ProtonBlog
Per RSS abonnieren
0

[E2E Tests]Wie sicher ist E-Mail?

diese Seite teilen

Hallo Welt!

Hier ist ein Video:

Hier ist ein GIF:

Das ist ein Zitat

Ein unbekannter Kerl.
Überschrift 1Überschrift 2
Zelle 1Zelle 2
Zelle 3Zelle 4
Demonstrationstabelle
ProtonContacts-Beispiel(new window)Herunterladen
DDOS-151125-v1(new window)Herunterladen

Wir alle verlassen uns im beruflichen wie im privaten Leben auf E-Mail zur Kommunikation. Von Kalendereinträgen über Flugbestätigungen bis hin zu Online-Einkaufsbelegen, unser Posteingang enthält private Daten über unsere Termine, Interessen und Gewohnheiten. Unsere Abhängigkeit von E-Mail könnte dich überraschen, wenn du erfährst, dass sie ursprünglich nie darauf ausgelegt war, sicher zu sein.

Obwohl es Risiken gibt, die mit der Kommunikation per E-Mail verbunden sind, kannst du trotzdem Schritte unternehmen, um dein Postfach sicher zu halten. Dieser Artikel zeigt dir, was du tun kannst, um deine E-Mail sicher zu machen und vergleicht E-Mail-Sicherheitsstandards zwischen beliebten E-Mail-Anbietern.

Bedrohungen für die E-Mail-Sicherheit

Da E-Mail so weit verbreitet ist, ist sie das Hauptziel für Cyberangriffe. Hier sind einige gängige Bedrohungen für deine E-Mail-Sicherheit.

Phishing

Cyberkriminelle nutzen Phishing-E-Mails, um dich dazu zu bringen, sensible Informationen wie deine Kreditkartendaten und Passwörter für Online-Konten preiszugeben. Diese gefälschten E-Mails scheinen von einer glaubwürdigen Autorität zu stammen, wie deiner Bank, Kreditkartenfirma oder sogar beliebten Online-Händlern wie eBay oder Amazon. Einige Phishing-E-Mails sind äußerst ausgefeilt und überzeugend, weshalb über 90% der Datenverletzungen(new window) aufgrund von Phishing-Betrug geschehen.

Schadsoftware

Schadsoftware(new window) bezieht sich auf jede Datei oder jeden Code, der darauf ausgelegt ist, unbefugten Zugriff auf einen Computer oder ein Computernetzwerk zu erlangen. Zum Beispiel könntest du eine E-Mail mit einem Anhang erhalten, der dringend erscheint oder mit dir in Verbindung steht, wie der berüchtigte ILOVEYOU-Wurm(new window), der Anfang der 2000er Jahre über 10 Millionen Computer infizierte. Wenn ein Angriff mit Schadsoftware erfolgreich ist, kapern Angreifer Computer und Server, greifen auf sensible Informationen zu, spionieren Nutzeraktivitäten aus und führen andere bösartige Aktionen durch.

Spam und unerwünschte E-Mails

Spam-E-Mails sind eine der häufigsten Arten von E-Mail-Bedrohungen. Während die meisten Spam-E-Mails lediglich lästig sind, enthalten andere bösartige Links zu betrügerischen Webseiten. Hier sind einige typische Spam-E-Mails, auf die du stoßen könntest:

  • Unerbetene Werbung
  • Schwindelgeschichten
  • Geldbetrug
  • Falsche Warnungen vor Schadsoftware
  • Pornospam
  • Kettenbriefe

Unbefugter Zugriff auf das Postfach

Wenn du kein starkes Passwort zum Schutz deines Postfachs verwendest, könnte es von Angreifern mit Brute-Force-Attacken gehackt werden. Ausgestattet mit einem Supercomputer arbeitet ein Brute-Force-Angreifer alle möglichen Kombinationen durch, um deine Anmeldedaten zu erraten. Je nach Länge und Komplexität deines Passworts könnte das Knacken nur wenige Sekunden dauern.

