M 5.54 Umgang mit unerwünschten E-Mails

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Unerwünschte E-Mails, welche auch unter dem Begriff "Spam" bekannt sind, werden in Massen verschickt, belästigen die Empfänger und stören den laufenden Betrieb der IT -Infrastruktur, angefangen bei den E-Mail-übertragenden Systemen bis zu den Clients der Benutzer. Zu den unerwünschten E-Mails gehören Kettenbriefe, unerwünschte Werbung, Bettelbriefe, Junkmails, Phishing-E-Mails und E-Mails mit Schadcode im Anhang. Gefährlich wird es insbesondere dann, wenn E-Mail-Anhänge ausgeführt werden, die E-Mail HTML -basiert ist oder die Mail-Empfänger über Links in der E-Mail auf manipulierte Webseiten gelockt werden sollen.

Durch die Überhäufung mit unerwünschten E-Mails oder durch absichtliche Überlastung durch eingehende E-Mails kann nicht nur das E-Mail-System blockiert werden, sondern es kann auch für den Empfänger solcher E-Mails teuer werden. Kosten entstehen unter anderem durch Übertragungsgebühren, insbesondere dann, wenn Bilder oder Multimediadateien in den unerwünschten E-Mails enthalten sind. Dazu kommt auch noch Kosten für die Filterung der E-Mails und/oder die Arbeitszeit der Mitarbeiter, die benötigt wird, um die eingegangene Spam-Mails zu sichten und zu löschen.

Um sich vor unerwünschten E-Mails zu schützen, sollte jeder Benutzer die Weitergabe seiner E-Mail-Adresse auf das Nötigste einschränken. Besonders vorsichtig sollten Benutzer mit der Herausgabe der Adresse beispielsweise in Newsgroups oder Mailinglisten, bei Gewinnspielen, bei Umfragen oder in ähnlichen Formularen sein. In diesen Fällen sollte die Einrichtung einer Wegwerfadresse in Betracht gezogen werden, um eine möglicherweise personalisierte "Hauptadresse" nicht unnötig in fremde Hände zu geben.

Umgekehrt sollte auch darauf geachtet werden, die E-Mail-Adressen von Kommunikationspartnern nicht ungeprüft weiterzugeben. Besonders wenn mehrere Personen gleichzeitig mit einer E-Mail angeschrieben werden, sollte nicht jeder wissen, wer noch unter welcher E-Mail-Adresse angeschrieben worden ist. Um dies zu vermeiden, kann z. B. die Funktion " BCC " (Blind Carbon Copy) genutzt werden, die praktisch jeder E-Mail-Client bietet.

Auch sollte der eigene Rechner stets frei von Schadsoftware bleiben, da es Schadsoftware gibt, die die lokalen Adressbücher auslesen und auf Spamverteilerlisten setzen.

Grundsätzlich sollten alle Benutzer Spam ignorieren und löschen. Keinesfalls darf geantwortet, Links in der E-Mail gefolgt oder Anhänge ausgeführt werden, da dies negative Auswirkungen haben kann. Eine Bestätigung über die erfolgreiche Zustellung der E-Mail ist gleichzeitig eine Bestätigung, dass die E-Mail-Adresse für die Zustellung von Spam benutzbar ist und dass der Empfänger diese E-Mails auch liest. Zusätzlich existiert das Risiko, dass Rechner mit Schadsoftware infiziert und somit Bestandteil eines Botnetzes werden. Darüber sollten auch alle Mitarbeiter informiert werden.

Mögliche Maßnahmen gegen unerwünschte E-Mails sind die folgenden:

Dabei ist zu beachten, dass nicht alle dieser Maßnahmen in allen Umgebungen sinnvoll sind, weil sie diverse Einschränkungen mit sich bringen. So kann es einerseits sinnvoll sein, nicht aus den Benutzernamen abgeleitete E-Mailadressen zu verwenden, um sich vor unerwünschten Werbemails zu schützen. Andererseits können abstrakte E-Mailadressen die Kommunikation mit Externen erschweren, da sie schwerer zu merken sind. Die Form der E-Mailadressen muss auf jeden Fall den organisationsinternen Regelungen genügen.

Durch die Eintragung auf Mailinglisten kann ebenfalls eine hohe Mailbelastung entstehen. Generell sollte regelmäßig überprüft werden, ob die in einer Mailingliste diskutierten Inhalte das Lesen lohnen, sonst ist sie abzubestellen. Die Benutzer müssen darüber informiert sein, dass nach der Eintragung auf Mailinglisten die dadurch entstehende Mailbelastung regelmäßig, d. h. möglichst täglich, zu kontrollieren ist. In größeren Institutionen sollten für die Arbeit interessante Mailinglisten nur über einen Mitarbeiter (z. B. den Mail-Administrator) abonniert werden und dann zentral allen zur Verfügung gestellt werden.

Auch bei der Gestaltung von Webseiten sollte an Spam gedacht werden. Spammer versuchen unter anderem ihren Adresspool dadurch zu erweitern, dass sie mit Tools Webseiten automatisch darauf absuchen, ob dort E-Mail-Adressen genannt sind, z. B. für Nachfragen. Es gibt leider kaum wirksame Möglichkeiten, solche automatischen Auswerte-Tools scheitern zu lassen. Daher sollte genau überlegt werden, ob und welche E-Mail-Adressen auf Webseiten bekannt gegeben werden. Hierfür können beispielsweise aufgabenbezogene E-Mail-Adressen eingerichtet werden. Auch diese werden natürlich mit Spam belästigt werden, aber das Problem kann auf diese Weise begrenzt werden. Für die Sichtung der eingehenden Mails und die Trennung der "echten" Mail-Eingänge vom Spam sollte ausreichend Zeit vorgesehen werden.

Prüffragen: