E-Mails alles mögliche an: Bilder, PDF, Textdokumente, Zip-Archive, ja manchmal sogar ganze Programme.
Insbesondere in der Kommunikation mit Kunden empfiehlt die Certified Senders Alliance (CSA) jedoch, lieber auf cloudbasierte Dienste für den Dateiaustausch zu setzen. Anhänge haben einen schlechten Ruf, das liegt beispielsweise an den Gefahren, die von Phishing-Mails ausgehen. Die erwecken den Eindruck, als stammt der Versand von einer vertrauenswürdigen Quelle. Je nach Art des Phishings ist dies beispielsweise der Vorgesetzte, ein Finanzdienstleister oder Versicherungsunternehmen. Dies erhöht die Wahrscheinlichkeit und Gefahr, dass Anhänge auch geöffnet werden.
Anhänge in der Kundenkommunikation vermeiden
Das ist gefährlich, Cyberkriminelle manipulieren die Anhänge so, dass sie Sicherheitslücken der Anwendung, beispielsweise eines PDF Betrachters, des E-Mail Clients oder Betriebssystems ausnutzen, um den Computer des E-Mail Empfängers zu infizieren. Einmal unter der Kontrolle des Kriminellen, kann der Rechner unbemerkt Teil eines Bot-Netzwerkes werden und so Spam verschicken oder sich an DDoS (Distributed-Denial-of-Service) Angriffen beteiligen. Ebenso kann sich ein Krimineller auf diese Weise Zugriff auf sämtliche Daten auf dem Rechner des E-Mail Empfängers verschaffen.
Besonders bei Transaktionsmails, die dringend vom Kunden erwartet werden und zum Teil sensible Daten enthalten, können Anhänge zu Problemen führen: Wegen der gravierenden Risiken, die von Anhängen ausgehen können, prüfen Mailboxprovider und Spamfilter die Anhänge sehr gründlich. Als Konsequenz kann die Zustellbarkeit dieser E-Mails negativ beeinträchtigt werden. E-Mail Clients warnen oder verhindern zudem teilweise das Laden und Ausführen von Anhängen. Die Konsequenz wäre entsprechend, dass Empfänger diese E-Mails gar nicht erst erhalten oder Anhänge nicht lesen können.
Fehlende Verschlüsselung bedeutet fehlender Datenschutz
Ein weiteres Problem mit Anhängen: Nicht jeder E-Mail Server im Internet unterstützt STARTTLS als Transportverschlüsselung. Dieses Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security dient dazu, E-Mails sicher verschlüsselt zu versenden, weiterzuleiten oder zu empfangen. Ohne STARTTLS können sowohl der Inhalt der E-Mail als auch entsprechende Anhänge von dritten gelesen werden.
Selbst mit STARTTLS besteht noch die Gefahr eines „Man-in-the-Middle“-Angriffs, (MITM- Angriff) durch den E-Mails abgefangen werden können. Einen höheren Grad an Sicherheit kann man nur durch zusätzliche Protokolle wie DANE und DNSSEC erreichen. Diese sind jedoch noch nicht im Markt etabliert. Zusätzlich besteht die Gefahr, dass der Empfänger unwissentlich seine E-Mails unverschlüsselt vom Postfach in einem unsicheren Netzwerk abruft.
Dokumente im Kundenportal hinterlegen
Nicht selten enthalten E-Mails oder Anhänge sensible Inhalte wie Zahlungsinformationen oder Versicherungs- oder Gesundheitsdaten, die nicht von unbefugten Personen gelesen werden sollen. Als Versender sollte man sich somit überlegen, welche Informationen man via E-Mail verschickt und welcher Schaden entstehen kann, wenn diese Informationen in falsche Hände geraten sollten. Der Versender wird zur Verantwortung gezogen, wenn personenbezogene Daten öffentlich verbreitet werden. In diesem Fall greifen die Vorschriften der Artikel 32 ff. DSGVO. Über das Sicherheitsleck müssen die Aufsichtsbehörden sowie der Betroffene informiert werden. Die Behörden können dann gegen den Versender Sanktionen verhängen, siehe Artikel 58 der DSGVO.
E-Mail Anhänge sollten aus all diesen Gründen im kommerziellen Umfeld vermieden werden. Eine empfehlenswerte Alternative für E-Mail Anhänge ist ein (Deep)Link zum Download im eigenen Kundenportal. Dort kann sich der Kunde mittels TLS-gesicherter Verbindung seine ihm zugeordneten Dokumente ansehen oder runterladen. So hat der Benutzer zudem die Möglichkeit, seine Dokumente zentral zu verwalten ohne einzelne Anhänge in seinem überfüllen E-Mail Client suchen zu müssen. Ein regelmäßiger Login im Portal schafft auch zusätzliche Kundenbindung und die Möglichkeit zur Bewerbung weiterer Angebote.
Autor: Julia Janßen-Holldiek
(c)2019
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