Wenn du zudem Passwörter über mehrere Online-Konten wiederverwendest, reicht bereits ein Hack oder Leak bei einem dieser Dienste aus, um den Rest deiner Online-Konten zu gefährden.

Ausspionieren und Überwachen

Sobald ein Hacker Zugriff auf dein Postfach hat, könnte er leicht deine E-Mails ausspionieren, private Informationen über dich sammeln und dich erpressen. Ein weit verbreitetes Beispiel für das Ausspionieren deines Postfachs sind Pixel-Tracker, die in Marketing-E-Mails eingebettet sind. Diese Spionage-Tracker sammeln Informationen wie:

  • Ob die E-Mail, die den Tracker enthält, geöffnet wurde
  • Datum und Uhrzeit der Öffnung
  • Gerätetyp und Betriebssystem
  • Deine IP-Adresse und geografische Lage

Diese Informationen werden dann an den Absender zurückgesendet und genutzt, um dich mit personalisierter Werbung anzusprechen.

Wie du dein E-Mail-Konto sicher machst

Trotz dieser Bedrohungen kannst du Vorsichtsmaßnahmen treffen, um dein Postfach sicher zu halten und das Risiko eines Cyberangriffs zu mindern.

Aktiviere die Zwei-Faktor-Authentifizierung

Wo immer möglich, solltest du immer die Zwei-Faktor-Authentifizierung (2FA) für dein E-Mail-Konto aktivieren. Die meisten 2FA-Methoden verlangen, dass du einen temporären Einmalcode eingibst, der von einer Authentifikator-App auf deinem Telefon generiert wird, aber du kannst auch Hardware-Sicherheitsschlüssel verwenden. Wenn du 2FA aktiviert hast, selbst wenn ein Hacker dein Passwort knackt, werden sie keinen Zugang zu deinem Postfach erhalten, es sei denn, sie haben auch Zugang zu deinem 2FA-Gerät.

Verwende ein starkes Passwort

Ein starkes Passwort ist entscheidend, um dein Postfach sicher zu halten. Der einfachste Weg, starke und einzigartige Passwörter zu erstellen, ist die Nutzung eines Open-Source-Passwortmanagers, der deine Anmeldedaten für dich generiert und speichert. Dann musst du dir nur eine starke Passphrase merken, die deinen Passwortmanager entsperrt.

Was ist E-Mail-Verschlüsselung?

Das Niveau der Sicherheit und Privatsphäre deiner E-Mails hängt auch von der Verschlüsselungsmethode ab, die du verwendest, um sie zu schützen. Sie ist die erste Verteidigungslinie gegen Datendiebstahl und eine der effektivsten Methoden, um zu verhindern, dass dein E-Mail-Anbieter deine E-Mails liest. Da deine E-Mails viele sensible Informationen über dich enthalten, wirst du weniger wahrscheinlich das Ziel von Werbung, Spam und Malware-Angriffen, wenn du sie sicher hältst. Indem du E-Mail-Verschlüsselung verwendest, schützt du deine E-Mails auch davor, verändert und manipuliert zu werden.

Hier sind die gängigsten Arten der E-Mail-Verschlüsselung.

TLS

Transport Layer Security (TLS) ist ein kryptografisches Protokoll, das zur Sicherung von Webkommunikation über ein Netzwerk verwendet wird. Aufgrund seiner Vielseitigkeit wird TLS auch verwendet, um Verbindungen zu Webseiten herzustellen und Sofortnachrichten sowie E-Mails zu übertragen. TLS ist nützlich, da es verhindert, dass Dritte deine Nachrichten während der Übertragung abhören und manipulieren.

