Ein Amerikaner ist in zahlreiche Email-Accounts von Prominenten eingestiegen und hat die Inhalte der Nachrichten von dort systematisch verkauft. Wie war ihm das möglich? Ganz einfach:
Zur Schuldanerkennung im März hatte Christopher Chaney zugegeben, mindestens elf Monate lang wiederholt in Mail-Accounts eingebrochen zu sein. Dafür hatte er die Funktion „Kennwort vergessen“ von Webmailern benutzt, deren Sicherheitsfragen er anhand öffentlich bekannter Daten beantwortete.
Die Mail-Anbieter tragen hier in meinen Augen eine deutliche Mitschuld. Denn sie lassen ihre Kunden eine so genannte Sicherheitsfrage ausfüllen, mit denen sie auf ihr Konto zugreifen können, wenn sie — Mal wieder — ihr Kennwort vergessen haben. Dazu bieten die meisten Anbieter nur Fragen an, die entweder leicht nachzurecherchieren oder einfach zu erraten sind. „Wie lautet der Mädchenname ihrer Mutter?“ öffnet das E-Mail-Konto selbst bei unbekannten Personen für Hunderte Verwandte und Bekannte, die diesen simplen Fakt kennen. „Wie hieß ihr erstes Haustier“ oder gar „Was ist ihre Lieblingsfarbe?“ sind so einfach zu erraten, dass man eigentlich das E-Mail-Passwort löschen könnte. Sie wollen alle E-Mails unserer Kunden lesen? Nur zu!
Der einzige Grund dafür: Die Anbieter der Services wollen keinen Support leisten. Wenn der Kunde ein Passwort vergisst, soll er um Gottes Willen nicht anrufen und irgendeine manuelle Aktion verlangen. Oder gar komplizierte Verifikationsprozesse in Gang setzen, die in der Heimat vieler dieser Konzerne sowieso absurd wären, weil die USA nun einmal kein funktionierendes Meldewesen haben.
Die einzige Möglichkeit bei solche Fragen nicht automatisch sein Postfach zu öffnen: Kreative Antworten. Mädchenname der Mutter? König Alfons der Viertelvorzwölfte. Name des Haustiers? Ihr seid solche Sicherheits-Versager!