Die armen Kollegen von der FAS

Nadine Oberhuber hat für die FAS einen „ehrlichen Blick ins Postfach“ geworfen. Also: das elektronische Postfach. Im Büro.

Insgesamt fing sich mein Postfach 11,4 Megabyte Daten ein. 15 Megabyte verkraftet es. Sobald ich also einen Tag unterwegs bin, ohne zu löschen, platzt es.

Eine Inbox mit lausigen 15 Megabyte Platz? Ehrlich? Im Jahr 2009? Das Äquivalent wäre ein Schreibtisch, der nur 15 Zentimeter breit ist. Und ein Phonograph als Diktiergerät.

Nur einmal verwenden.

Aus dem Polizeibericht:

Er sagte aus, dass er zunächst kleinere Internetforen auf Schwachstellen hinsichtlich gespeicherter Daten überprüft habe. Sobald er dort fündig wurde, las er die gespeicherten Mitgliederdaten (email-Adressen und dazugehörigen Passwörter) aus und testete mit Hilfe illegaler Software, ob die so erlangten Daten von ihren Inhabern auch als Zugangsdaten für andere Internetdienste benutzt werden. Tatsächlich wurde der „Hobbyhacker“ in bisher noch unbekannter Größenordnung fündig. Viele seiner Opfer benutzten in den unterschiedlichsten Internetportalen ein und dasselbe Passwort.

Fünf Silberlinge für Deine Freunde

Ich bin kürzlich über dieses (veraltete?) Angebot gestolpert:

Spokeo officially launched its social networking friends aggregation tool last month, and is now getting ready to launch the Spokeo Challenge, giving $5 to any user that doesn’t love its site.

Spokeo ist ein Friendfeed-ähnliches Startup, dass einen übergreifenden Überblick über die Aktivitäten Deines gesamten Bekanntenkreises im Internet verspricht. Fünf Dollar, wenn es nicht gefällt? Klingt doch nach einem guten Deal. Aber es geht noch weiter:

You’ll have to be a new user registering for an account in order to participate. You’ll also need 30 social network friends, and you’ll have to try out Spokeo for an entire week. Should you find that you don’t like Spokeo after all, you’ll need a PayPal account in order to receive your $5.

Die bevorzugte Weise, sich – und seine Freunde – anzumelden: Man verrät Spokeo sein Passwort eines Webmail-Services. Damit will Spokeo natürlich keinen Missbrauch treiben: sie schöpfen lediglich Dein komplettes Adressbuch ab. Sprich: wer diese Fünf-Dollar-Garantie in Anspruch nahm, verkaufte Spokeo quasi die Mailadressen der engsten Freunde – für wenige Cent pro Stück.

Na und? Was kann Spokeo schon mit den Adressen machen? Nun, sie können damit alle anderen Accounts Deiner Freunde in Erfahrung bringen. Wenn ein social network eine API anbietet, ist die Email-Adresse nämlich der Schlüssel zum Accountnamen.

Wie einfach das geht, zeigt Identifight: Einfach die Mailadresse eingeben und man erfährt ob der Besitzer der Emailadresse bei Flickr, Friendster, StumbleUpon, Yahoo360 oder einem ganzen Rudel anderer Seiten registriert ist. Mehr noch: man erfährt auch gleich die öffentlich verfügbaren Informationen wie Username oder eingestellte Bilder. Und das ist nur das unterste Level des Auto-Stalkings. Damit man tatsächlich Geld damit machen kann, muss man nämlich einigen Unternehmen die Daten – oder ein Extrakt davon – verkaufen. User-Profile, personalisierte Werbung, Bewerber-Check. Der Fantasie sind keine Grenzen gesetzt.

Mit Identifight sollte man es allerdings auch nicht übertreiben – wer weiß, was die mit den Daten machen?

Die Legende von der Mailpolizei

Derzeit schwappt Empörung durch die Blogosphäre. Und der Sachverhalt ist auch ungeheuerlich: jeder kleine Polizist kann wegen Bagatellen in unsere Email-Inboxen gucken.

