Wir alle verlassen uns im beruflichen und privaten Leben auf E-Mails. Von Calendar-Ereignissen bis hin zu Flugbestätigungen und Online-Einkaufsbelegen, unser Postfach enthält private Daten über unsere Termine, Interessen und Gewohnheiten. Unsere Abhängigkeit von E-Mails könnte dich überraschen, wenn du erfährst, dass sie von Anfang an nie dafür ausgelegt waren, sicher zu sein.
Obwohl Risiken beim Kommunizieren über E-Mail bestehen, kannst du trotzdem Schritte unternehmen, um dein Postfach sicher zu halten. Dieser Artikel zeigt dir, was du tun kannst, um deine E-Mail sicher zu machen und vergleicht die Sicherheitsstandards von E-Mails zwischen beliebten E-Mail-Anbietern.
Bedrohungen für die E-Mail-Sicherheit
Wie du deine E-Mail sicher machst
Ein Blick auf beliebte E-Mail-Anbieter
Bedrohungen für die E-Mail-Sicherheit
Da E-Mail so weit verbreitet ist, ist sie das Hauptziel für Cyberangriffe. Hier sind einige gängige Bedrohungen für deine E-Mail-Sicherheit.
Phishing
Cyberkriminelle verwenden Phishing-E-Mails, um dich dazu zu bringen, sensible Informationen preiszugeben, wie deine Kreditkartendaten und Online-Kontopasswörter. Diese gefälschten E-Mails scheinen von einer glaubwürdigen Autorität zu kommen, wie deiner Bank, Kreditkartengesellschaft oder sogar beliebten Online-Händlern, wie eBay oder Amazon. Einige Phishing-E-Mails sind extrem ausgeklügelt und überzeugend, weshalb über 90% der Datenverletzungen(neues Fenster) aufgrund von Phishing-Betrug passieren.
Malware
Malware(neues Fenster) bezieht sich auf jede Datei oder jeden Code, der darauf abzielt, unbefugten Zugang zu einem Computer oder Computernetzwerk zu erlangen. Zum Beispiel könntest du eine E-Mail mit einem Anhang erhalten, der dringend erscheint oder mit dir in Verbindung steht, wie der berüchtigte ILOVEYOU-Wurm(neues Fenster), der Anfang der 2000er Jahre über 10 Millionen Computer infizierte. Wenn ein Malware-Angriff erfolgreich ist, kapern Angreifer Computer und Server, greifen auf sensible Informationen zu, spionieren die Benutzeraktivität aus und führen andere bösartige Aktionen aus.
Spam und unerwünschte E-Mails
Spam-E-Mails sind eine der häufigsten Arten von E-Mail-Bedrohungen. Während die meisten Spam-E-Mails einfach nur lästig sind, enthalten andere bösartige Links zu betrügerischen Websites. Hier sind einige typische Spam-E-Mails, auf die du stoßen könntest:
- Unerbetene Werbung
- Schwindel
- Geldbetrug
- Falsche Malware-Warnungen
- Pornospam
- Kettenbriefe
Unbefugter Zugriff auf das Postfach
Wenn du kein starkes Passwort zum Schutz deines Postfachs verwendest, könnte es von Angreifern mittels Brute-Force-Angriffen gehackt werden. Ausgestattet mit einem Supercomputer arbeitet ein Brute-Force-Angreifer alle möglichen Kombinationen durch, um deine Anmeldeinformationen zu erraten. Je nach Länge und Komplexität deines Passworts könnte es nur wenige Sekunden dauern, dieses zu knacken.
Wenn du zudem Passwörter über mehrere Online-Konten hinweg wiederverwendest, genügt ein Hack oder Datenleck bei einem dieser Dienste, um auch alle anderen Online-Konten zu gefährden.
Ausspionieren und Überwachen
Sobald ein Hacker Zugriff auf dein Postfach hat, könnte er leicht deine E-Mails ausspionieren, private Informationen über dich sammeln und dich erpressen. Ein weit verbreitetes Beispiel für das Ausspionieren deines Postfachs sind Pixel-Tracker, die in Marketing-E-Mails eingebettet sind. Diese Spionage-Tracker sammeln Informationen wie:
- Ob die E-Mail mit dem Tracker geöffnet wurde
- Datum und Uhrzeit des Öffnens
- Gerätetyp und Betriebssystem
- Deine IP-Adresse und geografische Lage
Diese Informationen werden dann an den Absender zurückgesendet und genutzt, um dich mit personalisierter Werbung zu zielen.
