Der Versand und Empfang von E-Mails ist im beruflichen Kontext und auch bei der Betriebsratsarbeit weiterhin die gängigste Methode der Kommunikation. Dies alleine würde schon reichen sich mit den Gefahren rund um die E-Mail expliziter auseinanderzusetzen, doch auch im Zuge des Russland-Ukraine Konflikts erfolgen vermehrt Angriffe von Hackergruppierungen über sogenannte Phishing-Mails. Ziel dieser Angriffe kann unter anderem die Erbeutung von Daten oder die Manipulation bzw. Zerstörung von Systemen andererseits sein.

Phishing erkennen

Wie kann man sich also vor solchen Hackerangriffen schützen? Allgemein ist bei E-Mails mit auffällig vielen Rechtschreib- und Grammatikfehlern Vorsicht geboten. Die Abfrage von sensiblen Daten wie PIN, TAN und sensiblen persönlichen Daten ist ebenso ein Gefahrensignal. Offizielle Stellen und seriöse Firmen erfragen diese Daten nicht per E-Mail. Dementsprechend sind diese Daten auch nicht per E-Mail herauszugeben, gerade bei persönlichen Daten ist im Zweifelsfall ein Anruf bei den Absender*innen der E-Mail oder ggfs. ein direkter Login im jeweiligen Kundenportal angeraten. Ein weiteres Indiz kann die Anrede innerhalb der E-Mail sein, Geschäftspartner*innen und offizielle Stellen verwenden häufig den Namen der adressierten Person statt einer formlosen Begrüßung. Das Bundesamt für Verfassungsschutz gibt beispielsweise noch folgende generelle Handlungsempfehlung aus: Lassen Sie sich nicht von E-Mails zu „dringenden“ Handlungen auffordern. Klicken Sie nicht auf Links und Anhänge, insbesondere wenn zuvor keine Kommunikation mit der beteiligten Person stattgefunden hat. Dabei gilt die Devise lieber einmal zu oft bei den Ansprechpartner*innen der E-Mail nachzufragen als im schlimmsten Fall das gesamte Firmennetzwerk zu kompromittieren.

Auch die Absende-Adresse kann einen weiteren Indikatoren für einen potentiellen Angriff liefern Klicken Sie Explizit auf die E-Mailadresse der Absender*in um neben dem Anzeigenamen der Absender*in auch die vollständige E-Mailadresse einzusehen. Hierbei sind Adressen wie datenschutz-nord@web.de oder support@ebay.tinyurl.com ebenso unglaubwürdig wie empfang@datinschutz-nord.de. Firmen wie die datenschutz nord GmbH oder eBay haben eine eigene Domain wie @datenschutz-nord.de oder @ebay.de und verwenden keine öffentlichen Domains wie „gmx“ oder „web.de“. Auch zusammengesetzten Domains wie „@ebay.tinyurl.com“ und Rechtschreibfehler in der Domain sind ein Warnsignal.

E-Mail als (un)sicherer Kommunikationsmedium

Bei der Sicherheit von E-Mail-Kommunikation insbesondere von sensiblen Daten steht als erste Frage der Transportweg der E-Mail im Vordergrund. Zunächst kann hier in verschiedenen Szenarien unterschieden werden. Findet eine Kommunikation innerhalb eines Netzwerks bspw. Innerhalb einer Firmendomäne statt? Ein Sonderfall hiervon ist die Kommunikation innerhalb einer Firma, jedoch mit einem anderen Standort. Zuletzt kann eine Kommunikation mit Ansprechpersonen außerhalb des eigenen Unternehmens, klassischerweise Kunden oder Dienstleister erfolgen.

Abhängig von dem Szenario der E-Mail sind Standards und Sicherheitsverfahren anzupassen. Der einfachste Fall ist die E-Mail innerhalb des eigenen Firmennetzes an einem Standort. Hierbei können Thematiken wie Transportverschlüsselungen zwischen verschiedenen Servern gewissermaßen eingegrenzt werden, da die E-Mails den Mail-Server nicht verlassen müssen. Findet eine Kommunikation innerhalb einer Domäne jedoch Standortübergreifend statt, ist sicherzustellen, dass der Zugriff auf den E-Mail-Server abgesichert wird, z.B. durch einen VPN-Tunnel.

Komplexer wird es, wenn es sich um eine Kommunikation mit einem anderen Unternehmen handelt oder die Verbindung zwischen zwei Firmenstandorten nicht gesondert abgesichert ist. In diesem Fall sollten insbesondere vertrauliche Daten innerhalb der E-Mail proaktiv Verschlüsselt werden. Dies lässt sich einerseits über die Verwendung von verschlüsselten und Passwortgeschützten Containern (bspw. ZIP-Container mit AES-256 Verschlüsselung) sicherstellen. Eine sinnvolle Alternative ist die Verwendung von einer gesicherten Cloudinfrastruktur, dadurch ist es ebenso möglich die Dateien sicher zu dem Adressaten zu transportieren.

Ein wichtiger Aspekt, der sowohl E-Mails im eigenen Unternehmensnetzwerk als auch den externen E-Mailverkehr betrifft, wird unter dem Stichwort Transportverschlüsselung (mit TLS) zusammengefasst.
Es sollte sichergestellt werden, dass nicht ausschließlich der externe Verkehr von E-Mails entsprechend abgesichert ist, sondern ebenfalls die Übermittlung innerhalb des eigenen Netzwerks zwischen Client und Server. Besteht eine entsprechende Absicherung nicht, können unbeteiligte dritte die E-Mails abfangen und mitlesen.

Bei Unsicherheiten sollten für konkrete Fragen die Administratoren nach dem konkreten Vorgehen innerhalb Ihres Unternehmens einbezogen werden, um den Versand von sensiblen E-Mails sicher zu gestalten.