0
Die United Internet AG mit seinen Mailanbietern GMX und Web.de in Karlsruhe. - © dpa
Die United Internet AG mit seinen Mailanbietern GMX und Web.de in Karlsruhe. | © dpa

Daten-Leak "0rbit" knackte viele E-Mail-Konten: Wie unsicher sind GMX, Web.de und Co.?

Wird ein E-Mail-Konto gehackt, ist daran oftmals der Betroffene selbst schuld. Doch nach dem Daten-Leak stehen auch die Mail-Anbieter in der Kritik. Allen voran: Mehrere deutsche Angebote wie GMX und Web.de.

Matthias Schwarzer
13.01.2019 | Stand 13.01.2019, 21:25 Uhr

Bielefeld/Gelsenkirchen. Der Daten-Leak des 20-jährigen Hackers "0rbit" hat die Republik aufgeschreckt. Unzählige persönliche Daten von Politikern und Prominenten stellte Johannes S. ins Netz. Das schaffte er unter anderem auch deshalb, weil es ihm gelang, diverse E-Mail-Konten zu knacken. Nach dem Fall sind sich Sicherheitsexperten einig: Auch wenn er viel Aufmerksamkeit erzeugt hat - große Kunst war dieser Daten-Leak nicht. Und viele Betroffene waren daran sogar selbst schuld: "0rbit" knackte offenbar viele E-Mail-Konten, weil diese durch einfache Passwörter nur unzureichend geschützt waren. Einmal im Account, bekam der Hacker Zugriff auf weitere wichtige Konten - zum Beispiel auf soziale Netzwerke, die mit der E-Mail-Adresse verknüpft waren. Allerdings werden inzwischen auch Zweifel an den Sicherheitsmaßnahmen der E-Mail-Anbieter laut. Der 19-jährige IT-Experte Jan Schürlein, der im Hacker-Verfahren als Zeuge geführt wird, behauptet: Die Betroffenen hätten ihre Konten vor allem beim Anbieter GMX gehabt. In einem Tweet äußert Schürlein Kritik an den Sicherheitsvorkehrungen des deutschen Mail-Anbieters. 0rbit hat übrigens hauptsächlich GMX-Accounts gehijacked. Es gibt wohl eine Sicherheitslücke beim Passwort-Reset/Support, dadurch hat er sich bei den damaligen Hacks bei YouTubern zumeist die Accounts besorgt. Einmal im GMX Postfach konnte er so weitere Konten zurücksetzen. — Jan Schürlein (@Janomine) 7. Januar 2019 GMX dementiert die Vorwürfe auf Anfrage von nw.de. Man habe nach dem Daten-Leck Technik und interne Prozesse überprüft, heißt es. Der Verdacht auf eine Sicherheitslücke habe sich nicht bestätigt. "Auch aus Gesprächen mit Behörden geht hervor, dass diese ebenso keine Anzeichen dafür sehen, dass Schwachstellen bei Providern zum Datenleak geführt haben", schreibt ein Sprecher. Sind die Mail-Anbieter also fein raus? Und liegt die Verantwortung einzig beim Nutzer? Ganz so einfach ist es nicht. Und zwar aus folgenden Gründen: 1. GMX und Web.de verzichten auf wichtige Sicherheitsmaßnahmen Im Gegensatz zur amerikanischen Konkurrenz von Google oder Apple verzichten einige deutsche E-Mail-Anbieter bislang auf die sogenannte "Zwei-Faktor-Authentifizierung". Bei diesem Verfahren reicht ein Passwort zum Einloggen nicht aus. Zusätzlich wird auf das Smartphone des Kunden ein Code geschickt, der den Log-In-Prozess zusätzlich absichert - ein solches Verfahren ist zum Beispiel auch beim Online-Banking üblich. Auch die bekanntesten deutschen Mail-Anbieter GMX und Web.de, die beide zur United Internet AG gehören, bieten dieses Verfahren bislang nicht an. Dafür wurden sie kürzlich von den Machern der Passwortverwaltung "Dashlane" abgestraft. In einem Ranking landen die beiden Mail-Anbieter in Sachen Sicherheit auf den letzten Plätzen. Google und der E-Mail-Dienst Posteo schaffen es als Mail-Anbieter mit fünf Punkten auf den ersten Rang, Apple immerhin auf Platz 2. "Das ist extrem riskant", sagt Norbert Pohlmann, Leiter des Instituts für Internetsicherheit if(is) im Gespräch mit nw.de. Mit Mail-Anbietern wie GMX habe es diesbezüglich schon einige Gespräche seitens des Instituts gegeben. Das if(is), das an der Westfälischen Hochschule in Gelsenkirchen ansässig ist, geht proaktiv auf Web-Dienstleister zu und gibt Tipps in Sicherheitsfragen. "Sicherheitsmaßnahmen wie diese kosten viel Geld und Zeit", weiß Pohlmann. "Darum scheuen sich viele Anbieter, diese umzusetzen." Das sei aber kein alleiniges Problem von GMX und Web.de, sondern betreffe auch andere Anbieter. "Man muss dennoch sagen, dass Google-Mail hier deutlich weiter ist. Die könnten sich solch laxe Sicherheitsvorkehrungen gar nicht erlauben." GMX selbst erklärt auf Anfrage von nw.de: Im nächsten Quartal soll die Zwei-Faktor-Authentifizierung endlich kommen. Norbert Pohlmann will Internet-Nutzer dafür sensibilisieren, diese auch zu nutzen. "Zahlen belegen, dass selbst bei Google-Mail nur zehn Prozent aller Nutzer die Zwei-Faktor-Authentifizierung angeschaltet haben". So konnten im aktuellen Hacking-Fall auch Google-Mail-Konten geknackt werden, die im Regelfall als sicher gelten. 2. GMX und Web.de lassen schwache Passwörter zu Die beliebtesten Passwörter der Deutschen lauten "123456" oder "passwort". Bei Anbietern wie Googlemail oder Mailbox.org sind diese Passwörter deshalb gar nicht erst erlaubt. Das gilt auch für deutsche Anbieter: Bei der Telekom muss das Passwort mindestens Großbuchstaben oder/und Ziffern und Sonderzeichen enthalten. Bei der Eingabe "12345678" erscheint sofort ein roter Balken: unsicher. Auch beim beim deutschen Anbieter "Freenet" gibt es Einschränkungen. Anders ist das bei GMX und Web.de: Hier wird das Passwort "passwort" ohne Weiteres angenommen. Und nicht nur das: Bei GMX färbt sich der Balken bei Passwort-Eingabe "12345678" sogar grün. Das signalisiert: Dieses Passwort ist sicher. Einzige Sicherheits-Beschränkung: Bei beiden Anbietern braucht das Passwort mindestens acht Zeichen. Die Verantwortung sieht man bei GMX vor allem beim Kunden. Ein Sprecher teilt mit: "Der aktuelle Fall hat deutlich gemacht, wie leicht private Daten entwendet werden können. Um dies künftig zu erschweren, ist jeder Einzelne gefordert." Die oberste Regel seien komplexe und unterschiedliche Passwörter sowie geheime Antworten bei Sicherheitsabfragen, die nur dem Konto-Inhaber bekannt seien. 3. GMX vergibt Mail-Konten neu Wer sich ein Jahr lang nicht in sein GMX-Konto einloggt, verliert es. Und nicht nur das: Die Mail-Adresse wird dann sogar neu vergeben. Das ist ganz besonders brenzlig, wenn Kunden andere Accounts mit dieser Mail-Adresse verknüpft haben - beispielsweise soziale Netzwerke. Wer es schafft, sich die ehemalige GMX-Adresse eines Kunden zu angeln, hat mit der "Passwort zurücksetzen"-Funktion auch schnell Zugriff auf andere Konten eines Betroffenen. Ein GMX-Sprecher bestätigt das Problem auf Anfrage: "Laut den GMX AGB ist eine Wiedervergabe der Adresse nach einjähriger Inaktivität möglich. In der Praxis ist der Zeitraum deutlich länger. Vor Löschung der Adresse informieren wir den Nutzer und geben Hinweise zur Sicherheit. So ist beispielsweise sicherzustellen, dass man E-Mail-Adressen, die man nicht mehr nutzt, auch bei anderen Accounts zum Beispiel dem Online-Shopping-Account entfernt." Die Wiedervergabe von nicht mehr aktiven Konten sei "branchenüblich", heißt es. Auch Mobilfunknummern würden schließlich nach einer gewissen Zeit neu vergeben. "Das ist ja auch sinnvoll, um den Namens- und Zahlenraum nicht zu begrenzen." Ganz so "branchenüblich" ist das allerdings nicht. Von großen Mail-Anbietern wie Google ist eine so schnelle erneute Vergabe von Mail-Adresse nicht bekannt. Was können Kunden jetzt tun? Geht es nach dem Zeugen Jan Schürlein, sollen Internet-Nutzer für wichtige Konten gar keine GMX-Konten verwenden. So weit will Norbert Pohlmann vom Institut für Internetsicherheit nicht gehen. Er hofft weiter auf eine Zwei-Faktor-Authentifizierung bei allen verfügbaren deutschen E-Mail-Anbietern - und darauf, dass sie von Kunden auch verwendet wird. Zum Thema laufe auch ein eigenes Projekt in seinem Institut, das den Namen "Smartphone-Bürger-ID" trägt. Bis sich das System etabliert hat, könnten Kunden für verschiedene Web-Accounts verschiedene E-Mail-Adressen nutzen. "Dann ist die Gefahr nicht so groß, dass man auf einen Schlag all seine Daten verliert", erklärt Pohlmann.

realisiert durch evolver group