Schadprogramme, die über E-Mails verbreitet werden, sind zu einer regelrechten Landplage geworden. Besonders schlimm hat es zuletzt die Universität Gießen erwischt. Digital signierte E-Mails können diese Bedrohung stark eindämmen.

Geschätzte Lesezeit für diesen Artikel: 5 Minuten

E-Mail-Anhänge und per E-Mail verbreitete Links stellen einen der häufigsten Verbreitungswege von Schadsoftware wie Emotet dar. Allzu leicht klicken viele Nutzer auf Dateien oder URLs, die scheinbar von vertrauenswürdigen Kontakten geschickt wurden. Zu spät merken sie, dass die Nachricht in Wirklichkeit von einem anderen Absender stammt – und dass die harmlos aussehende Word-Datei im Anhang einen Computervirus enthält.

Wie schlimm es sein kann, wenn ein Netzwerk infiziert ist, hat zuletzt die Universität Gießen erfahren müssen. Ab dem 8. Dezember 2019 waren wochenlang weder die allgemeine Universitätswebseite noch die Seite der Universitätsbibliothek erreichbar. Auch die E-Mail-Server waren lahmgelegt. Die Universität musste die ganze Zeit im Notbetrieb arbeiten, vieles ging in dieser Zeit gar nicht (erfahre mehr). Auch die Katholische Hochschule Freiburg musste im Dezember 2019 nach einem Hackerangriff einen Großteil ihrer Systeme zeitweise vom Netz nehmen (erfahre mehr).

Nach und nach werden die Rechner in Gießen in diesen Tagen im Januar 2020 wieder hochgefahren. Schon jetzt zeichnet sich ab, dass sich der sehr laxe Umgang mit E-Mails, der bisher an Universitäten und ähnlichen Einrichtungen üblich ist, im neuen Jahrzehnt ändern könnte:

Die Folgen der Cyber-Attacke werden nach Einschätzung des JLU-Krisenstabs allerdings noch lange zu spüren sein, insbesondere was die Schlussfolgerungen aus #JLUoffline angeht. „Das wird nicht die letzte Attacke aus dem Internet gewesen sein. Wir müssen uns auf eine neue Dimension von Cyber-Angriffen in den 2020er Jahren vorbereiten“, sagte Prof. Dr. Michael Lierz, JLU-Vizepräsident für wissenschaftliche Infrastruktur. Bei Tausenden von individuellen Nutzerinnen und Nutzern und immer ausgeklügelteren Angriffsstrategien, unter anderem mit immer perfekteren Täuschungsversuchen per E-Mail, müssen die Mitglieder und Angehörigen der JLU sich unter anderem auf deutlich strengere E-Mail-Regeln einstellen (erfahre mehr).

Der spektakuläre Angriff auf die Universität Gießen zeigt, dass es im ureigenen Interesse der Nutzer liegt, sowohl im beruflichen als auch im privaten Umfeld so viel wie möglich zur allgemeinen IT-Sicherheit beizutragen. Und gerade im Umgang mit E-Mails können sie hierfür sehr viel tun, denn Angriffe werden oft auf eben diesem Wege ausgeführt. Dabei spielen gefälschte Absenderadressen nicht selten eine wichtige Rolle. Wenn man Angreifern die Arbeit ab sofort möglichst schwer machen möchte, muss man also sicherstellen, dass eine Mail mit dem Absender max.mustermann@uni-giessen.de tatsächlich von einem Mitarbeiter mit diesem Namen stammt. Wie kann das gelingen?

Die Lösung des Problems besteht darin, E-Mails grundsätzlich digital zu signieren. Hierfür gibt es zwei technische Standards, PGP und S/MIME (erfahre mehr). In institutionellen Kontexten ist S/MIME sehr verbreitet und somit der Standard der Wahl. Praktischerweise können die Mitarbeiter von Universitäten sehr leicht und kostenlos an ein hierfür nötiges (geheimes) S/MIME-Zertifikat kommen. Oft werden solche Zertifikate sogar routinemäßig an neue Mitarbeiter ausgestellt. Diese müssen das Zertifikat nur in ihr Mailprogramm (z. B. Thunderbird) importieren, und schon können sie alle ihre Mails signieren. Signierte Mails, die sie selbst empfangen, können sie immer an einem kleinen Siegel-Symbol erkennen – und sich im Zweifelsfall mit einem Mausklick das dafür verwendete Zertifikat anzeigen lassen. Das sollten sie vor allem dann tun, wenn sie eine Mail mit einem Anhang oder einem Link bekommen, der ihnen auch nur entfernt verdächtig vorkommt.

 

 

 

 

Das Signieren von E-Mails hat noch einen weiteren Vorteil: der Empfänger (nennen wir ihn Bob) kann aus der signierten Mail der Absenderin (nennen wir sie Alice) deren öffentliches Zertifikat entnehmen. Ab diesem Zeitpunkt kann Bob nicht nur eine signierte Mail an Alice schicken – hierfür braucht er ja nur sein eigenes (geheimes) Zertifikat. Bob kann die Mail an Alice nun auch verschlüsseln. Hierfür benötigt er nämlich zusätzlich zu seinem eigenen geheimen Zertifikat auch das öffentliche Zertifikat von Alice. Und dieses bekommt er eben am einfachsten, indem Alice ihm eine signierte Mail schickt.

 

Kinderleicht geht das alles mit dem E-Mail-Programm Thunderbird, denn Thunderbird importiert die öffentlichen Zertifikate aus empfangenen signierten Mails automatisch in den Zertifikatsspeicher. Bei Microsofts Mailprogramm Outlook müssen die Nutzer jedes Mal selbst daran denken, das zu tun (was natürlich in den seltensten Fällen geschieht). Nicht nur aus diesem Grund ist Thunderbird die bessere Wahl.

Der Umgang mit Zertifikaten ist ein scheinbar kleiner Unterschied zwischen den beiden Programmen, der aber in der Praxis massive Auswirkungen auf die tatsächliche Verbreitung der öffentlichen Zertifikate hat. Wenn Thunderbird nun mit einem eigenen geheimen Zertifikat ausgestattet und korrekt konfiguriert ist, kann das Programm auf diese Weise nicht nur alle ausgehenden Mails automatisch signieren. Es kann zusätzlich auch alle Mails an jene Empfänger automatisch verschlüsseln, für die es ein (öffentliches) Zertifikat im eigenen Zertifikatsspeicher vorfindet. Und die Zahl dieser Zertifikate wächst eben genau dann sehr schnell und ganz von alleine an, wenn möglichst alle Absender ihre Mails signieren.

Das alles klingt erst einmal kompliziert, ist es aber nicht. Im Gegenteil, wenn Thunderbird korrekt eingerichtet und konfiguriert ist, wird das Signieren und Verschlüsseln von E-Mails so einfach wie das Zukleben eines Briefumschlags – beziehungsweise noch einfacher, denn alles geschieht beim Verschicken einer Nachricht von alleine.

Alles, was ich hier schreibe, ist seit vielen Jahren bekannt. Dass an Universitäten und anderen Einrichtungen auch im Jahre des Herrn 2020 immer noch so viele unsignierte Mails verschickt werden, deutet auf einen großen Handlungsbedarf hin. Es scheint daher in der Tat angebracht, bestimmte IT-Regeln an Universitäten zu verschärfen. Flankierend dazu müssten alle Mitarbeiter in Bezug auf IT-Sicherheit regelmäßig fortgebildet werden.

Klar ist, dass all dies mit Mühen und Kosten verbunden sein wird. Die Alternative lautet, diese Mühen und Kosten einzusparen und weiterzumachen wie bisher. Damit nimmt man allerdings in Kauf, dass man irgendwann selbst für eine Weile ins Offline-Zeitalter katapultiert wird.

Update 4.2.2020: Ein Beispiel für die an der JLU angekündigten “deutlich strengeren E-Mail-Regeln” (s. oben) findet sich schon jetzt an der TU Dresden: Ab dem 10.2.2020 werden hier “E-Mails, die eine Microsoft-Office-Datei mit Makros als Anhang enthalten […] abgewiesen und der Absender wird darüber mit einer entsprechenden Rückantwort per E- Mail informiert.”, wie es in einem Rundschreiben von TUD-Cert heißt.

Findest Du diesen Beitrag interessant?
→ Unterstütze diese Seite mit einer Spende (entweder via PayPal in € oder in einer Kryptowährung, Details siehe oben rechts auf dieser Seite)
→ Teile den Beitrag mit Deinen Freunden (klicke unten auf einen der Buttons)
→ Folge dem Autor auf Twitter (@JochenPlikat)
→ abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)

Warum man E-Mails grundsätzlich digital signieren sollte by Jochen Plikat is licensed under a CC BY-NC-ND 4.0 license
Bildnachweis: Siegel Siegellack Urkunde by WolfBlur is licensed under the Pixabay License