Wie du dein E-Mail-Konto sicher machst
Trotz dieser Bedrohungen kannst du immer noch Vorsichtsmaßnahmen treffen, um dein Postfach sicher zu halten und das Risiko eines Cyberangriffs zu mindern.
Zwei-Faktor-Authentifizierung aktivieren
Wo immer möglich, solltest du immer Zwei-Faktor-Authentifizierung (2FA) für dein E-Mail-Konto aktivieren. Die meisten 2FA-Methoden erfordern, dass du einen temporären Einmalcode eingibst, der von einer Authentifikator-App auf deinem Handy generiert wird, aber du kannst auch Hardware-Sicherheitsschlüssel nutzen. Wenn du 2FA aktiviert hast, kann ein Hacker selbst bei geknacktem Passwort nicht auf dein Postfach zugreifen, es sei denn, er hat auch Zugang zu deinem 2FA-Gerät.
Verwendung eines starken Passworts
Ein starkes Passwort ist entscheidend, um dein Postfach sicher zu halten. Der einfachste Weg, starke, einzigartige Passwörter zu erstellen, ist die Verwendung eines Open-Source-Passwort-Managers, der deine Anmeldeinformationen für dich generiert und speichert. Dann musst du dir nur noch eine starke Passphrase merken, die deinen Passwort-Manager entsperrt.
Was ist E-Mail-Verschlüsselung?
Das Sicherheits- und Privatsphäreniveau deiner E-Mail hängt auch von der Methode der Verschlüsselung ab, die du zum Schutz verwendest. Sie ist die erste Verteidigungslinie gegen Datendiebstahl und eine der effektivsten Weisen, zu verhindern, dass dein E-Mail-Anbieter deine E-Mails liest. Da deine E-Mails viele sensible Informationen über dich enthalten, bist du weniger wahrscheinlich Ziel von Werbung, Spam und Malware-Angriffen, wenn du sie sicher aufbewahrst. Indem du E-Mail-Verschlüsselung verwendest, schützt du deine E-Mails auch davor, verändert und manipuliert zu werden.
Hier sind die gängigsten Arten der E-Mail-Verschlüsselung.
TLS
Transport Layer Security (TLS) ist ein kryptografisches Protokoll, das zur Sicherung der Webkommunikation über ein Netzwerk verwendet wird. Aufgrund seiner Vielseitigkeit wird TLS auch verwendet, um Verbindungen zu Websites herzustellen sowie Instant Messages und E-Mails zu übermitteln. TLS ist nützlich, da es verhindert, dass Dritte deine Nachrichten während der Übertragung belauschen und manipulieren.
Allerdings bietet TLS allein keinen ausreichenden Schutz für deine E-Mails. Sobald deine E-Mail auf dem Empfangsserver ankommt, wird sie sofort entschlüsselt, und es liegt am E-Mail-Anbieter deines Empfängers, deine Nachrichten zu verschlüsseln und zu sichern.
Zero-Access-Verschlüsselung
Zero-Access-Verschlüsselung ist eine Verschlüsselungsmethode, die deine Daten im Ruhezustand schützt, indem sie für den E-Mail-Anbieter unzugänglich gemacht wird. Mit der Zero-Access-Verschlüsselung hat dein E-Mail-Anbieter kurzzeitig Zugriff auf die Nachricht, nachdem die TLS-Verschlüsselung aufgehoben wurde, wenn du eine unverschlüsselte E-Mail empfängst. Danach wird sie sofort mit deinem öffentlichen Schlüssel verschlüsselt. Die verschlüsselten Daten können nur lokal auf deinem Gerät mit deinem privaten Verschlüsselungsschlüssel entschlüsselt werden.
Da dein E-Mail-Anbieter keinen Zugriff auf deinen privaten Verschlüsselungsschlüssel hat, kann sie von niemandem außer dir entschlüsselt werden.
Ende-zu-Ende-Verschlüsselung
Im Vergleich zu anderen Verschlüsselungsmethoden stellt die Ende-zu-Ende-Verschlüsselung (E2EE) sicher, dass deine Online-Privatsphäre und Sicherheit geschützt sind. Es ist eine sichere Methode, E-Mail-Daten so zu kodieren, dass nur dein beabsichtigter Empfänger die Informationen entschlüsseln kann. Deine E-Mail wird lokal auf deinem Gerät mit dem öffentlichen Schlüssel deines Empfängers verschlüsselt und bleibt verschlüsselt, bis sie das Gerät deines beabsichtigten Empfängers erreicht, wo sie mit dem privaten Schlüssel deines Empfängers entschlüsselt wird.
Mit E2EE kann niemand – nicht einmal Proton – deine E-Mail lesen, es sei denn, sie haben auch physischen Zugriff auf das Gerät, auf dem der private Schlüssel deines Empfängers gespeichert ist.
Es gibt zwei primäre Verschlüsselungsprotokolle, die E2EE bieten: S/MIME und PGP.
S/MIME
S/MIME steht für Secure/Multipurpose Internet Mail Extensions. S/MIME verwendet ein Paar mathematisch zusammenhängender Schlüssel – einen öffentlichen Schlüssel und einen privaten Schlüssel – um E-Mails zu sichern. Wenn du eine E-Mail mit einem S/MIME-Zertifikat sendest, wird die E-Mail mit dem öffentlichen Schlüssel deines Empfängers verschlüsselt. Der Empfänger kann die E-Mail nur mit dem privaten Schlüssel entschlüsseln, der mit dem öffentlichen Schlüssel verbunden ist.
Obwohl S/MIME-Zertifikate deine E-Mails verschlüsseln und beweisen, dass du sie geschrieben und gesendet hast, können nur Zertifizierungsstellen (CA) S/MIME-Zertifikate ausstellen. Das bedeutet, dass du deine eigene CA beauftragen müsstest, um deine digitale Identität zu validieren.
PGP
Pretty Good Privacy (PGP) ist eine weitere Methode zur Implementierung von E2EE und eines der weltweit am weitesten verbreiteten E-Mail-Verschlüsselungssysteme.
PGP generiert zuerst einen zufälligen und einzigartigen Sitzungsschlüssel. Dieser Schlüssel wird verwendet, um den Inhalt deiner E-Mail zu verschlüsseln. Der Sitzungsschlüssel selbst wird dann mit dem öffentlichen Schlüssel deines Empfängers verschlüsselt und an deinen Empfänger gesendet (zusammen mit der verschlüsselten E-Mail). Sobald die E-Mail ankommt, entschlüsselt dein Empfänger den Sitzungsschlüssel mit seinem privaten Schlüssel. Der Sitzungsschlüssel kann dann verwendet werden, um die E-Mail zu entschlüsseln.
Obwohl PGP kompliziert erscheinen mag, ist es ein äußerst robustes Verschlüsselungsprotokoll. Bei korrekter Implementierung funktioniert PGP nahtlos und bietet ein hohes Maß an Sicherheit, Privatsphäre und Authentifizierung für deine E-Mails.
Ein Blick auf beliebte E-Mail-Anbieter
Es ist kein Geheimnis, dass die meisten beliebten E-Mail-Anbieter keinen ausreichenden Schutz für deine E-Mails bieten. Hier betrachten wir die verschiedenen Arten der Verschlüsselung, die von beliebten E-Mail-Anbietern verwendet werden, und wie du den besten Anbieter auswählen kannst, der deinen Datenschutzbedürfnissen entspricht.
Gmail
Gmail verwendet standardmäßig TLS, um alle E-Mails zu verschlüsseln. Das bedeutet, dass deine Nachricht geschützt ist, während sie von deinem Gerät zu den Servern von Gmail übertragen wird. Allerdings funktioniert TLS nur, wenn auch der E-Mail-Anbieter deines Empfängers TLS-Verschlüsselung unterstützt.
Während TLS einen gewissen Schutz für deine E-Mails bietet, ist es nicht so stark wie E2EE (Ende-zu-Ende-Verschlüsselung), da es E-Mails nur während der Übertragung schützt, nicht jedoch, wenn sie auf E-Mail-Servern gespeichert sind). Aus diesem Grund bietet Gmail auch S/MIME-Verschlüsselung für Nutzer an, die erweiterte Sicherheit benötigen, allerdings nur, wenn sie bereit sind, für ein Google Workspace-Konto zu bezahlen. Aber selbst wenn du deine E-Mails mit Gmails S/MIME verschlüsselst:
- Google behält die Kontrolle über deinen Verschlüsselungsschlüssel, was bedeutet, dass es deine E-Mails nach Belieben entschlüsseln und lesen kann.
- S/MIME funktioniert nur, wenn auch dein Empfänger S/MIME aktiviert hat.
- Im Gegensatz zu PGP ist S/MIME auf Zertifizierungsstellen angewiesen, um alle digitalen Identitäten zu validieren, daher musst du dein eigenes S/MIME-Zertifikat besorgen und es bei Gmail hochladen.
Outlook
Ähnlich wie Gmail verwendet auch Outlook TLS, um deine E-Mails zu verschlüsseln. Wenn du einen zusätzlichen Schutz für E-Mails mit S/MIME suchst, musst du bezahlen, um ein Microsoft 365 Premium oder Microsoft Office 365 E3-Nutzer zu werden.
Darüber hinaus unterstützt Outlook S/MIME nur, wenn du einen Windows-Desktop verwendest. Outlooks S/MIME-Verschlüsselung ist nicht auf Mac, iOS, Android und anderen Nicht-Windows-Geräten verfügbar, was die Nutzungshäufigkeit der Funktion stark einschränkt.
Yahoo Mail
Yahoo Mail verwendet TLS zur Verschlüsselung von E-Mails, bietet jedoch keine native Unterstützung für S/MIME oder PGP. Um E2EE mit Yahoo Mail zu verwenden, musst du ein Drittanbieter-Plugin nutzen.
Proton Mail
Als E-Mail-Anbieter, der sich auf Datenschutz und Sicherheit konzentriert, ist es unsere oberste Priorität, deine Daten sicher zu halten, weshalb wir eine Kombination aus TLS, Zero-Access-Verschlüsselung und E2EE verwenden, um deine E-Mails zu sichern. Alle Verschlüsselungen von Proton Mail laufen nahtlos im Hintergrund ab, das heißt, alles, was du tun musst, ist deine E-Mail zu verfassen und auf „Senden“ zu klicken. Und im Gegensatz zu anderen E-Mail-Anbietern hast nur du die Kontrolle über deinen privaten Schlüssel, was bedeutet, dass wir nicht auf deine E-Mails zugreifen oder sie an Dritte weitergeben können.
Wenn du Proton Mail verwendest, kannst du auch diese Sicherheitsvorteile und mehr genießen:
- Passwortgeschützte E-Mails: Sende passwortgeschützte E-Mails an Empfänger, die kein Proton Mail nutzen. Dein Empfänger kann deine Nachricht nur lesen, wenn er ein vorher vereinbartes Passwort eingibt.
- Erweiterter Tracking-Schutz: Alle Spionage-Tracker in Werbe-E-Mails werden automatisch entfernt, sodass du Remote-Bilder sicher vorladen kannst, ohne getrackt zu werden.
- Phishing-Schutz: Proton Mail bietet Anti-Phishing-Schutz, eine Reihe von fortschrittlichen Funktionen, die speziell zur Bekämpfung von Phishing entwickelt wurden.
- Anti-Spoofing-Maßnahmen für eigene Domains: Um dich vor Spoofing-Angriffen zu schützen, unterstützen wir SPF, DKIM und DMARC.
- Intelligentes Spam-Erkennungssystem: Unser Spam-Erkennungssystem erkennt automatisch Spam-E-Mails und leitet sie in deinen Spam-Ordner um. Für weitere Anpassungen kannst du auch E-Mail-Adressen zu deiner Sperrliste hinzufügen oder daraus entfernen.
- Zwei-Faktor-Authentifizierung (2FA) und Sicherheitsschlüssel: Du kannst 2FA nutzen, um dein Proton Mail-Konto zu sichern. Wir unterstützen temporäre Codes, die von Authenticator-Apps generiert werden, YubiKey und andere U2F/FIDO2-konforme Schlüssel.
- PGP-Unterstützung: Sende PGP-verschlüsselte E-Mails auch an Nicht-Proton-Mail-Adressen.
Da wir glauben, dass Online-Privatsphäre ein grundlegendes Recht für alle ist, kann jeder ein kostenloses und sicheres Proton Mail-Konto erstellen.
Andere Anbieter verschlüsselter E-Mails
Die wachsende Anzahl von Anbietern verschlüsselter E-Mails (wie Tutanota) ist ein vielversprechendes Zeichen dafür, dass immer mehr Menschen ihre digitale Privatsphäre ernst nehmen. Allerdings sind die meisten dieser Anbieter noch relativ klein und ungetestet. Einige bieten keine mobilen Apps an, was das Senden von vollständig verschlüsselten E-Mails unterwegs erschwert.
Abschließende Gedanken
Als weltweit größter Anbieter von Ende-zu-Ende-verschlüsselten E-Mails ist es unsere Vision, ein Internet zu bauen, in dem Privatsphäre die Voreinstellung ist. Wenn das eine Zukunft ist, die du unterstützt, schließe dich uns an, indem du ein kostenloses Proton Mail-Konto erstellst oder auf einen kostenpflichtigen Tarif umsteigst.