Sicherheit bei E-Mails
E-Mails sind ein Einfallstor für viele Daten, erwünschte, aber auch unerwünschte. Und wir müssen sie auf unseren Computer laden, um zu prüfen, ob sie erwünscht sind oder nicht. Deswegen gehen von E-Mails einige Gefahren aus, die nur teilweise durch technische Lösungen abgewehrt werden können.
Überblick: die wichtigsten Verhaltensregeln in Kürze
Links in E-Mails oder Nachrichten
- am besten nicht anklicken
- wenn doch: schau Dir die "Domain" an - also den Anfang der Adresse: alles zwischen "https://" und dem nächsten "/". Ist das die Domain der Firma, von der die Mail angeblich kommt? mehr...
- statt auf den Link zu klicken, aktiv "von Hand" auf die Website gehen.
- Für den Sherlock Holmes in Dir: die Header der Mail untersuchen mehr...
Anhänge
-
Wenn Du die folgenden 4 Fragen mit Ja beantworten kannst, dann kannst Du den Anhang öffnen:
- Kennst Du den Absender?
- Weißt Du, um was es sich bei dem Anhang handelt?
- Ist es plausibel, dass Du einen Anhang geschickt bekommst?
- Handelt es sich um eine nicht-ausführbare Datei?
Die Bedrohnug: von Spam bis Viren
Spam ist der Überbegriff für unerwünschte E-Mails. Ihr zweck kann aber stark variieren.
Werbung und Newsletter
Die harmloseste Art von Spam ist einfach nur Werbung. Mails, die wie Postwurfsendung in unserem Briefkasten landen und uns dazu bringen sollen, etwas zu kaufen. Dazu gehören auch die zahlreichen Newsletter, für die wir uns meist nicht aktiv angemeldet haben. Von beidem geht grundsätzlich keine Gefahr aus, aber es ist nervig und kostet Lebenszeit. Zum Glück kann der allergrößte Teil dieser Werbenachrichten von guten Spam-Filtern technisch automatisch aussortiert werden.
Phishing
Als Phishing (sprich: "fisching") bezeichnet man E-Mails die versuchen, den Leser zu täuschen und so zu einer Handlung zu bringen, durch die persönliche Daten, insbesondere Passwörter an den Angreifer gegeben werden. So kommt beispielsweise eine Mail mit dem Logo und dem ganzen Design der Sparkasse und erklärt, dass sie aufgrund irgend einer Gesetzesänderung verpflichtet sei, Deine Daten zu überprüfen, weswegen Du Dich anmelden und dies und das im Kundenportal tun sollst. Dazu gibt es einen hübschen bunten Link mit dem Sparkassen-Logo, auf den man klicken soll, um das ganze zu erledigt.
Wer nun auf diesen Link klickt, landet auf einer Website, die wiederum das Design und die Anmeldemaske der Sparkasse zeigt. Meldet man sich an, passiert nicht viel oder man kann tatsächlich auf einen Bestätigungslink klicken, aber man sieht jedenfalls nicht sein Konto oder was man sonst so sieht. Und das hat einen einfachen Grund: Du bist nämlich gar nicht auf der Website der Sparkasse, sondern auf der Website des Angreifers, die nur gestaltet ist wie die Webseite der Sparkasse! Und der Angreifer hat bereits sein Ziel erreicht, denn Du hast ihm mit der Anmeldung freiwillig Deine Zugangsdaten für Dein Online-Banking geschickt!
Während Du Dich noch am Kopf kratzt und Dich fragst, was das ganze soll, hat er längst Dein Konto leer geräumt.
Natürlich funktioniert das nur, wenn Du auch ein Konto bei der Sparkasse hast. Aber das ist dem Angreifer egal. Er schickt seine Mail an eine Million Empfänger und wenn auch nur ein winziger Bruchteil darauf reagiert, genügt ihm das.
Viele Phishing-Mails sind richtig schlecht, in gebrochenem Deutsch geschrieben und das Design und Layout entspricht nicht wirklich dem Original. Trotzdem neigen wir oft dazu, spontan den Anweisungen zu folgen, insbesondere dann, wenn es etwas ist, das zu unserem aktuellen Alltag passt. Wir haben vielleicht gerade ein Ticket bei der Bahn gekauft und am selben Abend kommt eine Phishing-Mail im Bahn-Design, die uns auffordert, irgend etwas bei der Bahn zu bestätigen. Dann passt das so gut in unseren aktuellen Kontext, dass wir nur schwerlich misstrauisch werden.
Eine Variante der Phishing-Mails sind Instant-Messaging-Nachrichten bei denen der Angreifer sich als Sohn/Tochter/Enkel/Enkelin des Opfers ausgibt, behauptet er/sie habe ein neues Händi oder eine neue Nummer etc. und er/sie brauche dringend Geld. Das sind Betrüger-Maschen, die es auch schon vor dem Internet gab, die aber durch das Internet wesentlich effizienter wurden.
Das große Problem beim Phishing ist, dass man, wenn man darauf hereinfällt, im Grunde seine Daten völlig freiwillig dem Angreifer gibt und man somit Schwierigkeiten hat, die Tat zu beweisen bzw. dadurch evetuell selbst haftbar wird für den Schaden.
Adress-Verifizierung
Hier handelt es sich um E-Mails, die uns einfach nur dazu bringen wollen, auf einen Link zu klicken. Sie machen das indem sie uns ähnlich wie die Phishing-Mails vorgaukeln, ein Dienstleister zu sein. Oder sie entschuldigen sich höflichst, falls man diese Mail unerwünscht bekommen habe und bieten gleich einen großen Button an, um sich aus dem Verteiler auszutragen. Oder es sind andere Verlockungen wie etwa man habe etwas gewonnen und müsse nun den Preis abholen etc.
Das Ziel ist aber immer nur, dass man auf einen Link klickt. Dieser Link enthält eine kryptischen Zeichenfolge. Diese Zeichenfolge ist für jeden Empfänger eine andere und so kann der Server, auf den der Link verweist, erkennen, welche Empfänger-Adresse tatsächlich aktiv ist und einen Benutzer erreicht, der dann auf den Link geklickt hat.
So werden E-Mail-Adressen verifiziert, denn verifizierte E-Mail-Adressen können auf dem Spam-Schwarzmarkt teurer verkauft werden als nicht-verifiziert! Das heißt aber auch, dass man nach so einem Klick definitiv noch mehr Spam- und Phishing-Mails bekommen wird.
Viren und Würmer
Ein weiteres Ziel von Spam-E-Mails ist der Versand von Schadsoftware. Da eine Schadsoftware in einer E-Mail per se noch keinen Schaden anrichten kann, wird auch hier versucht, den Empfänger zu verleiten, auf Links zu klicken bzw. Anhänge zu öffnen, was dann die Schadsoftware aktiviert.
So kannst Du Dich schützen
Bei keiner anderen Bedrohungen liegt so viel Verantwortung beim Benutzer wie bei E-Mails.
Spam-Filter
Die erste Maßnahme gegen alle Bedrohungen per E-Mail ist ein guter und gut konfigurierter Spam-Filter. Große E-Mail-Anbieter filtern meist auf ihren Servern schon den größten Teil der Spam-Mails aus, so dass sie gar nicht bis zum User gelangen. Aber auch beim User selbst ist ein guter Spam-Filter wichtig, der sich individuell konfigurieren lässt und "lernfähig" ist, d.h. dem man sagen kann, welche Mails er ausfiltern soll und welche nicht.
Links
Keine Links in E-Mails anklicken! Diese Regel ist eigentlich sehr effektiv, aber sie macht uns auch die alltägliche Arbeit schwer, denn eventuell bekommen wir viele völlig ungefährliche Mails mit Links, durch die wir schnell auf die entsprechenden Ressourcen zugreifen können. Deswegen können wir die Regel etwas anpassen:
Keine Links in unbekannten E-Mails anklicken! Unbekannt heißt, ich kenne den Absender nicht, ich weiß nicht warum ich die Mail bekomme, ich erwarte sie nicht, ich weiß nicht, worum es geht.
Was wenn ich unsicher bin? Eine Mail meiner Bank fordert mich auf, im Kundenportal dies und das zu tun? Und alles scheint plausibel aber ich bin trotzdem misstrauisch?
Dann ist es wichtig, die Klickreflexe im Zaum zu halten und statt auf eine Mail zu reagieren, aktiv ins Kundenportal zu gehen, d.h. über jenen Weg, über den ich sonst auch in das Kundenportal gelange. Also durch Eingabe der URL in meinen Browser oder indem ich auf das gespeicherte Lesezeichen in meinem Browser klicke. Dann kann ich sicher sein, dass ich wirklich bei meiner Bank lande. Und wenn es dann etwas im Kundenportal zu tun gibt, dann werde ich das sehen. Wenn nicht, dann war es wohl eine Phishing-Mail.
Domain-Verifizierung
Wer etwas mehr Spürsinn aufwenden will, der kann sich auch in die Tiefen der Mail begeben und dort nach
Header untersuchen
Die Header (Kopfdaten) einer Mail sind quasi das, was bei einem Brief der Umschlag ist: Die Meta-Informationen zum Brief - Absender, Empfänger, Briefmarke etc.
Ein paar Header-Daten werden im Mail-Programm direkt angezeigt:
- Betreff (Subject)
- Empfänger (To)
- Absender (From)
- Kopie-Empfänger (CC)
- Blindkopie-Empfänger (BCC)
- Datum (Date)
Ein Problem ist allerdings, dass sowohl Empfänger als auch Absender vom Absender der Mail im Grunde mit Beliebigen Daten befüllt werden kann. Das bedeutet, dass die E-Mail-Adresse, die im Empfänger (To) erscheint, nicht unbedingt die E-Mail-Adresse ist, von der die E-Mail tatsächlich abgesendet wurde.
Angreifer nutzen diesen Umstand dazu, die Herkunft der Mails zu verschleiern. Wenn also im Absender "kundenservice@telekom.de" steht, heißt das noch lange nicht, dass die Mail wirklich von der Telekom stammt.
Es gibt aber andere Header, aus denen relativ eindeutig hervor geht, woher die Mail stammt. Um diese Header zu untersuchen, muss man aber den Quelltext der Mail anzeigen. Das ist in jedem E-Mail-Programm etwas unterschiedlich. Such nach den Stichwörtern "Quelltext", "Quellcode", "Original", "Header" oder ähnlichen. Wenn Du die entsprechende Ansicht gefunden hast, siehtst Du etwas, dessen erste Zeilen ungefähr so aussehen:
Delivered-To: mail@cgrauer.de
Received: by 2002:a5d:6748:0:b0:44d:189e:e5a6 with SMTP id l8csp686578wrw; Thu, 21 May 2026 23:34:47 -0700 (PDT)
X-Received: by 2002:a05:6000:2c10:b0:449:d189:e79f with SMTP id ffacd0b85a97d-45eb38d60c7mr2676746f8f.32.1779431687732; Thu, 21 May 2026 23:34:47 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1779431687; cv=none; d=google.com; s=arc-20240605; b=a7YSALS+CZ7Bc+JDRGbhRTj3y0xSvAuDJSLEPxPYvsulKm0Bw5k5APJMaa9U47LmKT 6IKLMj1VFz1mMGxiR30uKFjMlX734qgC1xgEdPilpf4u+DH+uTxd1V0kwmUqHi1f9oVi y6Tp8V0FD3zHFaQZ54ra882abrgPTfzKFfjkq5aEvaOx3mrVd8iN+hYdRRG9mvp6uKjA o0pwbS1TY4kBqD6CjBqgKV2oiQZ89+3Lt3l9/5TQE9zRJUW2uHXUK3/fqlkotSYPxjjx dqh1wlIYEX/BTY+pSO88X3sa4RmkWCTW2a9AO143fOdc1a2+44mB6onD6PnH5vV8u/Ku IgJw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=to:date:message-id:subject:mime-version:from:dkim-signature; bh=1gvbMdfrAGRDI7Xn7HM3+mpXjk64WeqCMa56zHjnEeg=; fh=TsLlWZRltq55YpUvvNBVEetTM0jiLzHr1taKhmvqBa8=; b=EbgBPZi8M0aTBesiBKlO1FOHEWE0QloxrRloL65/aX6kyp3Bxwj5OA5899qePcUDGj X+WCRYVxUO+4ec/I2y3tceoeOsJZDqqnAuxkakZrTafgTMuvXsYpaOsTHEE/Fm7xSmpQ Yfw908dYViawuLXj3IdtI3VeYewYwc+SG2jBzCmFb6NGzaZlJ3DnmevmWsmSh5c5jfhe Gf2Gf28Y35XJ8vbkL9i98pFpRmP8RhpmhkRZeFWrF8Gmo8djRy6CXp7l8ENmOyFc7cWS McF456FgMI7RcV95Sad2lceBkSSBSUDJ93ZycY/d1iR5Yh0NGEwB1ccojFE++fDRRhUr n7eg==; dara=google.com
ARC-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@googlemail.com header.s=20251104 header.b=WePJpx3k; spf=pass (google.com: domain of s.vieser@googlemail.com designates 209.85.220.41 as permitted sender) smtp.mailfrom=s.vieser@googlemail.com; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=googlemail.com; dara=neutral header.i=@cgrauer.de
