Risiken reduzieren: 8 Tipps zum richtigen Umgang mit E-Mails

E-Mails gehören längst zum Arbeitsalltag. Durch die hohe Verbreitung sind sie allerdings auch in den Fokus von Cyberattacken gerückt. Angriffe werden immer ausgetüftelter und Fallen nicht unbedingt sofort auf.

Auch abseits der IT-Sicherheit bergen E-Mails Risiken – z. B. in Bezug auf den Datenschutz. Werden E-Mails und die darin enthaltenen Daten sorglos behandelt, kann es schnell zu Datenschutzvorfällen kommen.

Diese Risiken lassen sich allerdings durch den richtigen Umgang mit E-Mails reduzieren. Wie das gelingt, zeigen wir anhand von 8 Tipps. 

Über das Internet verschickte E-Mails sind wie Postkarten. Im Grunde können alle mitlesen. Daher ist es wichtig, E-Mails zu verschlüsseln. Aber selbst bei einer Verschlüsselung, bleibt der Header mit der Betreffzeile und Informationen über Empfänger:in und Sender:in auf dem Transportweg zeitweise sichtbar.

Deshalb sollten Sie Betreffzeilen unverfänglich formulieren und keine personenbezogenen Daten aufnehmen. Für eine eindeutige Zuordnung reichen hier die Fallnummer oder das Aktenzeichen vollkommen aus. Alternativ können Sie auch neutrale Formulierungen wie „Prüfung eines Sachverhalts“ oder „Abrechnungsvorgang“ wählen. 

In den meisten Mailing-Programmen werden E-Mail-Adressen basierend auf der bisherigen Nutzung automatisch vervollständigt. Aber Achtung: Hier besteht Verwechslungsgefahr. Bei ähnlich klingenden oder gleichen Namen ist eine E-Mail schnell an die falsche Person verschickt. Je nach Inhalt der Mail kann das eine Datenschutzverletzung darstellen.

Daher sollten Sie Name und E-Mail-Adresse der empfangenden Person immer kontrollieren, bevor Sie eine E-Mail versenden. Außerdem empfiehlt es sich, Einträge mit ähnlichen oder gleichen Namen direkt so einzupflegen, dass der Unterschied ersichtlich ist – z. B. indem Sie die Organisation angeben. 

Bei Rundmails und Infoschreiben gilt besondere Vorsicht bei der Nutzung von Verteilern. Denn: Offene Verteiler (über das Cc-Feld) sind nur erlaubt, wenn alle in die Weitergabe ihrer E-Mail-Adresse eingewilligt haben. Gerade bei E-Mails an Kundinnen und Kunden ist das aber oft nicht der Fall.

Auf der sicheren Seite sind Sie hingegen, wenn Sie das Feld für Bcc (Blind Carbon Copy) nutzen. Hier ist nicht sichtbar, welche weiteren Personen die E-Mail erhalten. Wenn Sie sich unsicher sind, ob die benötigten Einwilligungen vorliegen, sollten Sie immer auf die Blindkopie (Bcc) zurückgreifen. Eventuell bietet es sich an, im Betreff oder der Ansprache kenntlich zu machen, dass es sich um eine Rundmail handelt. 

Personenbezogene Daten dürfen Sie ohne gesetzliche Grundlage nicht an Dritte weitergeben. Das gilt auch für E-Mail-Adressen. Das sollten Sie berücksichtigen, wenn Sie E-Mails weiterleiten möchten. Prüfen Sie, ob es eine gesetzliche Grundlage gibt und holen Sie sich ggf. eine Einwilligung ein.

Besondere Vorsicht gilt auch bei E-Mails mit historischem Verlauf, bei dem potentiell eine Vielzahl an Daten sichtbar ist. Vor der Weiterleitung sollten Sie abwägen, ob alle Informationen benötigt werden und übermittelt werden dürfen.

Auch bei automatischen Weiterleitungen bei Abwesenheit sollten Sie aufpassen. Ohne Einwilligung werden die Interessen der Absender:innen nicht ausreichend berücksichtigt und geschützt. Während der Abwesenheit sollten Sie daher auf automatische Weiterleitungen verzichten und Auto-Antworten, in denen Sie auf Ihre Vertretung und das Ende Ihrer Abwesenheit hinweisen, aktivieren. 

