VOLLTEXTSUCHE
Pressearchiv
Zorn Reich Wypchol Dring, Rechtsanwlte in Soziett
Pressemitteilung

Social Hacking , Rechtsanwalt Jörg Reich, Gießen: Unsichere Freemail-Konten

(PM) , 07.11.2006 - Untersuchungen ergaben, dass eine Vielzahl von Geschftsleuten Freemail -Anbieter fr ihre geschftliche E-Mail-Korrepondenz nutzen. In Feldversuchen stellten Sicherheitsberater anschlieend unter Beweis, dass zahlreiche Freemail-Konten innerhalb weniger Minuten mit einfachen Mitteln zu knacken sind. Diese Tests wurden ausschlielich auf Methoden beschrnkt, die keinerlei Spezialwissen erfordern und praktisch von jedem durchfhrbar sind. Die Ergebnisse dieser Tests sind alarmierend: E-Mail-Konten bei namhaften Anbietern konnten in weniger als zehn Minuten gehackt werden. Sind zu dem Konteninhaber nur einige wenige Informationen bekannt, reduzierte sich der Zeitaufwand oft auf weniger als fnf Minuten. Die Folgen eines erfolgreichen Einbruchs sind fr den Betroffenen in den allermeisten Fllen gravierend. Der Eindringling kann alle eingegangenen Mails lesen. Es ist ihm mglich, in die Privatsphre des Konteninhabers einzudringen und beispielsweise firmeninterne Informationen zu erhalten, die mit Mails auf oder ber dieses Konto gesendet wurden. Der Eindringling kann alle Funktionen des Mail-Kontos uneingeschrnkt nutzen und so auch eingegangene Mails lschen oder verndern, ehe der Konteninhaber sie gelesen hat. Das bedeuten, dass der Konteninhaber wichtige Mails entweder gar nicht erhlt oder die Mails einen falschen, vernderten Inhalt haben. Ein unbefugter Eindringling in ein Mail-Konto kann im Namen und mit der Absenderadresse des Konteninhabers Mails versenden, die nicht als Flschung zu erkennen sind. Der Eindringling kann sogar das Passwort ndern und so dem Konteninhaber am Abholen seiner E-Mails beziehungsweise am Senden von E-Mails hindern. Ist man beruflich auf E-Mails angewiesen, kann damit ein empfindlicher Schaden zugefgt werden. Missbruchliche Handlungen lassen sich sogar automatisieren. Der Einbrecher kann beispielsweise hinterlegen, dass von jeder ein- und ausgehenden Mail eine Kopie an ein anderes E-Mail-Konto - nmlich das des Eindringlings - zu senden ist. Der Effekt ist, dass sich der Eindringling nie wieder in das betreffende Konto einhacken muss, da er jede Mail, die ber dieses Konto geht, zugleich auch automatisch auf sein eigenes E-Mail-Konto geschickt bekommt. Das funktioniert so lange, bis der Inhaber des betreffenden Kontos den Weiterleitungseintrag in den Grundeinstellungen bemerkt und lscht. Das Diensteangebot einiger E-Mail-Anbieter, die auch Funktionen wie Telefon- und Adressbuchverwaltung, einen persnlichen Kalender und anderes mehr zur Verfgung stellen, birg zustzliche Gefahr. Die Schden, die einem Nutzer solcher Funktionen durch ein unbefugtes Eindringen in sein Account entstehen knnen, sind kaum absehbar. Neben technischen Sicherheitslcken in Freemail-Systemen, die es Angreifern ermglichen, ohne Authentisierung auf das System zuzugreifen, ist die Methode des sogenannten „Social Hacking“, des Erratens der Zugangsdaten, durchaus vielversprechend. Um auf diesem Weg unbefugten Zugang zu einem Mail-Konto zu erlangen, bentigt ein Eindringling entweder den Account-Namen oder die komplette E-Mail-Adresse des Opfers. Daten, die leicht zu besorgen sind. Aus