Gucken wir uns doch Mal die Quelle des Gerüchts an: Es handelt sich um dieses Posting in einem wohl extra zu dem Zweck eröffneten Blog. Der Sachverhalt: der anonyme Autor befindet sich aus ungeklärter Ursache in einer unbekannten Dienststelle der Bundespolizei. Dort wird er Zeuge der Vernehmung eines mutmaßlichen Schwarzfahrers, dessen Anschrift festgestellt werden soll. Der Schwarzfahrer nennt seine Mail-Adresse, weil in dem Postfach eine Mail mit der Adresse befinden soll, was seine Identität bestätigen würde. Daraufhin greift der Beamte in seinen Computer und blättert – ohne nach dem Passwort zu fragen – in dem Postfach des Deliquenten.

Ich sage Mal: bullshit.

Erster Punkt: Wer immer dieses Gerücht in die Welt gesetzt hat – er tut alles, um eine Überprüfung zu vermeiden. Wo und wann das Ganze stattgefunden hat möchte er nicht verraten. Er selbst steht nicht für Nachfragen zur Verfügung. Das Meatspace-Äquivalent des Ganzen: Jemand hat in der Kneipe ein paar Bierchen getrunken und erzählt lautstark den neusten Skandal. Als man ihm zuhört, erinnert er sich dann auch plötzlich an neue Details – nur keine überprüfbaren.

Zweiter Punkt: Ein Beamter muss schon sehr dämlich sein, wenn er vor unbeteiligten Zuhörern mal eben gegen das Gesetz verstößt und top-geheime Fahndungsmethoden vor dem lauschenden Publikum ausbreitet. Dass es gegen das Gesetz verstößt – daran besteht kein Zweifel. Zwar haben die Strafverfolger in den letzten Jahren ziemlich weitgehende Möglichkeiten bekommen auf Emails zuzugreifen – aber eben erst nach richterlichem Beschluss und einem komplexen Verfahren. Und die Vorratsdatenspeicherung ist zwar schon Gesetz, aber eben noch nicht in Betrieb.

Dritter Punkt: Dieses Verfahren ist an gewisse technische Vorgaben gebunden. Zwar existiert, die „Standleitung“, die der empörte Anonyme anspricht im Prinzip. Doch dafür braucht die Polizeidienststelle eine teure SINA-Box. Das ist nichts, was mal eben unter dem Schreibtisch am Kundenempfang steht. Selbst wenn die SINA-Box dort stünde: der Provider müsste den Zugang zu dem Postfach bereits freigeschaltet haben. Würde die Polizei darüber hinaus routinemäßig auf Email-Postfächer zugreifen, wäre das vielen, vielen Leuten bekannt: den Polizisten, den Verhörten, den Providern, den Verteidigern, etc pp…. Zudem ergibt sich aus der Schilderung („Ich mach sie einfach mal auf“), dass sich der Polizist auf einer Webmail-Oberfläche bewegt.

Vierter Punkt: Der Gesetzesverstoß und der Einsatz nicht vorhandener Hardware explizit gegen die Gesetzesgrundlage wäre ganz und gar unnötig. Der Delinquent will seine Identität beweisen, weil er nämlich sonst mit einem Aufenthalt in der Zelle rechnen muss. Auch der Polizist hat kein Interesse an dem beschrieben Vorgang: Er muss schließlich in sein Protokoll schreiben, wie er denn die Identität des Betreffenden bestätigt hat. Und die Provider haben noch weniger Interesse daran.

Fünfter Punkt: Selbst bei den wenigen genannten Details widerspricht sich der Anonyme. Erst fragt der Polizist explizit nach Hotmail, dann kann er nicht auf einen ausländischen Mailprovider zugreifen. Der Beschuldigte ist obdachlos und offenbar ohne eigenen Computer, trotzdem hat er gleich zwei verschiedene Mailadressen. Und in beiden Inboxen wartet die rettende Anschrift der Notunterkunft.

Einfache Erklärung: Da hat jemand nur mit halben Ohr zugehört – schließlich hatte er ja selbst seine Angelegenheiten auf der Polizei zu regeln. Das erzeugt Streß, zudem redet dauernd jemand dazwischen. Aus dem lückenhaften Eindruck der Vernehmung hat er sich dann eine Geschichte zusammengereimt. Dass sie so nicht stimmt, weiß er eigentlich selbst. Aber er hat da was gelesen und das passte so gut zu dem, was in Deutschland so los ist: Überwachungen, Kompetenzüberschreitungen, Armut.

Was bleibt zu sagen? Die Geschichte des anonymen Bloggers könnte in ein paar Jahren durchaus Realität werden. Dass solche Methoden angewandt werden, zeigt zum Beispiel der Prozess des EFF gegen die Praxis der US-Grenzbehörde, wahllos Computer zu filzen und zu beschlagnahmen. Und die Vorratsdatenspeicherung ist auf dem Weg. Wie schnell unsere Gesetzgeber nach Verschärfungen und Ausweitungen rufen, sehen wir immer wieder.

Aber wie steht über dem Blog so schön „es gibt kein richtiges leben im falschen.“ Bevor man solche Gerüchte weiterträgt, sollte man mal kurz einen kleinen Realitätscheck machen.

Ebay, Web.de und die fälschungssichere Signatur

Ebay und United Internet haben sich etwas tolles ausgedacht.

In einem zunächst auf eine Laufzeit von einem Jahr begrenzten Projekt werden ab sofort alle E-Mails, die direkt von eBay oder von eBay-Nutzern über das eBay-System versandt werden, von WEB.DE und GMX für ihre Kunden als echte E-Mails von eBay authentifiziert und mit einem Siegel versehen. Die direkt von eBay versandten E-Mails erscheinen jetzt im Posteingang von WEB.DE und GMX immer mit einem eBay-Logo und einem Häkchen-Symbol vor dem Absendernamen. Die von Nutzern über das eBay-System versandten E-Mails sind mit einem eBay-Logo und einem Personen-Symbol gekennzeichnet. Auch in der geöffneten E-Mail kann der Nutzer erkennen, dass diese tatsächlich von eBay stammt. Im Mailkopf findet sich eine fälschungssichere Kennzeichnung. Die direkt von eBay versandten E-Mails sind als „Original eBay-Nachricht“ markiert, die von Nutzern über das eBay-System versandten E-Mails als „Original-Nachricht eines eBay-Mitglieds“.

Ich hab mir das direkt mal angesehen und mir eine Mail von Ebay an meinen web.de-Account senden lassen. Die fälschungssichere Kennzeichnung im Mailkopf sieht so aus:

X-WEBDE-Confirmed: Ebay

PS: Die Postbank hat auch Probleme mit Phishern und setzt ebenfalls schon lange auf Mail-Signaturen. Allerdings hat die Postbank kein neues Verfahren erfunden, sondern verwendet eine Signatur, die einigermaßen moderne Mail-Programme ohne Probleme erkennen können. Und der Clou: Auch web.de kann die Signatur erkennen.

PPS: Was ist eigentlich gegen eine solche Pseudo-Signatur zu sagen? Nun: die Sache ist einfach: Spam-Bekämpfung wird zur Black Box. Wie die Firmen sicherstellen, dass die Mails auch tatsächlich von Ebay kommen, verraten sie auch auf Nachfrage nicht. Wenn ich sicherstellen will, dass meine Mails von Web.de und GMX nicht ausgefiltert werden sollen, muss ich mich auf die Qualität der dort eingesetzten Mailfilter verlassen. Und wenn ich meinen eigenen Mailserver brtreibe, lässt mich Ebay mit dem Sortieren alleine. Schließlich bin ich kein Unternehmen mit Millionenumsatz. Schließlich habe ich keinen Partnerschaftsvertrag. Selbst wenn Web.de und GMX mit allen millionschweren Unternehmen solche Abkommen treffen würden: wie viele individuellen Abkommen wären das alleine in Deutschland? Und dann noch die Verträge mit anderen Mail-Providern. Statt einem ganzen Haufen dieser Verträge – jeder einzelne eine Fehlerquelle und juristische Zeitbombe – könnte man doch gleich das Verfahren offen legen und jeden daran teilhaben lassen.

Zum zweiten erscheint die Maßnahme als Verzweiflungstat der Mailprovider, damit die Kunden schön das Web-Portal aufrufen anstatt die Mails per POP3 oder Email abzurufen. Auf dem Portal gibt es nämlich tausend andere Angebote und Werbung – schließlich will „Freemail“ ja auch bezahlt werden. Nicht umsonst ist die Konzernschwester 1&1 ja nicht im Boot bei dieser Sicherheitsinitiative. Denn das Webmail-Interface von 1&1 ist weitgehend werbefrei.

Ein weiteres Gegenargument hat Ebay auch gleich am nächsten Tag geliefert – aus unbekannter Ursache wurden deutschen Ebay-Kunden massenweise spanische Ebay-Werbungen zugestellt – dank Abkommen mit GMX und Web.de auch brav am Spamfilter vorbei. Schließlich kamen die Mails ja von Ebay.