Wenn Sie fälschlicherweise E-Mails mit sensiblen Daten empfangen, handelt es sich vermutlich um meldepflichtige Datenschutzvorfälle. In diesem Fall sollten Sie unbedingt die Absender:innen darüber informieren und ihnen mitteilen, dass sie die E-Mail umgehend und endgültig (auch aus dem Papierkorb) löschen. Das sollten Sie dann natürlich auch tun.

Wenn Sie selbst E-Mails an falsche oder unbefugte Empfänger:innen senden, sollten Sie zunächst einmal die Ruhe bewahren und die Lage genau überprüfen. War die falsch adressierte E-Mail inklusive Anhang verschlüsselt und auch der Betreff neutral formuliert, sind keine Rückschlüsse auf die betroffene Person möglich, besteht kein Grund zur Sorge, da der Inhalt nicht lesbar ist. Andernfalls sollten Sie zur Fristwahrung unverzüglich die Verantwortlichen informieren. Darüber hinaus müssen Sie als Absender:in aktiv versuchen, durch eine Kontaktaufnahme den Missbrauch der Daten zu verhindern. Das sollte allerdings in Absprache mit den Verantwortlichen erfolgen. 

Merkwürdige E-Mails mit dubiosen Inhalten gehören mittlerweile zum Alltag – auch bei geschäftlichen E-Mail-Adressen. Wenn Ihnen eine E-Mail komisch vorkommt, sollten Sie Absender:in und Inhalt genau prüfen. Wirkt der Betreff plausibel? Ist Ihnen die Person bekannt? Wenn ja, nutzt sie dieselbe E-Mail-Adresse wie bei der bisherigen Kommunikation? Falls nicht, sollten Sie mit der E-Mail vorsichtig umgehen.

Das heißt: nicht antworten, nicht auf Links klicken und keine Anhänge öffnen. Durch Hovern mit der Maus (Cursor auf den Link bewegen ohne zu klicken) können Sie bei Hyperlinks sehen, wohin diese gehen. Kommt Ihnen der Link komisch vor oder passt er nicht zu den Absender:innen, sollten Sie auf kleinen Fall auf den Link klicken. Bei E-Mails von Ihnen angeblich bekannten Personen lohnt es sich, einfach mal nachzufragen, bevor Sie weitere Informationen angeben. Spam-Mail sollten Sie außerdem als solche markieren, damit der Filter dazulernt. Die E-Mails sollten Sie erst nach einiger Zeit (automatisiert) löschen. 

Geschäftliche E-Mail-Adressen sind – wie der Name schon sagt – für geschäftliche Zwecke und sollten nicht privat genutzt werden. Durch eine private Nutzung erhöht sich das Risiko für Datenschutzverletzungen und IT-Sicherheitsvorfälle. E-Mail-Adressen können beispielsweise abgegriffen und weitergenutzt werden. Das kann sogar so weit gehen, dass Adressen im Darknet zum Verkauf eingestellt und für Cyberattacken genutzt werden.

Organisationen sind daher gut beraten, die private Nutzung von E-Mail-Adressen grundsätzlich nicht zu gestatten. Derartige Regelungen sind schriftlich festzuhalten. 

Die Methoden, um per E-Mail Daten abzugreifen oder Malware zu verbreiten, werden immer ausgetüftelter und täuschend echt. Deshalb sollten sowohl Privatpersonen als auch Organisationen achtsam sein und ein gesundes Misstrauen an den Tag legen.

Um die eigenen Systeme zu schützen, sollten Organisationen in jedem Fall eine Richtlinie zum Umgang mit E-Mails aufstellen und die Mitarbeitenden regelmäßig sensibilisieren – das gilt auch in Bezug auf den Datenschutz beim E-Mail-Verkehr. Denn auch hier besteht ein Risiko, das bis zu meldepflichtigen Datenschutzvorfällen reichen kann.