nachvollziehbaren Grnden wird auf eine detaillierte Darstellung der Verfahrensmodalitten wie man sich sodann in ein Email-Konto unbefugterweise einhackt wegen der offensichtlichen Gefahr der Nachahmung verzichtet. Nur soviel – schwer ist es nicht! Als Gegenmanahmen empfiehlt es sich einen Freemail-Anbieter zu whlen, der keine beliebig vielen Fehl-Log-ins zulsst, ohne das E-Mail-Konto zu sperren. Eine andere Mglichkeit fr Anbieter, solche Attacken zu verhindern, besteht darin, dass zwischen jedem Fehl-Log-in eine immer lngere Wartezeit notwendig ist, bis der nchste Log-in erfolgen kann. Wegen der immer greren Wartezeiten wrde eine sogenannte Brute-Force-Attacke so lange dauern, dass sie praktisch undurchfhrbar ist. Und eine dritte, ebenfalls einfache Mglichkeit fr den Freemail-Anbieter besteht darin, dem Konteninhaber nach dem Log-in anzuzeigen, ob Fehl-Log-ins erfolgten. Werden einem Konteninhaber solche Fehl-Log-ins angezeigt, dann wei er zumindest, dass jemand (erfolgreich oder erfolglos) versucht hat, in sein Konto einzudringen. Ein Passwort ist umso schwerer zu erraten, je lnger es ist. Fr Passwrter bis zu einer Lnge von vier bis fnf Zeichen braucht ein Angreifer kaum themenbezogene Wortlisten, sondern kann ein leistungsfhiges Brute-Force-Programm einfach alle mglichen Worte dieser Lnge durchprobieren lassen. Passworte mit einer Lnge von acht und mehr Zeichen sind auf diese Weise auch mit sehr leistungsfhigen Computern nicht mehr zu ermitteln. Sicherer ist ein Freemail-Anbieter, der eine Passwortlnge von mindestens acht Zeichen zwingend festlegen. Gleiches gilt fr die mglichen Zeichen. Je mehr Zeichen fr ein Passwort verwendet werden knnen, umso mehr mgliche Passworte einer bestimmten Lnge gibt es. Whrend ein Hacker beispielsweise ein sechsstelliges Passwort, in dem nur Kleinbuchstaben vorkommen drfen, noch relativ einfach ermitteln kann, ist das Hacken eines Passworts, in dem Klein- und Grobuchstaben, Ziffern und 20 Sonderzeichen vorkommen knnen, praktisch unmglich. Kritisch sind Anbieter zu bewerten, die beim vergessen des Passwortes eine „geheime Frage“ stellen, bei deren Beantwortung das Passwort freigegeben wird. Auch hier wird auf eine detaillierte Darstellung der Verfahrensmodalitten wie man sich sodann in ein Email-Konto unbefugterweise einhackt wegen der offensichtlichen Gefahr der Nachahmung verzichtet. Nutzern von Freemail-Diensten sowie sollte es bewusst sein, dass diese Konten oft leicht zu knacken sind. Es empfiehlt es sich, bei der Auswahl eines Freemail-Dienstes neben den dort angebotenen Features auch die Sicherheitsvorkehrungen mit in die Auswahl einzubeziehen. Der firmeninterne Zugriff auf diese Dienste sollte in jedem Fall verboten werden. Hiezu sollte das Verbot mit den Mitarbeiter errtert werden und diese sollten schriftlich besttigen das Verbot zur Kenntnis genommen zu haben. Technisch sind alle bekannten URLs fr den Zugriff aus dem Firmennetz zu sperren. Eine Manahme, die insbesondere unter dem Gesichtspunkt, dass ber das gehackte E-Mail-Konto Straftaten beganngen werden knnen, besonderes Augenmerk verdient.
DRUCKEN| VERSENDEN | RSS-FEED |
SOCIAL WEB
PRESSEFACH
Zorn Reich Wypchol Dring, Rechtsanwlte in Soziett
Wetzlarer Str. 95
35398 Gieen
zum Pressefach
Anzeige
PRESSEARCHIV
Anzeige
BUSINESS-SERVICES
© novo per motio KG