Gestern abend, eine beliebige Kneipe (ok, „Zur Kutsche“) in einer beliebigen Stadt (ok, Voerde). Ein paar Männer und Frauen diskutieren über alles mögliche – auch über Computer und Datensicherheit. Irgendwie kommt das Thema auf E-Mail.
„Ja, da muss man halt gucken, von wem die kommt!“
„Nein, das ist total egal, was da steht – das hilft Dir kein bisschen!“
„Doch, Du kannst ja nicht einfach meine Mail übernehmen!“
„Kann ich wohl!“
„Kannst Du nicht!“
„Kann ich sogar mit dem Handy!“
„Beweis!“
„Okay!“
Wer in dem Dialog ich war, ist selbsterklärend. Und so habe ich den Beweis angetreten, dass ich sogar mit einem iPhone ohne Jailbreak so tun kann, als wäre man jemand anderes. Dafür habe ich einfach mal den Namen meines Tischnachbarn genommen und eine E-Mail unter seinem Namen an einen weiteren Freund geschickt. Die Überraschung war besonders groß, weil man zunächst dachte, dass ich zwar den angezeigten Namen manipulieren kann, aber doch nicht die E-Mail-Adresse. Um so größer das Erstaunen, als beim Anklicken der E-Mail auch noch die „echte“ E-Mail-Adresse auftauchte.
Ich hatte etwas Mühe zu erklären, woran das lag. Denn die andere Seite war ja sehr überzeugt davon, dass das nicht sein kann. Nachvollziehbares Argument: Wenn man sich bei einem Dienstleister mit einer bereits vergebenen Adresse versucht anzumelden, geht das ja nicht.
Ich habe dann versucht zu erklären, dass das ein Problem ist, wenn man E-Mail eigentlich nur aus dem Browser kennt. Denn, vereinfacht gesagt, funktioniert E-Mail ja viel trivialer:
Um eine Mail zu versenden, melde ich mich an einem Postausgangsserver. Früher brauchte man dafür oftmals nicht einmal Zugangsdaten, heute habe ich i. d. R. einen Usernamen und ein Kennwort. Dann erwartet der Mailserver von mir eine gültige Adresse für eine Empfänger. Und das war es.
Ab da kann, stark vereinfacht, wirklich alles mögliche kommen. Es kommen dann zum Beispiel Informationen zum Absender, die ich völlig frei wählen kann. Es kommen auch noch so Meta-Informationen wie das Subjekt und dann der Text. Einzig wichtiges Merkmal ist eine Kombination von „Steuerzeichen“, die das Ende der Mail signalisieren.
E-Mail ist damit erstaunlich flexibel. Das ist auf der einen Seite gut, weil sich Mehrwertdienste (Spamfilter, spezielle „Dienste“ wie z. B. bei Outlook/Exchange) integrieren lassen, ohne das andere E-Mail-Programme aus dem Tritt kommen. Auf der anderen Seite öffnet das natürlich dem Betrug Tür und Tor.
Das man eine Mail von einer fremden Adresse bekommt, ist dabei gar nicht mal so unwahrscheinlich. Erst beim Klick auf Antworten sieht der Empfänger unter Umständen, dass die Mail an eine andere Adresse zurück geht (Reply to) als man erwarten würde. Aber dazu muss es gar nicht kommen.
Denn ich wette, wenn ich Euch eine E-Mail schicke und mich als Bekannter ausgebe und Euch bitte, auf diesen super coolen Link zu klicken, was macht Ihr dann? Zumal wenn auf den ersten Blick ja Name und angezeigte E-Mail-Adresse zu stimmen scheinen? Eben. Und schon habe ich u. U. die Kontrolle über Euren Rechner.
Am iPhone ist mir auch kein Weg bekannt, in die Kopfdaten einer E-Mail zu schauen. Denn hier wäre ersichtlich, wenn jemand zu offensichtlich mit dem Absender trickst. Am PC geht das, aber mal ehrlich: Wer von Euch weiß wo er an den Quelltext seiner Mail kommt? Eben!
Abhilfe schafft, wie sollte es anders sein, eine gültige Signatur z. B. mit PGP/GnuPG. Denn damit sehe ich sofort, ob eine Mail von dem Absender ist, der behauptet hat sie geschrieben zu haben. Und ob sie ggf. unterwegs verändert wurde, beispielsweise von einem verseuchten Router.
Es ist um so erschreckender, wie wenig Menschen heute über die Technik wissen, der sie so blind vertrauen. Es ist aber genau so erschreckend, wie stark nach wie vor die Hemmschwelle ist, sich mit Signaturen und Verschlüsselung vertraut zu machen. Ich gestehe, dass z. B. auf einem iOS-Gerät es nicht trivial ist, solche Technik zu installieren. Aber es geht und wenn es ein Mal gemacht ist, ist auch gut.
Und vor allem am PC ist es überhaupt kein nennenswerter Mehraufwand, seine Mails zu signieren und eingehende Mails zu prüfen. Denn nur dann kann man wirklich sicher sein, dass in der Mail steht, was in der Mail stehen soll.
Aber vielleicht ändern solche Präsentationen wie gestern ja was? Wenn man merkt, dass es nicht einmal spezielle „Hackertools“ braucht, um so hinter Licht geführt zu werden…
