ArchivDÄ-TitelSupplement: PRAXiSPraxis Computer 1/2003E-Mail-Kommunikation: Wirksame Schutzmaßnahmen

Supplement: Praxis Computer

E-Mail-Kommunikation: Wirksame Schutzmaßnahmen

Dtsch Arztebl 2003; 100(11): [20]

Hilbert, Karsten

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Foto: Deutsche Post AG
Foto: Deutsche Post AG
Viele Arztpraxen kommunizieren immer häufiger per E-Mail. Damit verbundene Sicherheitsrisiken lassen sich durch die Beachtung einiger Grundsätze verringern oder vermeiden.
Die Kommunikation mittels E-Mail gehört zunehmend zum Alltag in den Arztpraxen, da moderne Betriebssysteme einen Internet-Zugang schon in der Standardkonfiguration enthalten und die Kosten dafür niedrig sind. Abgesehen von den Vorteilen gegenüber der Briefpost, wie zum Beispiel der ständigen Verfügbarkeit und Schnelligkeit, ist die E-Mail-Kommunikation aber auch mit einer Reihe von Sicherheitsproblemen behaftet. Diese Mängel lassen sich jedoch oft mit einfachen Maßnahmen beheben.
Über E-Mail versandte Mitteilungen sind grundsätzlich ungeschützt. Das Spektrum möglicher Probleme ist breit gefächert. Zu unterscheiden sind direkte und indirekte Sicherheitslücken:
- Direkte Sicherheitslücken sind in Client-Programmen, Server-Programmen und schädigenden Inhalten zu suchen.
- Indirekte Sicherheitsprobleme entstehen aus mangelnder Abhörsicherheit, fehlenden Echtheitsbestätigungen via digitaler Signatur, Nichtgebrauch von Verschlüsselungsverfahren und schließlich aus dem „Unsicherheitsfaktor Mensch“.
Direkte Sicherheitslücken
Durch den Einsatz von grafischen Benutzeroberfächen bei E-Mail-Programmen bleibt dem Benutzer oft verborgen, was die Software im Hintergrund tut. In vielen Programmen sind in den vergangenen Jahren Sicherheitslücken gefunden worden. Die Hersteller stellen meist kurze Zeit nach Bekanntwerden der Lücken einen so genannten Patch bereit, durch den das Sicherheitsloch gestopft wird. Untersuchungen haben aber ergeben, dass viele Benutzer aus verschiedenen Gründen diese Patches nicht installieren und so potenziellen Angreifern die Tür öffnen. Der eigentliche Angriff erfolgt dann eventuell erst Jahre später.
Ein weiteres Problem ergibt sich im Zusammenhang mit der Benutzeranmeldung beim E-Mail-Anbieter. Viele E-Mail-Programme verwenden Standardeinstellungen, um größtmögliche Kompatibilität zu den Anbietern zu gewährleisten. Daher sind häufig sämtliche Mechanismen zur sicheren Übertragung von E-Mails und Passwörtern abgeschaltet, sodass zum Beispiel das Passwort im Klartext übertragen wird.
Auch die Web-Oberflächen haben Schwachstellen. In den meisten Fällen meldet man sich beim E-Mail-Dienstleister über die Web-Oberfläche an. Beim Freemail-Anbieter GMX beispielweise wird das im Browser eingegebene Passwort im Klartext zum Anbieter übertragen, sodass es mit einfachen Mitteln abgefangen und wiederverwendet werden kann. Der Freemail-Anbieter Web.de hingegen bietet einen SSL-verschlüsselten Zugang an, der auch als Standard eingestellt ist. Viele Freemail-Anbieter haben auf ihren Oberflächen eine Möglichkeit zum Abmelden implementiert, um zu vermeiden, dass man durch Betätigen der Zurück-Funktion des Browsers einen Zugang zum Postfach des vorherigen Benutzers erhält. Nur die konsequente Nutzung dieser Abmeldung verhindert, dass andere Nutzer am selben PC eine nicht beendete Sitzung weiterführen können.
