Schluss mit Kinkerlitzchen: Die einzige sichere E-Mail besteht aus reinem Text

Es ist ein beunruhigender Gedanke: Man könnte jederzeit eine E-Mail öffnen, die aussieht, als käme sie vom Arbeitgeber, einem Verwandten oder der Bank. In Wirklichkeit könnte es sich jedoch um PhishingScams handeln. Jede der vielen unschuldigen E-Mails, die wir den ganzen Tag über erhalten, könnte uns dazu kriegen, unsere Zugangsdaten herauszurücken und Verbrechern die Kontrolle über unsere vertraulichen Daten oder Identität zu geben.

Die meisten Leute gehen davon aus, dass es die Schuld der Benutzer selbst ist, wenn sie auf Phishing-Betrügereien hereinfallen. Jemand könnte einfach auf das falsche Feld geklickt haben. Um das Problem zu beheben, sollten Benutzer einfach damit aufhören. Als Sicherheitsexperten, die sich mit Malware-Techniken beschäftigen, glauben wir jedoch, dass hier der Falsche beschuldigt wird.

Das wirkliche Problem besteht darin, dass die heutigen webbasierten E-Mail-Systeme elektronische Minenfelder ähneln, die mit Anforderungen und Verlockungen angefüllt sind, um zu klicken und sich in einer zunehmend reaktionsschnellen und interaktiven Online-Erfahrung zu engagieren. Es sind nicht nur Google Mail, Yahoo-Mail und ähnliche Dienste. Desktop-basierte E-Mail-Programme wie Outlook zeigen Nachrichten auf die gleiche unsichere Art und Weise an.

Einfach ausgedrückt, ist die einzig sichere E-Mail eine reine Text-Mail. Sie zeigt nur den nackten Text an, ohne eingebettete Links oder Bilder. Webmail ist für Werbetreibende praktisch – und erlaubt gutaussehende E-Mails mit Bildern und netten Schriften zu schreiben, birgt aber unnötige und ernsthafte Gefahren in sich. Denn eine Webseite – oder eine E-Mail – kann leicht das Eine zeigen, aber auch das Andere tun.

Die Rückkehr von E-Mails zu ihrem Ursprung mag radikal erscheinen, bietet aber eine deutlich höhere Sicherheit. Sogar die besten Experten für Cybersecurity der US-Regierung kommen zu dem erschreckenden, aber wichtigen Schluss, dass jede Person, die ernsthaft mit Web-Sicherheit zu tun hat, egal, ob es sich hierbei um Organisationen oder Regierungsmitglieder handelt – zu Text-E-Mails zurückkehren sollte:

„Organisationen sollten sicherstellen, dass sie HTML in E-Mails nicht mehr verwenden können und Links deaktivieren. Alles sollte zu Klartext gezwungen werden. Dies verringert die Wahrscheinlichkeit, dass potenziell gefährliche Skripte oder Links im Text der E-Mail versendet werden. Außerdem wird die Gefahr gebannt, dass ein Benutzer einfach nur auf etwas klickt, ohne darüber nachzudenken. Mit Text-Mails müsste der Benutzer den Link selbst eingeben oder die Kopierfunktion nutzen. Dieser zusätzliche Schritt ermöglicht dem Benutzer eine weitere Gelegenheit zum Nachdenken und zur Analyse, bevor er auf den Link klickt.“

Das Problem falsch verstehen

In den letzten Jahren wurden Webmail-Nutzer strengstens angewiesen, auf jeden verdächtigen Hinweis in E-Mails zu achten. Sie durften keine E-Mails von Leuten öffnen, die sie nicht kannten. Sie sollten keine Anhänge öffnen, ohne den Absender vorher sorgfältig zu prüfen. Viele Unternehmen bezahlen Sicherheitsfirmen mehr als fürstlich, um zu prüfen, ob ihre Angestellten auf diesen Versprechungen gut machen. Aber das Phishing geht weiter – und kommt immer häufiger vor.

Die Berichterstattung zu dem Thema kann hier noch verwirrender erscheinen. Die New York Times bezeichnete den Verstoß gegen die E-Mail-Sicherheitsvorschriften des Democratic National Committee als „dreist“ und „schamlos“. Man wies auf eine Vielzahl möglicher Probleme hin – alte Netzwerksicherheitsausrüstung, hoch entwickelte Angreifer, gleichgültige Ermittler und unaufmerksame Mitarbeiter des Supports – bevor es eine weitere Schwäche aufdeckte. Des Pudels Kern ist allzu oft ein eifriger Benutzer, der „ohne viel nachzudenken“ handelt.

Aber das eigentliche Problem mit Webmail – der Sicherheitsfehler, der schon viele Millionen Dollar gekostet hat – war die Idee, dass, wenn E-Mails über eine Website versendet oder empfangen werden könnten, sie mehr als nur reiner Text sein könnten, selbst wenn die Webseiten von einem Webbrowser-Programm angezeigt werden. Dieser Fehler hat erst die Möglichkeit für eine kriminelle Phishing-Branche geschaffen.

Entwickelt für Gefahren

Ein Webbrowser ist das perfekte Werkzeug für Unsicherheit. Browser sind so konzipiert, dass sie Inhalte aus mehreren Quellen nahtlos zusammenfügen: Text von einem Server, Anzeigen von einem anderen, Bilder und Videos von einem dritten Server, Buttons, die dem Benutzer nachverfolgen, und so weiter. Eine moderne Webseite ist ein Flickenteppich von dutzenden Drittanbieter-Seiten. Damit diese Zusammenstellung von Bildern, Links und Buttons einheitlich und integriert dargestellt wird, zeigt Ihnen der Browser nicht an, woher die einzelnen Teile einer Webseite stammen – oder wohin sie führen, wenn sie angeklickt werden.

Schlimmer noch, sie erlaubt es Webseiten – und damit E-Mails – ihre Herkunft zu verschleiern. Wenn man „www.google.com“ in die Browserzeile eingibt, kann man ziemlich sicher sein, dass man auf die Google-Hauptseite gelangt. Klickt man jedoch auf einen Link oder Button mit der Bezeichnung – wird man dann tatsächlich zum echten Google geleitet? Man müsste bei jedem Link sorgfältig den zugrunde liegenden HTML-Quellcode der E-Mail lesen. Es gibt darüberhinaus noch dutzende weitere Möglichkeiten, wie Browser manipuliert werden können, um uns zu täuschen.

Das ist das Gegenteil von Sicherheit. Die Nutzer können die Folgen ihres Handelns nicht vorhersagen und auch nicht im Voraus entscheiden, ob die möglichen Ergebnisse akzeptabel sind. Ein absolut sicherer Link wird möglicherweise direkt neben einem bösartigen Link angezeigt, ohne, dass ein Unterschied zwischen diesen erkennbar ist. Wenn ein Benutzer mit einer Webseite konfrontiert ist, muss er sich entscheiden, ob er auf etwas klicken will.

Hier gibt es keine gangbare Möglichkeit, vorher zu erfahren, was nach dem Klick passieren könnte oder mit welcher Firma oder anderen Teilnehmern der Nutzer zu tun haben wird. Der Browser verbirgt diese Informationen. Immerhin können wir uns, wenn wir selbst aktiv im Internet surfen, entscheiden, auf welche Website unseres Vertrauens wir uns begeben wollen. Kommt ein Link per Webmail, liefert er uns jedoch eine von einem Angreifer erstellte Webseite direkt in unsere Mailbox!

Der einzige Weg, um die Sicherheit im heutigen Webmail-Umfeld zu gewährleisten ist, sich die Fähigkeiten eines professionellen Web-Entwicklers anzueignen. Erst dann werden die Ebenen von HTML, Javascript und anderem Code klar; erst dann werden die Konsequenzen eines Klicks im Voraus bekannt. Natürlich ist dies ein unangemessen hoher Grad an Raffinesse, den die Benutzer zum Schutz ihrer selbst an den Tag legen müssen.

Solange Softwaredesigner und Entwickler keine Browser-Software und Webmail-Systeme reparieren und die Benutzer nicht in Kenntnis der Sachlage entscheiden lassen, wohin sie ihre Klicks führen können, sollten wir den Ratschlägen von C. A. R. Hoare folgen, einem der ersten Pioniere der Computersicherheit: Der Preis für Zuverlässigkeit ist das Streben nach höchster Einfachheit.“

Die sicherste E-Mail ist die reine Text-E-Mail

Unternehmen und andere Organisationen sind noch anfälliger als Einzelpersonen. Eine einzelne Person braucht sich nur um ihre eigenen Klicks zu kümmern – viele Mitarbeiter in einer Organisation sind ein viel größeres Risiko. Es ist eine einfache Gleichung: Wenn jeder Mitarbeiter die gleiche Chance hat, auf einen Phishing-Betrug hereinzufallen, ist das Risiko für das Unternehmen insgesamt viel höher, dass auch etwas passiert. Tatsächlich besteht bei Unternehmen mit 70 oder mehr Angestellten eine um 50 Prozent erhöhte Chance, dass jemand mit einer Phishing-Mail getäuscht wird. Die Unternehmen sollten Webmail-Anbieter, um deren Sicherheitsaspekt es theoretisch schlechter bestellt ist als die Chance, bei einem Münzwurf zu gewinnen, sehr kritisch betrachten.

Als Technologen haben wir uns längst damit abgefunden, dass manche technischen Entwicklungen einfach eine schlechte Idee sind, auch wenn sie zunächst spannend aussehen. Die Gesellschaft muss dasselbe tun. Sicherheitsbewusste Nutzer müssen von ihren E-Mail-Providern eine Klartext-Option verlangen. Leider sind solche Optionen noch nicht sehr verbreitet und mühsam durchzusetzen, aber sie sind ein Schlüssel zur Eindämmung der Gefahrenwelle.

Mail-Anbieter, die sich weigern, dies zu tun, sollte man schlichtweg meiden – genauso wie man dunkle Gassen für ein florierendes Ladengeschäft meiden sollte. Diese Hintergassen des Internets können mit ihren bunten Anzeigen, Bildern und Animationen attraktiv aussehen – sicher sind sie allerdings nicht.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Kontrolle, Tastatur, E-Mail“ by antonynjoro (CC0 Public Domain)


The Conversation

Schlagwörter: , , , , , , , ,