Die meisten E-Mail-Postfächer sind nicht sicherer als alte Vorhängeschlösser
Eine kleine Umfrage unter Freunden und Kollegen nach den Kennwörtern für E-Mail und Ebay, für das Amazon-Kaufhaus oder das Meilenkonto der Fluggesellschaft lässt einen doch erstaunen. Meist wird das Kennwort aus den Vornamen im Familienkreis gebildet, etwas pfiffigere Zeitgenossen kombinieren mit der Postleitzahl des Wohnorts oder der Telefondurchwahl im Büro. „Marianne1035“ oder „Gabriele60327“ sind einige Beispiele, und ein schlichtes „Napoleon“ verweist auf den süßen kleinen Jack-Russell-Terrier der Familie. Solche Kennwörter zu raten, ist keine Kunst, und so dreht sich der vierte Teil unserer Einsteiger-Serie über die E-Mail im privaten Einsatz um den Schutz des elektronischen Postamts.
„Was soll's“, hört man nach mahnenden Hinweisen. Wenn da wirklich jemand mitlesen würde, habe man doch schließlich nichts zu verbergen. Wer nur ein einziges E-Mail-Konto einsetzt, dort alles sammelt und zudem einen schwachen Kennwortschutz wählt, hat aber durchaus einiges zu verlieren. Dazu ein keineswegs erfundener Fall: Ein Geschäftsreisender in Asien schreibt über Facebook seinen engsten Freunden, dass ihm leider Portemonnaie und Kreditkarten gestohlen wurden. Er bittet inständig um eine Bankanweisung an Western Union, das ist ein Anbieter für internationalen Geldtransfer. Die E-Mails sind gespickt mit persönlichen Anspielungen, etliche Adressaten reagieren darauf. Wenig später stellt sich heraus: Das war eine betrügerische Aktion, und natürlich ist das Geld weg.
An das Facebook-Konto kam der Dieb auf Umwegen. Er hatte zunächst das simple Kennwort des E-Mail-Postfachs seines Opfers herausgefunden und dort einige Zeit unbemerkt mitgelesen. Er wusste von der Geschäftsreise. Er wusste, mit wem sich das Opfer regelmäßig per E-Mail austauscht, er kannte unzählige private Details. Als der Geschäftsmann im Flugzeug saß, ließ der Täter das Facebook-Kennwort zurücksetzen, und das neue kam per E-Mail an den eroberten Account. Damit nahm dieser Identitätsdiebstahl seinen Lauf. Der Daten-Pirat hätte übrigens noch viel mehr nach dem gleichen Schema anstellen können, mit Ebay und mit Amazon, mit den Kreditkarten des Opfers: Er hatte ja über diesen einen E-Mail-Zugang sämtliche Informationen. Viele Menschen verwenden zudem ein einziges Kennwort für alle Dienste. Kennt man den Schlüssel zum privaten Postfach, passt er vielleicht auch für den Outlook-Fernzugang ins Unternehmen, und die passende Startadresse von Outlook Web Access ist meist leicht zu raten.
So ist Vorsicht auch und gerade bei der privaten Post angesagt. Wir hatten bereits in den ersten Teilen dieser Serie darauf hingewiesen, dass man am besten mehrere Konten bei unterschiedlichen Anbietern für diverse Zwecke anlegt. Alles unter einem Dach zu bündeln ist nicht klug. Selbstredend sollte man verschiedene Kennworte verwenden, für jeden Dienst ein anderes, und diese regelmäßig wechseln. Identitätsdiebstahl hat derzeit Konjunktur, vor allem in den Vereinigten Staaten.
Die Online-Kriminellen kommen auf verschiedene Weise an Zugangsdaten. Phishing-Attacken starten mit einer offiziell anmutenden E-Mail im Posteingang. Man wird - angeblich von seiner Bank, vom E-Mail- oder Kreditkarten-Anbieter, vom Versand- oder Auktionshaus - aufgefordert, seine Daten noch einmal einzugeben, oder erhält Hinweise auf den fehlgeschlagenen Versand einer Bestellung. Die www-Adresse ist mit einem Link gleich dabei. Diese Seiten sind indes Fälschungen zum Zweck des „Password fishing“. Schon die namenlose Anrede („Sehr geehrter Kunde“) deutet darauf hin, und scheinbar harmlos aussehende Anhängsel („Auftragsbestätigung.zip“) sind meist Schadsoftware. Solche Nachrichten sollte man weder lesen, noch öffnen und vor allem nicht auf die Anhängsel klicken. Das sind eigentlich selbstverständliche Hinweise, aber wenn sich jeder daran halten würde, gäbe es solche Attacken nicht mehr. (Mehr dazu: Kriminelle Datenausspähung im Internet: Zwischen Bank und Kunde lauert der dritte Mann).
Brute-Force-Attacken versuchen mit „roher Gewalt“ an Kennwörter zu kommen: Eine Software probiert der Reihe nach alle Begriffe aus einem hinterlegten Wörterbuch aus. Meist braucht sie nur ein paar tausend Anläufe, um schlichte Kennwörter mit einprägsamen Namen von Familienmitgliedern oder Haustieren zu „knacken“. Für flinke Automaten eine Sache weniger Minuten, selbst Kunstworte („Hundehandy“) sind kein Hindernis. Die gute Nachricht: Seriöse E-Mail-Anbieter blockieren den Zugang nach wenigen Fehlversuchen, ein Brute-Force-Roboter wird damit ausgebremst.