Doch nicht nur die E-Mail-Client-Programme haben Anteil an diesen Risiken. Das E-Mail-Übertragungsprotokoll ist ein altes Protokoll und nicht standardmäßig für Verschlüsselung ausgelegt. Eine E-Mail wird oft nicht direkt von Rechner zu Rechner gesendet, sondern (vergleichbar mit Briefpost) auf dem Weg zum Empfänger durch verschiedene elektronische Briefzentren geleitet. Eine E-Mail hat aber im Gegensatz zu einem Brief keinen verschlossenen Umschlag. Sie ist also eher mit einer Postkarte vergleichbar. Daher ist es für die Serverbetreiber in der Weiterleitungskette möglich, jede vorbeikommende E-Mail zu lesen, zu verändern und zu löschen. Hier wird zwangsläufig das Problem der Vertrauenswürdigkeit von E-Mails berührt. Man darf nicht ohne weiteres davon ausgehen, dass eine empfangene
E-Mail auch tatsächlich von dem im Kopf genannten Absender stammt beziehungsweise dass der Inhalt unverändert ist.
Zu den direkten Sicherheitslücken gehören auch ungewollte oder schädigende Inhalte von E-Mails. Diese so genannten Dateianhänge (Attachments) transportieren Programme oder Skripte, die dann auf dem Rechner des Benutzers ausgeführt werden. Das Spektrum umfasst Viren, Makro-Viren, Würmer, Trojanische Pferde und „Scherz-Mails“. Das Schädigungspotenzial ist hierbei groß. Im günstigsten Fall wird nur ein Virus-Befall vorgetäuscht. In vielen Fällen aber kann ein Schädling Hardware und Software unbrauchbar machen oder den Rechner für einen Komplettzugriff von außen freischalten.
Indirekte Sicherheitslücken
Ein Teil der Sicherheitsproblematik ist aber auch dem Menschen zuzuschreiben. Es gibt wirksame Methoden, die Gefahren bei der E-Mail-Kommunikation zu verringern. Die Verwendung wirksamer Verschlüsselungsmethoden oder digitaler Signaturen ist noch immer kaum verbreitet. Das liegt weniger daran, dass diese Methoden schwierig zu nutzen wären, als vielmehr am mangelnden Risikobewusstsein unter den Internet-Nutzern. Täglich laden und installieren diese in großen Mengen Freeware und Shareware aus dem Internet. Jedes dieser Programme kann unbemerkt Schadensroutinen auf dem Rechner installieren und dann seine Wirkung entfalten.
Prävention
Die Ansicht ist weit verbreitet, dass Sicherheit nur durch Experten und viel Geld erreicht und gewährleiset werden kann. Tatsache ist, dass jeder Nutzer selbst den überwiegenden Anteil der Gefahren beseitigen kann. Als erstes sollte man sein eigenes System genau analysieren und prüfen, welche Software in welcher Version eingesetzt wird – angefangen vom Betriebssystem bis hin zum E-Mail-Programm. Letztlich kann das Sicherheitsrisiko auch durch das Beherzigen einiger Grundregeln beim Surfen minimiert werden.
Bevor man sich Gedanken über potenzielle Sicherheitslücken macht, ist es zweckmäßig, alle bekannten Lücken zu schließen. Sowohl Linux als auch MS Windows bieten dafür Update-Funktionen an. Über diese kann der Anwender die von den Herstellern bereitgestellten Patches installieren. Bei offener Software stehen Updates in der Regel nach wenigen Stunden bis Tagen zur Verfügung, bei vielen kommerziellen Programmen eher nach Wochen bis Monaten, teilweise auch überhaupt nicht. Gelegentlich stellt Microsoft eine Sammlung solcher Patches als „Service Packs“ im Internet oder auf CD bereit. Dabei ist wichtig zu wissen, dass sich Firmen wie Microsoft bei solchen Updates durch Änderung von Vertragsbedingungen auch Zugangsrechte zu den Computern verschaffen (können)1.
Auch das E-Mail-Programm selbst kann Sicherheitslücken aufweisen. Besonders die Programme Outlook und Outlook Express sind Ziel von Attacken. Viele Schädlinge sind spezialisiert auf diese Programme, weil sie von vielen Benutzern eingesetzt werden und diese in der Regel die bekannten Sicherheitslücken nicht geschlossen haben. Mit dem c’t-Browsercheck unter www.heise.de/ct/browsercheck kann man die Sicherheitseinstellungen online prüfen. Outlook und Outlook Express verwenden teilweise die Sicherheitsrichtlinien des Internet Explorers. Daher ist es zweckmäßig, hier sinnvolle Einstellungen zu treffen. Welche das genau sind, hängt vom Sicherheitsbedürfnis des Benutzers ab. Der Mail-Client sollte in der Zone für „eingeschränkte Sites“ arbeiten, denn in dieser Zone gelten restriktivere Sicherheitseinstellungen. Das Internet bietet dazu viele Informationen. Detaillierte Hinweise sind zum Beispiel unter www.
openmed.org zu finden. Doch auch bei anderen Clients sollte man vorsichtig sein. Das häufig eingesetzte Eudora nutzt zur Darstellung von HTML-Mails ebenfalls den Internet-Explorer und ist daher ebenso gefährdet bei der Übertragung von schädigenden Inhalten. Dieses Verhalten kann aber in den Einstellungen unter „Viewing“ durch Entfernen des Häkchens „Use Microsoft Viewer“ abgeschaltet werden. Benutzer des E-Mail-Programms in Netscape/Mozilla sollten in den Einstellungen unter „Erweitert“ JavaScript für Mail und News abschalten, damit keine aktiven Inhalte ausgeführt werden.
Schädlinge
Der Begriff „Virus“ wird häufig als Überbegriff für sämtliche Typen von Schädlingen verwendet. Das ist aber nicht richtig, da sich die Schädlinge grundlegend darin unterscheiden, wie und in welchem Umfang Schaden entsteht. Der Großteil der schädlichen Inhalte kommt als E-Mail-Dateianhang auf den Rechner. Tests von Computerzeitschriften haben ergeben, dass aktuelle Virenscanner keinen hundertprozentigen Schutz bieten können. Während das passive Scannen nach Viren gut funktioniert, ist der aktive Schutz während des Surfens oder beim Herunterladen von E-Mails schlechter. Hier hilft gesunder Menschenverstand:
E-Mails von deutschen Kollegen, die plötzlich englische Betreffzeilen enthalten, sind ebenso suspekt wie riesige, unaufgefordert zugesandte Office-Dateien, in denen der Weg zu schnellem Reichtum schlummern soll. Der Einladung von Fremden, dem Link auf die „neue attraktive Homepage“ zu folgen, sollte der Anwender ebensowenig nachkommen, wie dem Link zum Download von kostenfreien Erwachsenen-Filmen. Zu allem Überfluss muss manche mit einem Schädling behaftete Mail nicht einmal ausgeführt werden, um Schaden anzurichten. Schon das Betrachten einer HTML-Mail kann eingebaute aktive Inhalte ausführen. In vielen E-Mail-Programmen lässt sich einstellen, dass der Empfang beziehungsweise die Darstellung als einfacher Text statt HTML bevorzugt wird, was derartige Sicherheitsrisiken ausschaltet.
Linux-Systeme sind zurzeit noch wenig anfällig für Schädlige. Fast alle Schädlinge nutzen Sicherheitslücken der Betriebssysteme. Daher ist der Einsatz von Linux auf dem Desktop ein wirksamer Schutz. Der Empfang schädlingsbehafteter Mails bleibt folgenlos, weil die Schadenroutine unter Linux nicht arbeiten kann. Auch künftig wird Linux sicherer bleiben, da eine ausgefeilte Rechtestruktur verhindert, dass „normale“ Benutzer weitreichende Veränderungen am System vornehmen können.
Zur Übertragung von E-Mail auf den eigenen Rechner werden verschiedene Protokolle verwendet. Die häufigsten sind POP3 und IMAP. Bei der Übertragung der Mail via IMAP werden nur die Betreff-Zeilen vom Server geladen. Unerwünschte Mail kann der Anwender direkt auf dem Server des Anbieters löschen, ohne die E-Mail auf den eigenen Rechner zu übertragen. Allerdings erlauben nicht alle E-Mail-Anbieter den IMAP-Zugang. Die meisten E-Mail-Programme haben aus Kompatibilitätsgründen standardmäßig POP3 als Protokoll eingestellt und versperren so dem Benutzer diesen Sicherheitsaspekt.
Physikalische Sicherheit
E-Mail-Sicherheit beinhaltet auch physikalische Sicherheit. Daher sollte ein Praxisrechner nicht direkt an das Internet angeschlossen sein. Hier bietet sich ein auf den Betriebssystemen Linux oder BSD basierender Router an. Auf diesem sollte eine Firewall mit Virenscanner installiert sein. Dieser physikalisch vom Praxisserver getrennte Rechner kann in festgelegten Intervallen
E-Mails abholen, auf Schädlinge untersuchen und gegebenenfalls in Quarantäne nehmen. Verdächtige Post gelangt so nicht auf Arbeitsstationen mit MS Windows.
Bildschirmmaske des E-Mail-Programms KMail
Bildschirmmaske des E-Mail-Programms KMail
Einige Anbieter bieten die sichere Übertragung von E-Mails mittels SSL-Protokoll (Secure Socket Layer) an. Hierbei wird weder das Passwort bei der Authentifizierung noch die E-Mail im Klartext zum Provider übertragen. Die Übertragung vom Server des eigenen Anbieters zu dem des Empfängers ist aber nicht zwangsläufig ebenfalls verschlüsselt. Das E-Mail-Programm des Benutzers muss für die Übertragung via SSL konfiguriert werden. Das erfolgt bei Outlook für jedes Mail-Konto unter „Eigenschaften-Erweitert“. Das GNU/Linux-E-Mail-Programm KMail ist hier sehr anwenderfreundlich: Es verhandelt beim Einrichten eines E-Mail-Kontos mit dem Server des Providers und konfiguriert sich automatisch mit den sichersten vom Provider angebotenen Optionen.
Zurechenbarkeit
Das Feld „Absender“ in einer E-Mail ist ohne entsprechende Zusatzinformationen nicht vertrauenswürdig. Es ist verhältnismäßig leicht, diese Absenderangabe zu fälschen. Was das für das Arzt-Patienten-Verhältnis bedeutet, ist leicht nachvollziehbar. Unter anderem aus diesem Grund wurde die digitale Signatur eingeführt. Der Absender signiert die E-Mail und weist sich so gegenüber dem Empfänger als Verfasser aus. Trotzdem kann der Inhalt verfälscht worden sein. Hier kommen GnuPG oder PGP ins Spiel. Eine Kombination aus öffentlichem und geheimem Schlüssel sorgt dafür, das die
E-Mail unterwegs nicht verändert werden kann, ohne dass der Empfänger dies bemerken muss. Eine Entschlüsselung der E-Mail ist mit heutiger Technik nicht in vertretbarer Zeit erreichbar. Die Verschlüsselung und Signierung von E-Mails ist unkompliziert. Im GNU/Linux E-Mail-Programm KMail ist nur ein Knopfdruck nötig. Das Programm fragt dann nach der geheimen Passphrase – einer beliebig langen, geheimen Wortgruppe – und erledigt alles weitere selbstständig. Der Verschlüsselungsalgorithmus chiffriert die Nachricht mit dem geheimen Schlüssel des Senders und dem öffentlichen Schlüssel des Empfängers. Der Empfänger wird beim Entschlüsseln nach seiner geheimen Passphrase gefragt und die E-Mail damit entschlüsselt. Zusätzlich zu dieser etablierten Art der Verschlüsselung unterstützt KMail das vom Bundesamt für Informationssicherheit in der Informationstechnik initiierte Projekt SPHINX, dessen Ziel es ist, Sicherheit beim Austausch von E-Mail zu gewährleisten. Karsten Hilbert
Kontaktadresse: Karsten Hilbert, Zum Kleingartenpark 33d, 04318 Leipzig, E-Mail: Karsten.Hilbert@gmx.net, http://linuxpraxis.multiservers.com

Grundsätze beim E-Mail-Austausch
- Umfang und Nutzung mit dem Patienten abstimmen
- gesunden Menschenverstand walten lassen
- sichere Übertragungsmöglichkeiten verwenden
- Sicherheitslücken beheben
- nichts in eine unverschlüsselte E-Mail schreiben, was nicht auch gefahrlos auf einer Postkarte stehen könnte

Zusatzinformationen
Homepage: www.openmed.org
Projekt SPHINX: www.bsi.de
Kmail: kmail.kde.org
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema