Hätt' ich jemandes Mailadresse gehackt ...

Wie heute durch die Massenmedien geht, wurden 16 Millionen Mailadressen gekapert (siehe auch). In der Folge hat das BSI eine spezielle Internetseite eingerichtet, auf der man seine Mailadresse in ein Formular eingeben kann. Ist die Mailadresse gekapert, so bekommt man ans gekaperte Mailpostfach eine Mail. Ist die Mailadresse nicht gekapert, erhält man – nichts.

Preisfrage: Ein Bösewicht kapert 16 Millionen Mailadressen, die zum Großteil mit dem fortschrittlichen IMAP-Protokoll ansprechbar sein dürften. Da er ja nun die Kontrolle über die Mailbox hat, könnte er eine dorthin geschickte Mail des BSI z.B. relativ verzögerungsfrei löschen oder das BSI präventiv auf die Spamlist setzen (cooler Einfall von Michael, danke). Dann sieht es für den betroffenen Benutzer so aus, als … na? … wäre sein Postfach nicht gekapert. Denn wenn es nicht gekapert ist, erhält man nach Eingabe seiner Mailadresse ins BSI-Prüfformular ja keine eMail vom BSI! m(

Es kommt aber noch besser. Unabhängig davon, ob der Bösewicht die Mail des BSI löscht, muss man bei einer Seite, die derart publik gemacht wird wie die des BSI-Tests, mit einer Hochlastsituation rechnen. Das wurde von Seiten des BSI aber nur unzureichend getan, denn deren Infrastruktur erstickt gerade zeitweise an den Anfragen verängstigter Bürger. Das kann an sich schon passieren, nur in diesem Fall beeinträchtigt es zusätzlich die Ziele des BSI, denn eine Hochlastsituation kann insbesondere bedeuten, dass Mails verspätet ausgeliefert werden. Wer den Test also ausgeführt und keine Mail bekommen hat, kann prinzipiell nicht unterscheiden, ob

  1. er eine Mail erhalten hat, die aber sofort vom Bösewicht gelöscht wurde
  2. er noch keine Mail erhalten hat, weil sie aufgrund der Hochlastsituation noch nicht durchgekommen ist
  3. er keine Mail erhalten hat, weil in der Tat sein Postfach nicht gekapert wurde.

Wohlgemerkt will ich den guten Willen des BSI überhaupt nicht in Frage stellen und mich auch nicht den Verschwörungstheoretikern anschließen, die da behaupten, das BSI würde nun selbst Mailadressen sammeln. Man muss jedoch auch sehen: Erstens plätten die ihre eigenen Server, weil sie auf eine im Vorhinein absehbare Hochlastsituation nicht vorbereitet waren. Zweitens hat – wie oben dargelegt – nicht mal jemand irgendeine Sicherheit davon. Und drittens erziehen sie ihre Bürger, irgendwo im Internet ihre Mailadresse einzugeben. 8-O Ich sehe jetzt schon Werbebanner vor mir: „Bitte geben Sie für einen Sicherheitscheck hier Ihre Mailadresse ein.“ Man muss kein Fußballfan sein, um drei gleichzeitige Eigentore imposant zu finden. Update: Drei gleichzeitige Eigentore nach einem Monat Vorbereitung! (Danke, fwk)

Fazit: Ich kann im Moment jedem nur empfehlen zu warten, bis das BSI eine Alternative zu seinem Test online stellt. Oder noch einfacher: Wer denkt, sein Account könnte gekapert worden sein, sollte einfach präventiv in der folgenden Reihenfolge

  • seinen Rechner auf Trojaner checken (geht unter Windows z.B. gratis mit Microsoft Security Essentials) und hoffen, dass alles entdeckt wird (ich sage ganz bewusst hoffen, solche Programme sind ja keine absolute Sicherheit)
  • sein Mailpasswort ändern
  • alle Passwörter ändern, die dem Mailpasswort gleichen bzw. falls ein Trojaner auf dem Rechner gefunden wurde, einfach alle ändern.

Abhilfe für das BSI könnte schaffen, in jedem Fall eine Mail zu verschicken. Das bietet immer noch keine absolute Sicherheit, aber ist schon mal deutlich weniger problematisch als das derzeitige Verfahren, weil das Nichteintreffen der Antwortmail den Benutzer nicht in falscher Sicherheit wiegt. Eine weitere Möglichkeit (danke, Basti) wäre, statt eines Testportals eine Test-Mailadresse einzurichten, an die man von einer potentiell gekaperten Mailadresse mailen kann und dann entsprechend eine Antwort erhält – dies spart auch eine Menge Serverlast.

Edit und Nachtrag: In einer vorherigen Version dieses Artikels hatte ich geschrieben, dass der Bösewicht zum sofortigen Erhalt und Löschen der BSI-Mails z.B. eine IMAP IDLE-Verbindung aufrecht erhalten könnte. Das war nur ein technisches Beispiel, und darum habe ich das jetzt ausgegliedert, denn dass das Löschen auf vielen Wegen erfolgen kann, wenn man die Kontrolle über eine Mailadresse hat, ist offenbar. Danke für die Mails! :-)

(IMAP IDLE ermöglicht es Endgeräten, durch pures Aufrechterhalten einer Verbindung zum Mailserver neue Mails ausgeliefert zu bekommen, ohne periodisch abrufen zu müssen. Der Server liefert die Mails dann sofort und proaktiv ans Endgerät. IMAP IDLE ist eigentlich gemacht, damit z.B. Smartphones sofort neue Mails erhalten, ohne Datenverkehr oder Akkuleistung durch periodische Abrufe verbraten zu müssen. Das hält die Handynetze frei und die Handykosten im Rahmen. Also ist das Verfahren auch genau das richtige, wenn man 16 Millionen Mailadressen gleichzeitig überwachen und neu eintreffende Mails sofort erhalten will – aber keine Lust oder Bandbreite hat, 16 Millionen periodische Abrufe (sagen wir, pro Stunde) durchzuführen. Man bräuchte natürlich mehrere Rechner für derartig viele Verbindungen, auf der anderen Seite hat der Übeltäter aber ein ganzes Botnetz.)

Comments

Aufgrund von Caching kann es bis zu zwei Minuten dauern, bis ein Kommentar erscheint!

Da ich gerade ziemlich viel manuellen Spam aus Russland und Pakistan bekomme und keine Zeit habe, da wirksam gegen anzugehen, ist die Kommentarfunktion bis auf weiteres abgeschaltet. Wenn's pressiert, mailt mir!

Danke. Verständlich für Nicht-Nerds.

1 |
Barbie aus Berlin
| 2014/01/22 21:30 | reply