„Keylogger“ sind eine Hard- oder Software, die wie ein Rekorder jedwede Aktion am Computer protokollieren. In der Software-Variante speichern die Tastaturspione alle Eingaben und verschicken die Logbuch-Dateien unbemerkt über das Internet. Hardware-Keylogger sind kleine Geräte, die zwischen Tastatur und Rechner gesteckt werden und ebenfalls alles mitschneiden. Eine virtuelle Bildschirmtastatur in einem Programmfenster, die mit der Maus bedient wird, kann gegebenenfalls vor der Hardware-Variante schützen. Man ruft sie beispielsweise bei Windows XP im Startmenü unter „Ausführen“ mit dem Befehl „osk“ auf, und es gibt weitere virtuelle Tastaturen jenseits von Microsoft im Internet (etwa bei andrej-koch.de). Die Software-Schnüffelei können einige Virenschutz-Programme erkennen. Sicherere Wege der Gefahrenabwehr sind virtuelle Maschinen, aber das ist ein anderes Thema.
Was man indes an erster Stelle und mit wenig Aufwand selbst tun kann, ist die Wahl eines Zugangscodes, der das Erraten nachhaltig erschwert. Die Bestandteile eines Kennworts sollten keine Rückschlüsse auf die Person bieten, auch dann nicht, wenn der Angreifer gut informiert ist. Am besten nimmt man lange Phrasen mit mehr als 10 Zeichen, baut Sonderzeichen ein, kombiniert Groß- und Kleinbuchstaben, und das Ganze sieht dann etwa so aus: „UHC:dbFdF,ewj80£“.
Nur wie soll man sich ein solches Ungetüm merken? Einer der einfachsten und sinnvollsten Tricks besteht darin, dass man die Anfangsbuchstaben eines Merksatzes nimmt. In diesem Fall steckt hinter dem Kennwort der Satz „Unser Hund Charly: der beste Freund der Familie, er wiegt jetzt 80 Pfund“. Das englische Pfundzeichen erhält man übrigens unter Windows mit der Tastenkombination ALT + 0163 (auf dem numerischen Ziffernblock). Solche Sonderzeichen bringt unter XP die „Zeichentabelle“ zum Vorschein (Start, Programme, Zubehör, Systemprogramme), auf dem Mac gehe man über den Finder ins Bearbeiten-Menü und wähle die Sonderzeichen. Je mehr solcher Sonderzeichen, umso besser. Dass man seine Kennworte und die entsprechenden Hinweise an einem sicheren Ort ablegt, versteht sich wohl von selbst.
Auch sollte man eine Sekunde über die „Sicherheitsfragen“ nachdenken, die einem vom Provider gestellt werden, wenn man sein Kennwort vergessen hat. Eine richtige Antwort auf die Frage zu geben, in welcher Stadt man geboren wurde, verbietet sich von selbst. Schließlich lassen sich solche Informationen aus anderen Quellen leicht beschaffen.
Einige Hersteller bieten Tresore für Kennworte an. Auf der Software-Seite zum Beispiel Datenbanken, die die einzelnen Benutzernamen und Kennworte gesammelt aufnehmen und verschlüsseln. Man muss sich nur ein einziges Master-Kennwort merken. Sehr bekannt ist der Kee Pass Password Safe (keepass.info). Er ist kostenlos, und der Programmcode ist „Open Source“, also öffentlich einseh- und prüfbar. Das Programm gibt es für Taschencomputer, Windows, Mac OS X und Linux. Die Kennwortdatenbank wird nach dem AES- oder dem Twofish-Algorithmus verschlüsselt, beide gelten als sicher.
Oder man setzt pfiffige Hardware ein. Etwa einen USB-Stick, der private Kennwort-Listen aufnimmt und vor unbefugtem Zugriff schützt. Populär ist der Safe Stick von Blockmaster (optimal.de). Ein eigener Prozessor auf dem Speichermedium ist für die Verschlüsselung zuständig, Treiber oder Software müssen nicht installiert werden. Auch hier wird eine AES-Verschlüsselung eingesetzt. Allerdings sind diese Sticks nicht kompatibel zu Mac- und Linux-Rechnern.
Erste Hinweise auf Sicherheitsprobleme rund um das eigene E-Mail-Konto sieht man gegebenenfalls schon beim Einbuchen. Bei Yahoo lässt sich beispielsweise ein „Anmeldesiegel“ erstellen, das einem sofort zeigt, ob es sich bei der aufgerufenen Startadresse um die „richtige“ Yahoo-Anmeldeseite und nicht um eine Phishing-Adresse handelt. Googlemail zeigt unten auf der Seite des eingebuchten Nutzers Hinweise zur „letzten Kontoaktivität“. Klickt man auf diesen Link, sieht man die Chronik der Besuche mit Datum und Uhrzeit sowie der Angabe des Zugriffstyps (Browser, Handy, Imap-Abfrage). Andere Provider informieren beim Log-in über die letzten Besuche oder zuvor gescheiterte Anmeldeversuche.
Text: F.A.S.
Bildmaterial: DIETER RÜCHEL
Nationalmannschaft: Auftaktsieg gegen Belgien in der EM-Qualifikation
F.A.Z. Electronic Media GmbH 2001 - 2010 Partner-Portal: NZZ Online
Teilen
Twitter
