Bundesbehörden nutzen unsichere Webmail-Adressen

Interesse an Insider-Informationen über den deutschen diplomatischen Dienst? Konsul Klaus K. etwa nutzt seine private Hotmail-Mailbox als berufliche Adresse. Wer Zugang zu seinem Mails möchte, muss nur auf der Hotmail-Website auf “Kennwort vergessen” klicken und die überaus schwere Frage zu beantworten, wer sein liebster Romanheld ist. Gut möglich, dass man diese Antwort aber auch auf seinem Facebook-Profil nachlesen kann.

Tausende Beamte benutzen regelmäßig Web-basierte Emailanbieter für berufliche Zwecke. Obwohl die meisten wissen, wie sie ihre Datenübertragung sichern sollten, machen es die frapierenden Sicherheitslücken bei Hotmail und Yahoo! Mail für Hacker leicht, in die Mailboxen einzudringen.
Beide Email-Dienste erlauben es dem User sein Passwort nur über eine “Sicherheitsfrage” zu erneuern. Die Auswahl an Fragen ist meistens oberflächlich und reicht von “Was war ihr High-Schoolmaskottchen?” bis hin zu “Wie ist der Mädchenname ihrer Mutter?”. Nachforschungen haben ergeben, wie einfach es ist, die Antworten zu erraten.??

Wenn Palin, Twitter und Abgeordnete zu Hackeropfern werden

Britische Nachforschungen haben ergeben, dass die Chancen eines Hackers bei 1 zu 84 stehen, durch Wahrscheinlichkeitsrechnungen in drei Anläufen die Antwort auf eine namensbasierte Frage zu finden. Will man den Mädchennamen der Mutter einer koreanischen Userin herausfinden, hat man eine 40%-Chance, es mit Kim, Lee oder Park zu erreichen.
Es ist kinderleicht die Antwort auf die so genannten “Sicherheitsfragen” zu erraten. Diese Methode wird von Hackern bevorzugt – gleich nach dem Phishing. Sarah Palin und Twitter sind die bekanntesten Opfer der Sicherheits-fragen-Methode. Im letzten März wurde den Inhalt der Mailboxen zweier französischer Abgeordneten veröffentlicht nachdem ein Hacker die Heimatstädte ihrer Mutter herausfand.

200 Webmail-Adressen auf bund.de

Wir verfügen über ein Tool, das es uns erlaubt, die Größe des Problems innerhalb der Verwaltung abzuschätzen. Während manche sich mit handgemachten freiheitsraubenden Gesetzen behelfen – um einen erfundenen Cyberkrieg gegen China, Russland oder Iran vorzubereiten – benutzen tausende Beamte immer noch Webmails, die zu schwach gesichert sind.

Einige der offiziellen Websites geben relativ häufig Web-basierte Emailadressen an. Betroffen sind Beamte bis in die höchste Führungsebene. In dem folgenden Bild kann man sehen, dass einige deutsche Websites zahlreiche solche Adressen angeben. Ein Crackers Traum!

Dass so viele Emailadressen registriert sind kann daran liegen, dass User in Foren oft ihre Mailadressen angeben.  Es handelt sich zweifelsohne um eine Sicherheitslücke, doch sie ist für die Regierung nicht unbedingt bedrohlich. Außerdem sollte man berücksichtigen, dass dieses Ergebnis von Google veröffentlicht wurde, das nicht unbedingt immer exakte Suchergebnisse anzeigt. Die Mailadressen wurden pro Website gezählt, die mindestens eine Mailadresse hosten. (Link zum Spreadsheet)

Überzeugen Sie sich selbst! Tippen Sie einfach mal hier den Namen einer Behörde aus Frankreich, Deutchland oder den USA ein und sehen Sie wieviele Web-basierte Adressen rauskommen.

Selbstverständlich betreffen solchen Sicherheitslücken nicht nur diejenigen, deren Mailboxen tatsächlich gehackt wurden. Sobald eine Mailbox gekapert wurde, hat der Hacker einen Zugang zu allen Kontakten des Opfers. Das bedeutet, dass an dessen Kontakte auch Schadsoftware versenden kann, ohne die Aufmerksamkeit der Opfer direkt auf sich zu lenken. Möglicherweise wurde so auch bereits Malware an hochrangige Beamte verschickt. Auf diese Weise ist etwa auch die berühmte Twitter-Attacke gelungen.

Die Lösungen liegen auf der Hand: Sinnvoll wäre zuerst ein Emailanbieter, der sich beim Passwort-Check nicht nur auf Sicherheitsfragen verlässt. Ein gutes Passwort tut sein Übriges für die Sicherheit. Doch in der Praxis sieht das noch immer anders aus – wie übrigens auch ein Test in Frankreich gezeigt hat. Dort waren übrigens wesentlich mehr Beamte betroffen als in Deutschland!

About Nicolas Kayser-Bril

französischer Online-Journalist und publiziert regelmäßig im Webmagazin OWNI. Was er unter "Datenjournalismus" versteht, hat er hier erklärt.
This entry was posted in Organisation and tagged , , , . Bookmark the permalink.