Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 4.37 Mangelnde Authentizität und Vertraulichkeit von E-Mail - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 4.37 Mangelnde Authentizität und Vertraulichkeit von E-Mail

E-Mails ersetzen an vielen Stellen die herkömmliche Kommunikation per Post. Dabei wird jedoch häufig nicht beachtet, dass "normale" E-Mail ohne zusätzliche Sicherungsmaßnahmen keine Gewähr für die Authentizität und Vertraulichkeit von Nachrichten bietet.

Bei unverschlüsselten E-Mails können alle Informationen auf jedem IT-System gelesen werden, auf dem die Nachricht auf ihrem Weg durchs Netz bearbeitet wird. Da der genaue Transportweg im Allgemeinen nicht vorhersagbar ist und das zugrunde liegende Protokoll SMTP (Simple Mail Transfer Protocol) keine Mechanismen anbietet, einen bestimmten Weg vorzugeben, kann eine E-Mail sehr viele verschiedene Systeme passieren.

Informationen, die nicht durch digitale Signaturen geschützt sind, können auch auf jedem beteiligten System verändert oder gelöscht werden, ohne dass dies vom Empfänger bemerkt werden kann. Abgesehen von Veränderungen am Text oder an etwaigen Dateianhängen einer E-Mail können auch Informationen wie Absende- und Weiterleitungsdaten oder die Absenderadresse selbst verändert werden, siehe auch G 5.73 Vortäuschen eines falschen Absenders.

Daher ist es falsch, E-Mails mit klassischen Briefen zu vergleichen. Ein Vergleich mit Postkarten wäre zutreffender.

Beispiele: