M 5.96 Sichere Nutzung von Webmail

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

Nicht jede Institution betreibt einen eigenen Mailserver, sondern nutzt die entsprechenden Dienstleistungen von externen Anbietern. Dabei ist Webmail eine einfache, benutzerfreundliche Variante, um über die Webserver der Anbieter auf Maildienste zuzugreifen. Mit Webmail werden alle Internet-basierten E-Mail-Dienste bezeichnet, bei denen zur Benutzung nur ein Browser als Client und eine Internet-Anbindung benötigt wird. Dazu gehören z. B. die Angebote von Web.de, Freenet.de oder gmx.de. Webbasierte E-Mail-Dienste erlauben den Zugriff auf E-Mails unabhängig vom Ort und Provider.

Bei der ersten Anmeldung bei einem Webmail-Dienstleister müssen in der Regel Name und Adresse des Benutzers, die gewünschte E-Mail-Adresse und ein Zugangspasswort angegeben werden. Einige Anbieter verlangen eine schriftliche Bestätigung der Anmeldung. Das gewählte Passwort dient bei nachfolgenden Anmeldungen zur Authentisierung. Der Benutzer erhält dann ein oder mehrere E-Mail-Adressen sowie ein Benutzerkonto, über das E-Mail empfangen, weiterverarbeitet und gesendet werden kann.

Es gibt eine Vielzahl von Anbietern von Webmaildiensten, viele davon bieten ihre Dienstleistungen sogar kostenlos an. Es ist zu beachten, dass diese sich nicht nur im Funktionsumfang unterscheiden (z. B. Postfachgröße, Fax, SMS, Spamfilter, etc.), sondern auch das Sicherheitsniveau stark variieren kann, bis hin zu gravierenden Sicherheitslücken.

Bei der Auswahl eines Dienstleisters sollte daher sorgfältig vorgegangen werden. Wichtig sind insbesondere die folgenden Punkte:

Auch bei der Nutzung von Webmail-Diensten sind einige Punkte zu beachten:

HTML-formatierte E-Mails können Sicherheitsprobleme verursachen (siehe G 5.103 Missbrauch von Webmail). Es sollte vermieden werden, HTML-formatierte E-Mails oder solche mit aktiven Inhalten zu versenden. Der Provider sollte die Möglichkeit anbieten, dass eventuell in eingehender E-Mail enthaltene aktive Inhalte herausgefiltert werden. Außerdem sollten E-Mail-Clients gewählt werden, bei denen HTML-formatierte E-Mails als solche zu erkennen sind, damit der Benutzer diese nicht unbewusst öffnet.

Ergänzende Kontrollfragen: