Wie sicher sind eigentlich E-Mails? Aus unserem digitalen Alltag sind sie jedenfalls kaum wegzudenken. Dennoch ranken sich zahlreiche Mythen um die sichere Nutzung von E-Mails. Irrtümer können Cyberkriminellen jedoch Tür und Tor öffnen: Einige der bekanntesten Mythen rund um E-Mail-Sicherheit möchten wir daher auf den Prüfstand stellen.

„Wenn ich eine E-Mail nur anschaue und keinen Anhang öffne, kann mir nichts passieren.“

Das trifft leider nicht zu.
Viele E-Mails werden im HTML-Format verschickt. Dadurch sind sie z. B. farbig und mit verschiedenen Schriften und Grafiken gestaltet. Im sogenannten Quellcode einer HTML-formatierten E-Mail lauert mitunter aber die Gefahr – etwa schädlicher Code, der bereits beim Öffnen der E-Mail auf dem Computer des Empfängers oder der Empfängerin ausgeführt wird. So wird z. B. ein Schadprogramm installiert.

Außerdem möchten die Absender oftmals wissen, ob die angeschriebene Adresse überhaupt benutzt wird. Spam-E-Mails versehen sie daher mit Tracking-Pixeln oder unsichtbaren Bildern: Diese geben ihnen Bescheid, wenn die E-Mail geöffnet wird. Anschließend schicken sie weiteren Spam.

Tipp: Deaktivieren Sie die Anzeige von E-Mails im HTML-Format. Dann werden E-Mails zwar zuerst nur schlecht lesbar oder unvollständig angezeigt. So können Sie den Absender aber prüfen und, bei einem vertrauenswürdigen Absender, anschließend die HTML-Ansicht und das Nachladen von externen Inhalten wie etwa Bildern aktivieren.

„Spam-E-Mails kann ich ganz einfach abbestellen – z. B. indem ich auf einen Link mit der Aufschrift „Abbestellen“ klicke.“

Das stimmt nicht immer.
Spam bezeichnet verschiedene Arten unerwünschter E-Mails – etwa unaufgefordert zugesandte Werbung oder auch Phishing-E-Mails.

Auch wenn ein Link eine Aufschrift wie z. B. „Abbestellen“ trägt, kann er z. B. zu einer mit Schadsoftware präparierten Webseite führen. Schon durch das Öffnen des Links erfahren die Absender möglicherweise auch, dass die E-Mail-Adresse genutzt wird, und schicken weitere Spam-E-Mails.

Tipp: Löschen Sie Spam-E-Mails ungeöffnet. Antworten Sie auch nicht auf Spam: So signalisieren Sie dem Absender nur, dass Sie die angeschriebene E-Mail-Adresse auch wirklich nutzen. Die Folge ist dann meist ein noch höheres Spam-Aufkommen im E-Mail-Eingang.

Gegen Spam helfen zum einen Spamfilter. Zum anderen können Sie eine E-Mail-Adresse erstellen, die Sie in sozialen Netzwerken, Onlineshops etc. hinterlegen, während Sie eine andere E-Mail-Adresse für die persönliche Kommunikation nutzen. Auch das hält Spam-E-Mails zum Teil fern.

„Eine E-Mail kommt immer von der Adresse, die im Absender-Feld steht.“

Das ist falsch.

Die Angabe des Absenders kann gefälscht werden. Dahinter verbirgt sich womöglich eine ganz andere Person oder auch Institution.

Tipp: Prüfen Sie den Absender genau. Wird nur ein Name angezeigt, können Sie mit der Maus (oder z. B. beim Smartphone mit dem Finger) darüberfahren, damit auch die E-Mail-Adresse angezeigt wird. Mitunter sind Betrügerinnen und Betrüger schon so enttarnt.

Versiertere Nutzerinnen und Nutzer können außerdem den Quelltext der E-Mail öffnen. Dort steht der Absender unter „Received From“. Mitunter gelingt es Angreifenden aber, selbst diese Angabe zu manipulieren. Wenn Sie das nicht ausschließen können, sollten Sie die E-Mail löschen. Öffnen Sie daher generell nicht unüberlegt Links oder Anhänge aus E-Mails.

Denkbar ist außerdem, dass ein fremdes Gerät von einem Schadprogramm infiziert ist, welches automatisiert Nachrichten an die Kontakte im Adressbuch verschickt. Hinweise dafür sind etwa, wenn eine Person plötzlich in einer anderen Sprache schreibt oder untypische Ausdrucke verwendet. Nehmen Sie dann über einen anderen Weg Kontakt zu der jeweiligen Person auf – etwa analog.

„Phishing-E-Mails sind leicht zu erkennen.“

Das ist nicht korrekt.
Ziel von Phishing ist, den Opfern Zugangsdaten zu Online-Banking, E-Mail-Konten u.ä. zu entlocken. Oft sehen Phishing-E-Mails aus, als kämen sie tatsächlich von z. B. einer Bank oder einem bekannten Onlineshop. Empfängerinnen und Empfänger werden etwa aufgefordert, unter einem Link möglichst schnell notwendige Anpassungen an ihrem Benutzerkonto vorzunehmen. Tatsächlich lesen Betrügerinnen und Betrüger die Zugangsdaten aus und gewinnen so Zugriff auf das Benutzerkonto.

Dabei gehen sie in einigen Fällen sehr geschickt vor: Sie nutzen z. B. Informationen aus sozialen Netzwerken oder Datenlecks, um E-Mails zu personalisieren. Phishing-E-Mails zu enttarnen, wird immer schwieriger – auch weil Cyberkriminelle oft KI einsetzen, um Nachrichten zu formulieren.

Tipp: Öffnen Sie keine Links aus verdächtigen E-Mails. Wenn Sie die jeweilige Adresse bereits kennen, geben Sie diese direkt in die Adresszeile des Browsers ein. Wenn nicht, suchen Sie sie über eine Suchmaschine heraus. Auch hier hilft zudem, die HTML-Anzeige im E-Mail-Programm zu deaktivieren und den Absender, wie oben beschrieben, genau zu prüfen.

Wie Sie vorgehen, wenn Sie z. B. Zugangsdaten weitergegeben haben, erklärt eine Checkliste für den Ernstfall von BSI und ProPK. Wie das BKA rund um Phishing & Co. ermittelt, erfahren Sie außerdem in der Folge #29 des BSI-Podcasts Update verfügbar.

Newsletter: Einfach • Cybersicher - das monatliche BSI-Update

Mit dem Newsletter "Einfach • Cybersicher" erhalten Verbraucherinnen und Verbraucher regelmäßig Informationen zu wichtigen Ereignissen rund um ihre Cybersicherheit und zu aktuellen Sicherheitslücken. Neben praktischem Wissen enthält der Newsletter den multimedialen Trainingsteil "Macht euch cyberfit!" zu wechselnden Themen des digitalen Alltags. Zum Newsletter "Einfach • Cybersicher".

„Das https in der Browserzeile zeigt an, dass meine E-Mails verschlüsselt werden.“

Das trifft nicht zu.
Das Kürzel signalisiert, dass die Verbindung zwischen Ihrem Browser und der Webseite, die Sie besuchen, verschlüsselt ist. Das „Hypertext Transfer Protocol Secure“ betrifft aber nur den sogenannten Webmailer, also die Oberfläche der Webseite, nicht den eigentlichen Versand der E-Mail. Für eine echte Ende-zu-Ende-Verschlüsselung, bei der nur Absender und Empfänger den Inhalt der E-Mail lesen können, ist spezielle Software wie PGP oder S/MIME notwendig.

Tipp: Einige E-Mail-Anbieter, darunter auch kostenlose, bieten Ende-zu-Ende-Verschlüsselung an. Wenn Sie auf einen solchen Anbieter umsteigen möchten, hilft Ihnen eine Recherche per Suchmaschine bei der Auswahl.

„Ich habe die 2-Faktor-Authentisierung aktiviert: In Bezug auf Phishing kann mir also nichts passieren.“

Das stimmt nicht unbedingt.
Bei der Zwei-Faktor-Authentisierung geben Nutzerinnen und Nutzer beim Login sowohl ihr Passwort als auch z. B. einen Code ein, der an eine vorab auf ihrem Smartphone installierte Authentifizierungs-App geschickt wurde. Gelangen unbefugte Dritte beispielsweise bei einem Datenleck an ein Passwort, haben sie so nicht gleich Zugang zu dem jeweiligen Benutzerkonto.

Cyberkriminelle verbessern ihre Methoden jedoch stetig. Denkbar ist etwa, dass sie eine täuschend echt aussehende Kopie einer legitimen Webseite erstellen: Diese fordert Nutzerinnen und Nutzer auf, sowohl das Passwort als auch den Code aus ihrer Authentifizierungs-App einzugeben. Täterinnen und Täter lesen dann beide Informationen in Echtzeit mit und verschaffen sich so Zugang zum Benutzerkonto. In anderen Fällen stellen sie sich beispielsweise als Supportmitarbeiter am Telefon vor und geben an, Passwort und Code für notwendige Änderungen am Benutzerkonto zu benötigen.

Tipp: Öffnen Sie Links aus E-Mails nicht unüberlegt! Geben Sie außerdem niemals Zugangsdaten weiter. Werden Sie misstrauisch, wenn eine Institution wie etwa eine Bank Sie per E-Mail oder am Telefon dazu auffordert.

Übrigens: Eine sichere Alternative zu der Kombination aus Passwort und Zwei-Faktor-Authentisierung bieten Passkeys. Da hier weder Passwörter noch Einmalcodes zum Einsatz kommen, können Cyberkriminelle diese auch nicht abgreifen.

„Phishing kommt nur in E-Mails vor.“

Das ist nicht korrekt.

Links zu täuschend echt aussehenden Webseiten, die solche von z. B. Banken oder Onlineshops imitieren, verbreiten Cyberkriminelle auch an anderen Stellen – etwa per SMS oder über QR-Codes. Dabei ist ihr Ziel ebenso, Anmeldedaten von Nutzerinnen und Nutzern auszulesen.

Eine weitere Phishing-Technik ist sogenanntes SEO-Poisoning. Dabei manipulieren Kriminelle die Rankings in Suchmaschinen, um ihre präparierten Webseiten weit oben in den Suchergebnissen anzeigen zu lassen. Wenn Verbraucherinnen und Verbraucher nach bestimmten Dienstleistungen oder Produkten suchen, stoßen sie dann womöglich ebenso auf diese gefälschte Seiten.

Tipp: Prüfen Sie Links in SMS, Suchmaschinen und QR-Codes genauso sorgfältig wie Links in E-Mails. Wenn Ihnen die jeweilige Adresse bereits bekannt ist, geben Sie diese direkt in die Adresszeile des Browsers ein. Seien Sie insbesondere dann vorsichtig, wenn Sie sensible Daten eingeben.