Social Hacking , Rechtsanwalt Jörg Reich, Gießen: Unsichere Freemail-Konten

09.11.20061864 Mal gelesen

Anwalt 24.de: Untersuchungenergaben, dass eine Vielzahl von Geschäftsleuten Freemail -Anbieter für ihregeschäftliche E-Mail-Korrepondenz nutzen. In Feldversuchen stelltenSicherheitsberater anschließend unter Beweis, dass zahlreiche Freemail-Konteninnerhalb weniger Minuten mit einfachen Mitteln zu knacken sind.
Diese Tests wurden ausschließlich aufMethoden beschränkt, die keinerlei Spezialwissen erfordern und praktisch vonjedem durchführbar sind. Die Ergebnisse dieser Tests sind alarmierend:E-Mail-Konten bei namhaften Anbietern konnten in weniger als zehn Minutengehackt werden. Sind zu dem Konteninhaber nur einige wenige Informationenbekannt, reduzierte sich der Zeitaufwand oft auf weniger als fünf Minuten. Die Folgen eines erfolgreichen Einbruchs sind für denBetroffenen in den allermeisten Fällen gravierend. Der Eindringling kann alleeingegangenen Mails lesen. Es ist ihm möglich, in die Privatsphäre desKonteninhabers einzudringen und beispielsweise firmeninterne Informationen zuerhalten, die mit Mails auf oder über dieses Konto gesendet wurden.
Der Eindringling kann alle Funktionen desMail-Kontos uneingeschränkt nutzen und so auch eingegangene Mails löschen oderverändern, ehe der Konteninhaber sie gelesen hat. Das bedeuten, dass derKonteninhaber wichtige Mails entweder gar nicht erhält oder die Mails einenfalschen, veränderten Inhalt haben.Ein unbefugter Eindringling in ein Mail-Konto kann im Namenund mit der Absenderadresse des Konteninhabers Mails versenden, die nicht alsFälschung zu erkennen sind.
Der Eindringling kann sogar das Passwortändern und so dem Konteninhaber am Abholen seiner E-Mails beziehungsweise amSenden von E-Mails hindern.
Ist man beruflich auf E-Mails angewiesen,kann damit ein empfindlicher Schaden zugefügt werden. Missbräuchliche Handlungen lassen sich sogar automatisieren.Der Einbrecher kann beispielsweise hinterlegen, dass von jeder ein- undausgehenden Mail eine Kopie an ein anderes E-Mail-Konto - nämlich das desEindringlings - zu senden ist.
Der Effekt ist, dass sich derEindringling nie wieder in das betreffende Konto einhacken muss, da er jedeMail, die über dieses Konto geht, zugleich auch automatisch auf sein eigenesE-Mail-Konto geschickt bekommt. Das funktioniert so lange, bis der Inhaber desbetreffenden Kontos den Weiterleitungseintrag in den Grundeinstellungen bemerktund löscht.
Das Diensteangebot einigerE-Mail-Anbieter, die auch Funktionen wie Telefon- und Adressbuchverwaltung,einen persönlichen Kalender und anderes mehr zur Verfügung stellen, birgzusätzliche Gefahr. Die Schäden, die einem Nutzer solcher Funktionen durch einunbefugtes Eindringen in sein Account entstehen können, sind kaum absehbar.
Neben technischen Sicherheitslücken in Freemail-Systemen,die es Angreifern ermöglichen, ohne Authentisierung auf das System zuzugreifen,ist die Methode des sogenannten „Social Hacking“, des Erratens derZugangsdaten, durchaus vielversprechend. Um auf diesem Weg unbefugten Zugang zueinem Mail-Konto zu erlangen, benötigt ein Eindringling entweder denAccount-Namen oder die komplette E-Mail-Adresse des Opfers. Daten, die leichtzu besorgen sind.
Aus nachvollziehbaren Gründen wird aufeine detaillierte Darstellung der Verfahrensmodalitäten wie man sich sodann inein Email-Konto unbefugterweise einhackt wegen der offensichtlichen Gefahr derNachahmung verzichtet.
Nur soviel – schwer ist es nicht!
Als Gegenmaßnahmen empfiehlt es sich einen Freemail-Anbieterzu wählen, der keine beliebig vielen Fehl-Log-ins zulässt, ohne dasE-Mail-Konto zu sperren.
Eine andere Möglichkeit für Anbieter,solche Attacken zu verhindern, besteht darin, dass zwischen jedem Fehl-Log-ineine immer längere Wartezeit notwendig ist, bis der nächste Log-in erfolgen kann.
Wegen der immer größeren Wartezeitenwürde eine sogenannte Brute-Force-Attacke so lange dauern, dass sie praktischundurchführbar ist. Und eine dritte, ebenfalls einfache Möglichkeit für denFreemail-Anbieter besteht darin, dem Konteninhaber nach dem Log-in anzuzeigen,ob Fehl-Log-ins erfolgten. Werden einem Konteninhaber solche Fehl-Log-insangezeigt, dann weiß er zumindest, dass jemand (erfolgreich oder erfolglos)versucht hat, in sein Konto einzudringen.Ein Passwort ist umso schwerer zu erraten, je länger es ist.
Für Passwörter bis zu einer Länge vonvier bis fünf Zeichen braucht ein Angreifer kaum themenbezogene Wortlisten,sondern kann ein leistungsfähiges Brute-Force-Programm einfach alle möglichenWorte dieser Länge durchprobieren lassen.
Passworte mit einer Länge von acht undmehr Zeichen sind auf diese Weise auch mit sehr leistungsfähigen Computernnicht mehr zu ermitteln.
Sicherer ist ein Freemail-Anbieter, dereine Passwortlänge von mindestens acht Zeichen zwingend festlegen.
Gleiches gilt für die möglichen Zeichen.Je mehr Zeichen für ein Passwort verwendet werden können, umso mehr möglichePassworte einer bestimmten Länge gibt es. Während ein Hacker beispielsweise einsechsstelliges Passwort, in dem nur Kleinbuchstaben vorkommen dürfen, nochrelativ einfach ermitteln kann, ist das Hacken eines Passworts, in dem Klein-und Großbuchstaben, Ziffern und 20 Sonderzeichen vorkommen können, praktischunmöglich.
Kritisch sind Anbieter zu bewerten, die beim vergessen des Passwortes eine„geheime Frage“ stellen, bei deren Beantwortung das Passwort freigegeben wird.
Auch hier wird auf eine detaillierteDarstellung der Verfahrensmodalitäten wie man sich sodann in ein Email-Kontounbefugterweise einhackt wegen der offensichtlichen Gefahr der Nachahmungverzichtet.
Nutzern von Freemail-Diensten sowiesollte es bewusst sein, dass diese Konten oft leicht zu knacken sind. Esempfiehlt es sich, bei der Auswahl eines Freemail-Dienstes neben den dortangebotenen Features auch die Sicherheitsvorkehrungen mit in die Auswahleinzubeziehen.
Der firmeninterne Zugriff auf dieseDienste sollte in jedem Fall verboten werden.
Hiezu sollte das Verbot mit denMitarbeiter erörtert werden und diese sollten schriftlich bestätigen das Verbotzur Kenntnis genommen zu haben.
Technisch sind alle bekannten URLs fürden Zugriff aus dem Firmennetz zu sperren.
Eine Maßnahme, die insbesondere unter demGesichtspunkt, dass über das gehackte E-Mail-Konto Straftaten beganngen werdenkönnen, besonderes Augenmerk verdient.                   

Rechtsanwalt Jörg Reich

www.anwaelte-giessen.de