E-Mails sind das Haupteinfallstor für Cyberangriffe. Diese Angriffe sind schon längst keine Einzelfälle mehr und sind Teil unseres Alltags. Besonders die Verbreitung von Malware durch angehangene Dokumente mit Makros sind unter Cyberkriminellen sehr beliebt. Aus diesem Grund wurde für den E-Mail-Dienst der RWTH am 16. November 2021 ein Schutzmechanismus zur E-Mail-Makro-Filterung eingebaut. Am weitesten verbreitet sind Office-Dokumente, aber auch PDFs z.B. mit Formularfeldern.
Wie funktioniert die E-Mail-Makro-Filterung?
E-Mails mit Anhängen, die von einer E-Mail-Adresse außerhalb des zentralen Exchange-Systems der RWTH an eure E-Mail-Adresse auf dem zentralen Exchange-System der RWTH verschickt werden und Dokumente mit Makros enthalten, werden nicht mehr direkt zugestellt. Stattdessen erhaltet ihr eine Informationsmail in der erklärt wird, dass die E-Mail potentiell gefährliche Makros enthält. Die Absenderadresse der Originalmail wird dabei durch die Absenderadresse NoReply-Sec@itc.rwth-aachen.de ersetzt. Als Betreff hingegen wird genau der Betreff der Originalmail angezeigt. In dieser Informationsmail wird erläutert, wie ihr euch beim Umgang mit solchen E-Mails verhalten und worauf ihr achten solltet.
Diese Maßnahme ist eine von vielen Maßnahmen zur Verbesserung der IT-Sicherheit an der RWTH. Sie stellt nicht eine hundertprozentige Sicherheit dar, sondern zielt konkret darauf, den Nutzenden auf bestimmte Risiken aufmerksam zu machen.
Wie kann ich die Originalmail öffnen?
Die Originalmail inklusive Dateien mit Makros werden der Informationsmail automatisch angehangen. Nachdem ihr die Informationsmail aufmerksam gelesen habt und euch den Risiken bewusst seid, könnt ihr freiwillig entscheiden, ob ihr die Original-E-Mail und die angehangenen Dateien öffnen möchtet. Dadurch habt ihr die Möglichkeit, die E-Mail vor dem Öffnen genauer zu überprüfen: Handelt es sich bei der/ dem Absender*in der E-Mail um eine Person, die ihr kennt? Handelt es sich bei der angehangenen Datei um eine erwartete Datei? Im Zweifelsfall ist es immer ratsam, die/ den Absender*in persönlich zu kontaktieren, um sicherzustellen, dass keine bösen Absichten hinter der E-Mail stecken.
Sofern sich die/ der Absender*in der E-Mail als vertrauenswürdig erwiesen hat und es sich um einen unverdächtigen Anhang handelt, kann das an der Informationsmail angehangene Dokument geöffnet werden. Die Originalmail öffnet ihr, indem ihr den Anhang der Informationsmail öffnet. Nach dem Öffnen der E-Mail habt ihr dann Zugriff auf den Anhang der Originalmail. Beim Öffnen des Anhangs wird das Dokument zunächst in der geschützten Ansicht geöffnet. Die Bearbeitung des Dokuments muss in diesem Fall manuell aktiviert werden. Nach Aktivierung des Dokuments werdet ihr ebenfalls auf die im Dokument enthaltene Makros hingewiesen. Diese Inhalte sollten nur bei vertrauenswürdigen Dateien aktiviert werden. Nach Aktivierung werden die Makros dann ausgeführt. Eine genaue Anleitung mit Screenshots findet ihr in unserem Dokumentationsportal IT Center Help.
Die Originalmail lässt sich nicht öffnen. Was mache ich falsch?
E-Mail-Programme gehen unterschiedlich mit Anhängen um. Um die Originalmail öffnen zu können, muss diese in .eml- oder .msg-Format geöffnet werden. Falls der Anhang der Informationsmail als .txt-Datei abgespeichert wurde, sollte diese Dateiendung in .eml oder .msg ersetzt werden. Das Öffnen der Originalmail wird von E-Mail-Clients wie Outlook und Mail App für Windows unterstützt. Sollten Probleme auftreten, solltet ihr die RWTH Mail App (OWA) aufrufen, um auf die Originalmail zugreifen zu können.
Gibt es eine Möglichkeit diese Filterung zu umgehen?
Aus Sicherheitsgründen werden alle E-Mails, die von außerhalb des zentralen Exchange-Systems der RWTH geschickt werden und Dateien mit Makros enthalten, herausgefiltert. Es gibt jedoch neben dem herkömmlichen E-Mail-Versand weitere Möglichkeiten, Dateien sicher zu teilen. Angehörige der RWTH können Dienste wie Sciebo oder Gigamove nutzen, um Dokumente zu teilen.
Solltet ihr Fragen oder Probleme mit dieser Maßnahme haben, dann meldet euch gerne bei uns. Die Kolleginnen und Kollegen aus dem IT-ServiceDesk werden euch gerne weiterhelfen.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.