Allerdings bietet TLS allein keinen ausreichenden Schutz für deine E-Mails. Sobald deine E-Mail beim Empfangsserver ankommt, wird sie sofort entschlüsselt, und es liegt am E-Mail-Anbieter deines Empfängers, deine Nachrichten zu verschlüsseln und zu sichern.

Zero-Access-Verschlüsselung

Zero-Access-Verschlüsselung ist eine Verschlüsselungsmethode, die deine Daten im Ruhezustand schützt, indem sie für den E-Mail-Anbieter unzugänglich gemacht wird. Mit Zero-Access-Verschlüsselung hat dein E-Mail-Anbieter kurzzeitig Zugriff auf die Nachricht, nachdem die TLS-Verschlüsselung aufgehoben wurde, wenn du eine unverschlüsselte E-Mail empfängst. Sie wird dann sofort mit deinem öffentlichen Schlüssel verschlüsselt. Die verschlüsselten Daten können nur lokal auf deinem Gerät mit deinem privaten Verschlüsselungsschlüssel entschlüsselt werden.

Da dein E-Mail-Anbieter keinen Zugang zu deinem privaten Verschlüsselungsschlüssel hat, kann sie von niemandem außer dir entschlüsselt werden.

Ende-zu-Ende-Verschlüsselung

Im Vergleich zu anderen Verschlüsselungsmethoden stellt die Ende-zu-Ende-Verschlüsselung (E2EE) sicher, dass deine Online-Privatsphäre und Sicherheit geschützt sind. Es ist eine sichere Methode, E-Mail-Daten zu kodieren, sodass nur dein beabsichtigter Empfänger die Informationen entschlüsseln kann. Deine E-Mail wird lokal auf deinem Gerät mit dem öffentlichen Schlüssel deines Empfängers verschlüsselt und bleibt verschlüsselt, bis sie das Gerät deines beabsichtigten Empfängers erreicht, wo sie mit dem privaten Schlüssel deines Empfängers entschlüsselt wird.

Mit E2EE kann niemand – nicht einmal Proton – deine E-Mail lesen, es sei denn, sie haben auch physischen Zugang zu dem Gerät, auf dem der private Schlüssel deines Empfängers gespeichert ist.

Es gibt zwei primäre Verschlüsselungsprotokolle, die E2EE bieten: S/MIME und PGP.

S/MIME

S/MIME steht für Secure/Multipurpose Internet Mail Extensions. S/MIME verwendet ein Paar mathematisch verwandter Schlüssel – einen öffentlichen Schlüssel und einen privaten Schlüssel – um E-Mails zu sichern. Wenn du eine E-Mail mit einem S/MIME-Zertifikat sendest, wird die E-Mail mit dem öffentlichen Schlüssel deines Empfängers verschlüsselt. Der Empfänger kann die E-Mail nur mit dem privaten Schlüssel entschlüsseln, der mit dem öffentlichen Schlüssel verbunden ist.

Während S/MIME-Zertifikate deine E-Mails verschlüsseln und beweisen, dass du sie geschrieben und gesendet hast, können nur Zertifizierungsstellen (CA) S/MIME-Zertifikate ausstellen. Das bedeutet, dass du deine eigene CA beauftragen müsstest, um deine digitale Identität zu validieren.

PGP

Pretty Good Privacy (PGP) ist eine weitere Methode zur Implementierung von E2EE und eines der weltweit am meisten verwendeten E-Mail-Verschlüsselungssysteme.

PGP funktioniert, indem zunächst ein zufälliger und einzigartiger Sitzungsschlüssel generiert wird. Dieser Schlüssel wird verwendet, um den Inhalt deiner E-Mail zu verschlüsseln. Der Sitzungsschlüssel selbst wird dann mit dem öffentlichen Schlüssel deines Empfängers verschlüsselt und zusammen mit der verschlüsselten E-Mail an deinen Empfänger gesendet. Sobald die E-Mail ankommt, entschlüsselt dein Empfänger den Sitzungsschlüssel mit seinem privaten Schlüssel. Der Sitzungsschlüssel kann dann verwendet werden, um die E-Mail zu entschlüsseln.