Return-Path: <s.vieser@googlemail.com>
Received: from mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.220.41]) by mx.google.com with SMTPS id ffacd0b85a97d-45eb6ce21aesor70705f8f.5.2026.05.21.23.34.47 for <mail@cgrauer.de> (Google Transport Security); Thu, 21 May 2026 23:34:47 -0700 (PDT)
Received-SPF: pass (google.com: domain of s.vieser@googlemail.com designates 209.85.220.41 as permitted sender) client-ip=209.85.220.41;
Authentication-Results: mx.google.com; dkim=pass header.i=@googlemail.com header.s=20251104 header.b=WePJpx3k; spf=pass (google.com: domain of s.vieser@googlemail.com designates 209.85.220.41 as permitted sender) smtp.mailfrom=s.vieser@googlemail.com; dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=googlemail.com; dara=neutral header.i=@cgrauer.de
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=googlemail.com; s=20251104; t=1779431687; x=1780036487; darn=cgrauer.de; h=to:date:message-id:subject:mime-version:from:from:to:cc:subject :date:message-id:reply-to; bh=1gvbMdfrAGRDI7Xn7HM3+mpXjk64WeqCMa56zHjnEeg=; b=WePJpx3kZbKhbfYenQSZRr1Y1lpcDI2nbPV1FI1fTi+hVVzNgKtPWV5c9nE4nX6u5N BaXEZrN8wmCRsZ9Abm8AzCVnsnfRQExGYvGovHxQBTTHm3BSBaHvmojkBPbGgZgXw5GL BV9KkvQY9GPqNVigYGUOm2nCBvGIZl1/ysuiWKpSrHnkrnLgalsQHnYmWgWjvPzRx85y L1Wi6ZEnKMHDSF3+Zki8KZYnSM16NQ1SqzTiqqWieTo6TNfeDynsRHejTFO/nlZgtpJS Cs21K5aG85+W+hX4Ow542ad7uFKMDCZrHz4++HpWTGgDvM2e0355Km/MW7sz7p41v1MA yPdw==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20251104; t=1779431687; x=1780036487; h=to:date:message-id:subject:mime-version:from:x-gm-gg :x-gm-message-state:from:to:cc:subject:date:message-id:reply-to; bh=1gvbMdfrAGRDI7Xn7HM3+mpXjk64WeqCMa56zHjnEeg=; b=kmd9S7OlH8OpqSknwHRP67avZYjI7jy8ZJeyZaU/e6SrzdUraZM1l3vf2HXyjHtIVC FbNu4iK5ilkzxtlfW6EL8361/2VVLBY+2cPWvuorBmEoXnPElGnRXwQODbDkNWzAMMjO HRdU7K7xYuDc7iXjNE+PpT4dY+CV8plh1DuByJE7p0G1OfMDCISPtKuUMzZ/uTNSfNEG gcxGltoYiN6Mcc7DZThULYkhJnATCF2hWkSBdjJ+fVqCzDyWSNp7bxam5Uud1lOGSqo0 hIP4oIv7ceHYPVgNWl7T2Tu0K5XUwwXigcLQ8bOvk3QYjoaqgn7lHm8P3KScqy2fJxJu e1zQ==
...
Die Header bestehen immer aus einem Header-Key (Namen), dann kommt ein Doppelpunkt und dann der Header-Wert. Jeder Header ist genau 1 Zeile. Am Ende der Header kommt eine Leerzeile. Danach folgt der Inhalt der Mail.
Header richtig lesen
Zunächst muss man sich klar machen, dass die Header nicht nur vom Absender erstellt werden, sondern von allen beteiligten aktiven Systemen, also Mail-Client, sendender und empfangender Mail-Server und ggf. weitere Proxy-Server. Jedes beteiligte aktive System kann der Mail Header hinzufügen. Und dies geschieht von unten nach oben (weil es einfacher ist, einer bestehenden Mail vorne Daten anzufügen, als irgendwo zwischen Header und Inhalt). Das heißt, der oberste Header (hier Delivered-To: ) wurde zuletzt hinzugefügt, der unterste Header (hier abgeschnitten) wurde zuerst hinzugefügt. Deswegen ist der oberste Header in der Regel "Deliverd-To", also die Zustellbestätigung, und der unterste ist mist "X-Mailer", also die Angabe, mit welchem Mailclient die Mail erstellt wurde.