sicherer Emailverkehr

aus der Praxis

  • Eingehende Mails auf Viren prüfen

Eingehende Emails müssen sofort dann auf Viren geprüft werden, sobald sie auf dem Mail-Server eingehen. Doch nicht immer reicht das. Manchmal ist Schadsoftware in Dateianhängen gut getarnt. Damit der Anwender trotzdem unterscheiden kann, welche Dateien er mit den Mails im Anhang empfangen hat, sollten Dateiendungen nicht unterdrückt werden.
Wer meint, wenn er die Datei nicht öffnet, sondern sie sich lediglich in der Vorschau ansieht, sei geschützt, der irrt. Denn auch schon in der Vorschaufunktion der E-Mail-Clients können aktive Inhalte ausgeführt werden, sobald sie angezeigt werden. Deshalb ist es sicherer, auch diese Funktion zu deaktivieren.

  • Prüfen, an wen die Lesebestätigung geht

Natürlich ist es praktisch, zu wissen, ob die Mail, die man versendet hat, den Empfänger nicht nur erreicht, sondern ob er sie auch gelesen hat. Dafür bieten einige Mailprogramme eine automatische Lesebestätigung. Doch mit der Lesebestätigung senden wir unter Umständen auch unsere Emailadresse an solche Empfänger, die sie nutzen, um uns noch mehr Spammails zu schicken. Deshalb empfiehlt das BSI, diese Funktion nicht zu verwenden.

  • Automatische Weiterleitung – darf der Empfänger die Mail auch lesen?

Wer Emails automatisch an eine andere Adresse weiterleiten möchte, sollte sich vorher darüber informieren, dass alle Empfänger Inhalte auch tatsächlich lesen dürfen.
Die Funktion des Email-Clients, die Adresse eines E-Mail-Empfängers automatisch zu vervollständigen, hat ebenfalls so ihre Tücken. Man gibt die ersten drei Zeichen ein, der Email-Client ergänzt den Rest. Nachdem man dann auf „Senden“ geklickt hat, stellt man fest: außer den ersten drei Zeichen stimmte leider gar nichts an der Mailadresse. Die Mail mit vertraulichen Daten ist bei einem Empfänger gelandet, für den sie nicht bestimmt war. Wer die automatische Ausfüll-Funktion deaktiviert, ist auf der sicheren Seite.

  • Private und dienstliche Nutzung trennen

Ob und wie Internet oder Emails privat genutzt werden dürfen, wird überall anders gehandhabt. Doch wie auch immer es vereinbart ist, es hat je nach Vereinbarung ganz unterschiedliche Konsequenzen. Deshalb sollte die Handhabung auf jeden Fall vertraglich geklärt werden. Auch wer seinen Mitarbeitern verbietet, Seiten mit bestimmten Inhalten aufzurufen, muss das schriftlich festlegen.

  • Private Email- und Internetnutzung vertraglich regeln

Das BSI gibt hier keine Empfehlungen, weil es in diesem Bereich zu viele rechtliche Aspekte gibt. Die einfachste Lösung sei – so das BSI – private Nutzung von Email und Internet zu untersagen.
Doch auch bei dienstlicher Nutzung gibt es eine Menge Fallstricke. Wer die Inhalte verwendet, die er im Internet findet, muss darauf achten, dass geltende Gesetze, besonders beispielsweise das Urheberrecht, eingehalten werden.
Alle Emails, die versendet werden – egal ob privat oder dienstlich – sind in jedem Fall mit Absenderangaben wie Name und Telefonnummer zu versehen.
Gesendete oder gepostete Beiträge vom Verantwortlichen freigeben lassen
Manchmal macht es Sinn, in Internet-Newsgroups oder Diskussionsforen präsent zu sein, die sich mit ähnlichen Themen beschäftigen, wie man selbst. Wer dort Beiträge im Namen des Arbeitgebers veröffentlichen möchte, muss das mit den Verantwortlichen absprechen und die Beiträge zunächst freigeben lassen.

  • Vertrauliche Inhalte verschlüsseln

Mails mit vertraulichen Informationen dürfen nur verschlüsselt an externe Empfänger versendet werden.
Natürlich sollte vorab geklärt werden, ob der Empfänger überhaupt verschlüsselte Mails lesen kann. Wenn er es nicht kann, muss man eine Alternative finden, mit der die Informationen den Empfänger erreichen.
Damit interne Mails mit vertraulichem Inhalt nicht nach außen gelangen, bietet der Versand über eine Standleitung eine sichere Alternative.
Dateien und Programme aus dem Internet nur aus vertrauenswürdigen Adressen herunterladen
Dateien und Programme aus dem Internet herunterzuladen birgt immer Risiken. Deshalb sollte diese Aufgabe jemand übernehmen, der sich damit auskennt. Er muss klären, ob die Quelle vertrauenswürdig ist, die Daten und Programme tatsächlich das sind, was sie vorgeben zu sein.

  • Funktionsbezogene Emailadressen für Vertreterregelungen verwenden

Jeder Mitarbeiter erhält seine eigene mitarbeiterspezifische Email-Adresse.
Zusätzlich werden funktionsbezogene Email-Adressen eingerichtet, die für dienstliche Angelegenheiten verwendet werden müssen. Damit ist es einfacher, Mails einer bestimmten Funktion zuzuordnen, sie entsprechend ihres Schutzbedarfs und der Aufbewahrungsfristen getrennt zu archivieren und Löschfristen zu verwalten.
Damit wird außerdem gewährleistet, dass die Mails auf jeden Fall geöffnet werden können. Denn wenn private Emails erlaubt sind, dürfen die Mails, die direkt an einen Mitarbeiter gesendet werden, von niemand anderem gelesen werden.
Deshalb ist es auch sinnvoll, wenn auf der Internetseite nach Möglichkeit nur funktionsbezogene Email-Adressen genannt werden.
Beispiel:

          • datenschutz@ms-computer.de
          • geschaeftsleitung@ms-computer.de
          • technik@ms-computer.de
          • support@ms-computer.de

Wenn lediglich eine geschäftliche Nutzung der Email-Adressen erlaubt, private Nutzung also verboten ist, muss der Inhaber der Adresse gewährleisten, dass seine Mails auch dann gelesen und beantwortet werden können, wenn er nicht da ist. Hier sind deshalb Vertretungsregeln wichtig. Auch wer die Mails an funktionsbezogene Mailadressen bearbeiten soll, muss schriftlich festgelegt werden. Und auch hier sind Vertreterregelungen wichtig.