Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 5.3 E-Mail - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 5.3 E-Mail

Logo E-Mail

Beschreibung

Der Dienst "Electronic Mail", kurz E-Mail, erlaubt es, elektronische Nachrichten innerhalb kürzester Zeit weltweit zu versenden und zu empfangen. Eine E-Mail hat im Allgemeinen neben den Adressangaben (From/To) eine Titel- oder Betreffzeile (Subject), einen Textkörper und eventuell ein oder mehrere Anhänge (Attachments). Mittels E-Mail können nicht nur kurze Informationen schnell, bequem und informell weitergegeben werden, sondern es können auch Geschäftsvorfälle zur Weiterbearbeitung an andere Bearbeiter weitergeleitet werden. Abhängig davon, für welchen Einsatzzweck E-Mail eingesetzt wird, unterscheiden sich auch die Ansprüche an Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der zu übertragenden Daten sowie des eingesetzten E-Mail-Programms.

Gefährdungslage

Für den IT-Grundschutz im Rahmen des elektronischen Dateiaustausches über E-Mail werden folgende typische Gefährdungen angenommen:

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
- G 2.54 Vertraulichkeitsverlust durch Restinformationen
- G 2.55 Ungeordnete E-Mail-Nutzung
- G 2.56 Mangelhafte Beschreibung von Dateien

Menschliche Fehlhandlungen:

- G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.13 Übertragung falscher oder nicht gewünschter Datensätze

Technisches Versagen:

- G 4.13 Verlust gespeicherter Daten
- G 4.20 Datenverlust bei erschöpftem Speichermedium
- G 4.32 Nichtzustellung einer Nachricht
- G 4.37 Mangelnde Authentizität und Vertraulichkeit von E-Mail

Vorsätzliche Handlungen:

- G 5.2 Manipulation an Informationen oder Software
- G 5.7 Abhören von Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.24 Wiedereinspielen von Nachrichten
- G 5.25 Maskerade
- G 5.26 Analyse des Nachrichtenflusses
- G 5.27 Nichtanerkennung einer Nachricht
- G 5.28 Verhinderung von Diensten
- G 5.43 Makro-Viren
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
- G 5.72 Mißbräuchliche E-Mail-Nutzung
- G 5.73 Vortäuschen eines falschen Absenders
- G 5.74 Manipulation von Alias-Dateien oder Verteilerlisten
- G 5.75 Überlastung durch eingehende E-Mails
- G 5.76 Mailbomben
- G 5.77 Mitlesen von E-Mails
- G 5.85 Integritätsverlust schützenswerter Informationen
- G 5.110 Web-Bugs
- G 5.111 Missbrauch aktiver Inhalte in E-Mails

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Bei der Betrachtung von E-Mailsystemen sind im Wesentlichen die folgenden Komponenten zu untersuchen:

Dies erfordert bei der Umsetzung von Sicherheitsmaßnahmen für den Informationsaustausch per E-Mail, dass zunächst eine übergreifende Sicherheitsrichtlinie erarbeitet wird (siehe M 2.118 Konzeption der sicheren E-Mail-Nutzung ).

Der Betrieb von E-Mailsystemen erfordert neben der Umsetzung von Sicherheitsmaßnahmen am Mailserver auch Sicherheitsmaßnahmen an den eingesetzten Clients. Von besonderer Bedeutung sind jedoch die von den Benutzern einzuhaltenden Sicherheitsvorkehrungen und Anweisungen.

Werden als E-Mail-Programme Lotus Notes oder Microsoft Exchange eingesetzt, so sind zusätzlich zu den hier beschriebenen Maßnahmen die in den Bausteinen B 5.5 Lotus Notes und B 5.12 Exchange 2000 / Outlook 2000 vorgestellten systemspezifischen Maßnahmen umzusetzen. Für andere E-Mail-Programme sind analoge Sicherheitsmaßnahmen zu ergreifen.

Nachfolgend wird das Maßnahmenbündel für den Bereich "E-Mail" vorgestellt.

Planung und Konzeption

- M 2.30 (A) Regelung für die Einrichtung von Benutzern / Benutzergruppen
- M 2.42 (B) Festlegung der möglichen Kommunikationspartner
- M 2.46 (Z) Geeignetes Schlüsselmanagement
- M 2.118 (A) Konzeption der sicheren E-Mail-Nutzung
- M 2.119 (A) Regelung für den Einsatz von E-Mail
- M 2.122 (B) Einheitliche E-Mail-Adressen
- M 2.274 (A) Vertretungsregelungen bei E-Mail-Nutzung
- M 4.34 (Z) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen
- M 5.32 (A) Sicherer Einsatz von Kommunikationssoftware
- M 5.63 (Z) Einsatz von GnuPG oder PGP
- M 5.67 (Z) Verwendung eines Zeitstempel-Dienstes
- M 5.108 (Z) Kryptographische Absicherung von E-Mail
- M 5.110 (Z) Absicherung von E-Mail mit SPHINX (S/MIME)

Beschaffung

- M 2.123 (B) Auswahl eines Mailproviders

Umsetzung

- M 2.120 (A) Einrichtung einer Poststelle
- M 2.275 (Z) Einrichtung funktionsbezogener E-Mailadressen
- M 5.22 (B) Kompatibilitätsprüfung des Sender- und Empfängersystems
- M 5.57 (A) Sichere Konfiguration der Mail-Clients

Betrieb

- M 2.121 (B) Regelmäßiges Löschen von E-Mails
- M 4.33 (A) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung
- M 4.64 (C) Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen
- M 4.199 (B) Vermeidung gefährlicher Dateiformate
- M 5.53 (B) Schutz vor Mailbomben
- M 5.54 (B) Schutz vor Mailüberlastung und Spam
- M 5.55 (B) Kontrolle von Alias-Dateien und Verteilerlisten
- M 5.56 (A) Sicherer Betrieb eines Mailservers
- M 5.109 (Z) Einsatz eines E-Mail-Scanners auf dem Mailserver

Notfallvorsorge

- M 6.38 (A) Sicherungskopie der übermittelten Daten
- M 6.90 (C) Datensicherung und Archivierung von E-Mails