Obwohl PGP kompliziert erscheinen mag, ist es ein äußerst robustes Verschlüsselungsprotokoll. Wenn es richtig implementiert wird, funktioniert PGP nahtlos und bietet ein hohes Maß an Sicherheit, Privatsphäre und Authentifizierung für deine E-Mails.

Es ist kein Geheimnis, dass die meisten beliebten E-Mail-Anbieter keinen ausreichenden Schutz für deine E-Mails bieten. Hier schauen wir uns die verschiedenen Arten der Verschlüsselung an, die von beliebten E-Mail-Anbietern verwendet werden, und wie du den besten Anbieter auswählen kannst, der deinen Privatsphäre-Anforderungen entspricht.

Gmail

Gmail verwendet standardmäßig TLS, um alle E-Mails zu verschlüsseln. Das bedeutet, dass deine Nachricht geschützt ist, während sie von deinem Gerät zu den Servern von Gmail übertragen wird. Allerdings funktioniert TLS nur, wenn der E-Mail-Anbieter deines Empfängers ebenfalls TLS-Verschlüsselung unterstützt.

Obwohl TLS einen gewissen Schutz für deine E-Mails bietet, ist es nicht so stark wie E2EE (da es E-Mails nur während der Übertragung schützt, nicht wenn sie auf E-Mail-Servern gespeichert sind). Aus diesem Grund bietet Gmail auch S/MIME-Verschlüsselung für Benutzer an, die erweiterte Sicherheit benötigen, aber nur, wenn sie bereit sind, für ein Google Workspace-Konto zu bezahlen. Aber selbst wenn du deine E-Mails mit Gmails S/MIME verschlüsselst:

  • behält Google trotzdem die Kontrolle über deinen Verschlüsselungsschlüssel, was bedeutet, dass es deine E-Mails nach Belieben entschlüsseln und lesen kann.
  • S/MIME funktioniert nur, wenn dein Empfänger ebenfalls S/MIME aktiviert hat.
  • Anders als bei PGP basiert S/MIME auf Zertifizierungsstellen zur Validierung aller digitalen Identitäten, also musst du dein eigenes S/MIME-Zertifikat besorgen und es bei Gmail hochladen.

Outlook

Ähnlich wie Gmail verwendet auch Outlook TLS, um deine E-Mails zu verschlüsseln. Wenn du bei E-Mails, die mit S/MIME verschlüsselt sind, zusätzlichen Schutz suchst, musst du Microsoft 365 Premium oder Microsoft Office 365 E3 Nutzer werden.

Außerdem unterstützt Outlook S/MIME nur, wenn du einen Windows-Desktop benutzt. Outlooks S/MIME-Verschlüsselung ist nicht auf Mac, iOS, Android und anderen Nicht-Windows-Geräten verfügbar, was die Nutzungshäufigkeit der Funktion stark einschränkt.

Yahoo Mail

Yahoo Mail verwendet TLS zur Verschlüsselung von E-Mails, bietet aber keine native Unterstützung für S/MIME oder PGP. Um E2EE mit Yahoo Mail zu nutzen, musst du ein Drittanbieter-Plugin verwenden.

Proton Mail

Als E-Mail-Anbieter, der sich auf Datenschutz und Sicherheit konzentriert, ist es unsere oberste Priorität, deine Daten sicher zu halten, weshalb wir eine Kombination aus TLS, Zero-Access-Verschlüsselung und E2EE verwenden, um deine E-Mails zu sichern. Die gesamte Verschlüsselung von Proton Mail läuft nahtlos im Hintergrund ab, sodass du lediglich deine E-Mail verfassen und auf „Senden“ klicken musst. Und anders als bei anderen E-Mail-Anbietern hast nur du die Kontrolle über deinen privaten Schlüssel, was bedeutet, dass wir nicht auf deine E-Mails zugreifen oder sie an Dritte weitergeben können.

Wenn du Proton Mail nutzt, kannst du auch diese Sicherheitsvorteile und mehr genießen:

  • Passwortgeschützte E-Mails: Sende passwortgeschützte E-Mails an Empfänger, die Proton Mail nicht verwenden. Dein Empfänger kann deine Nachricht nur lesen, wenn er ein vorher vereinbartes Passwort eingibt.
  • Erweiterter Tracking-Schutz: Alle Spionage-Tracker in Werbe-E-Mails werden automatisch entfernt, sodass du Remote-Bilder sicher vorladen kannst, ohne getrackt zu werden.
  • Phishing-Schutz: Proton Mail bietet Phishing-Schutz mit einer Reihe von fortschrittlichen Funktionen, die speziell zur Bekämpfung von Phishing entwickelt wurden.
  • Anti-Spoofing-Maßnahmen für eigene Domains: Um dich vor Spoofing-Angriffen zu schützen, unterstützen wir SPF, DKIM und DMARC.
  • Intelligentes Spam-Erkennungssystem: Unser Spam-Erkennungssystem erkennt automatisch Spam-E-Mails und leitet sie in deinen Spam-Ordner um. Für weitere Anpassungen kannst du auch E-Mail-Adressen deiner Sperrliste hinzufügen oder entfernen.
  • Zwei-Faktor-Authentifizierung (2FA) und Sicherheitsschlüssel: Du kannst 2FA verwenden, um dein Proton Mail-Konto zu sichern. Wir unterstützen temporäre Codes, die von Authenticator-Apps, YubiKey und anderen U2F/FIDO2-konformen Schlüsseln generiert werden.
  • PGP-Unterstützung: Sende PGP-verschlüsselte E-Mails auch an Nicht-Proton Mail-Adressen.

Da wir glauben, dass Online-Privatsphäre ein grundlegendes Recht für alle ist, kann sich jeder für ein kostenloses und sicheres Proton Mail-Konto anmelden.

Andere Anbieter verschlüsselter E-Mails

Die wachsende Zahl von Anbietern verschlüsselter E-Mails (wie Tutanota) ist ein vielversprechendes Zeichen dafür, dass immer mehr Menschen ihre digitale Privatsphäre ernst nehmen. Allerdings sind die meisten dieser Anbieter noch relativ klein und unerprobt. Einige bieten keine mobilen Apps an, was es schwierig macht, unterwegs vollständig verschlüsselte E-Mails zu senden.

Abschließende Gedanken

Als weltweit größter Anbieter von Ende-zu-Ende-verschlüsselten E-Mails ist es unsere Vision, ein Internet zu bauen, in dem Privatsphäre die Voreinstellung ist. Wenn du eine Zukunft unterstützt, die auf Privatsphäre setzt, schließe dich uns an, indem du ein kostenloses Proton Mail-Konto erstellst. Um umfassende Sicherheitsfunktionen zu genießen, kannst du auch auf einen bezahlten Proton Mail-Tarif upgraden und zu einem besseren Internet beitragen.

Schütze deine Privatsphäre mit Proton
Kostenloses Konto erstellen

Verwandte Artikel

en
Google is one of the biggest obstacles to privacy. The Big Tech giant may offer quick access to information online, but it also controls vast amounts of your personal or business data. Recently, more people are becoming aware of the actual price you
What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
  • Grundlagen der Privatsphäre
How do passwords become compromised?
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Grundlagen der Privatsphäre
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Grundlagen der Privatsphäre
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
Datenpannen sind zunehmend alltäglich. Immer wenn du dich für einen Online-Dienst anmeldest, gibst du persönliche Informationen preis, die für Hacker wertvoll sind, wie E-Mail-Adressen, Passwörter, Telefonnummern und mehr. Leider sichern viele Online