Online-Accounts sind stets nur so sicher wie die zugehörige E-Mail
Wer seinen E-Mail-Account nicht vor dem Zugriff anderer schützen kann, wird mit unangenehmen Überraschungen leben müssen
Beim Internet-Shopping herrscht immer große Angst, dass jemand Kreditkartennummer oder Passwörter klauen könnte. Beides kommt oft genug vor, gegen den Missbrauch der Kreditkartennummer, der offline viel häufiger vorkommt als online, reicht jedoch ein Widerspruch bei der Kreditkartengesellschaft, gegen Passwortklau das Ignorieren von Phishing-Mails, die um eine Passworteingabe auf gefälschten Websites betteln und das Abschalten von Javascript. Eine weitere Gefahr ist jedoch Fremdzugriff auf den persönlichen E-Mail-Account: Dieser ist im Netz der digitale Identitätsausweis, doch weder technisch noch rechtlich sicher vor einer feindlichen Übernahme schützbar.
Um auf geschützte Daten zuzugreifen, ob nun beim morgendlichen Login am Arbeitsplatz im Büro, beim Posten im Heise-Forum oder beim Einkaufen im Web, benötigt man üblicherweise einen Benutzernamen und ein Passwort. Während der erste meist auch anderen bekannt ist und somit keine echte Sicherheit bietet, sollte zumindest das Passwort geheim sein: Hat jemand beide Daten, so kann er sich in den Account einloggen und das Passwort ändern, mitunter auch den Usernamen, wodurch er exklusiven Zugriff auf die Daten erhält und so im Falle von Online-Shops oder Provider-Accounts auch Wohnort und Bankverbindung nach Belieben ändern kann. Der eigentliche Inhaber ist dagegen ausgesperrt.
Im Heise-Forum kann mit so einem – öfters als Ursache für Einlog-Probleme vermuteten, doch nur selten wirklich geschehenen – Account-Klau maximal der Ruf des verwendeten Nicks ruiniert werden, anderswo dagegen auch das Bankkonto: Der neue Accountbesitzer kann nun beispielsweise im Namen und auf Kosten des alten Besitzers bei Ebay oder Amazon einkaufen oder auch frei erfundene Waren bei Ebay anbieten, die Zahlungen hierfür abkassieren und die betrogenen Käufer dann auf den alten Besitzer hetzen. Lediglich anhand der verwendeten neuen Kontodaten beim Verkauf oder der nun geänderten Lieferadresse beim Einkauf bestehen Chancen, den Übeltäter zu ermitteln, doch oft ist der bereits über alle Berge, bis das Problem vom um seinen Account erleichterten ehemaligen Besitzer bemerkt wird: Kaum jemand benutzt die Online-Shops täglich, meist wird das Problem erst beim empörten Anruf des ersten betrogenen Käufers oder dem Prüfen der Kontoauszüge bemerkt. Der jährlich entstehende Schaden in den USA beträgt bereits 2,4 Milliarden Dollar.
Identitätsklau – online eine große Gefahr
Oft werden die Accountdaten durch betrügerische Phishing-Mails entwendet, die vorgeben, von einem der Onlineshops zu stammen und teils mit den unmöglichsten Begründungen um Eingabe des Passworts auf einer der Shopsite allerdings nur nachgestellten Seite des Betrügers bitten. Auch Viren und Trojaner versuchen regelmäßig, Passwörter zu stehlen. Doch ist dieser Aufwand in der Praxis nicht einmal notwendig: Es reicht für den Betrüger schon, dem Shop weiszumachen, er habe das Passwort seines Opfers vergessen, sofern er Zugriff auf dessen E-Mail hat.
Bei praktisch jedem Shop oder Online-Dienst ist die "Passwort vergessen"-Funktion zur Sicherheit an eine E-Mail-Adresse gebunden, mit der sich der Accountinhaber bei dem Dienst angemeldet hat. Weiß er nun entweder noch seinen Usernamen oder aber sein Passwort, so bekommt er an seinen E-Mail-Account entweder direkt die fehlende Information geliefert oder aber einen Link, unter der er sie abrufen oder ein neues Passwort anlegen kann. Bill Gates wollte ja einst bereits die E-Mail-Adresse als digitalen Ausweis gelten lassen. Doch besteht – im Gegensatz zum Zugriff auf eine fremde EC-Karten-Geheimzahl oder einen fremden Papierpost-Briefkasten – nach heutiger Rechtsauffassung kaum eine juristische Schutzmöglichkeit. Wer Zugriff auf einen fremden E-Mail-Account bekommt, kann daher beliebig wildern und der bisherige Inhaber des E-Mail-Accounts ist der Angeschmierte. Sollte er selbst keinen Zugriff mehr auf die betreffende E-Mail-Adresse haben, kommt er in den meisten Fällen nicht mehr an seine Konten.
Neben dem direkten Zugriff auf den Rechner des zu Beklauenden im Büro oder in der Familie und dem ebenfalls möglichen, doch aufwendigeren Mitsniffen in firmeninternen Netzwerken oder dem Internet sowie dem Knacken eines Webmail-Passworts kommen hier auch wesentlich trivialer Fehlschaltungen seitens der Provider als Ursache in Frage – oder rechtliche Auseinandersetzungen, von der fristlosen Kündigung im Büro ohne Möglichkeit, die (was man natürlich auch nicht tun sollte) an die Firmen-E-Mail gekoppelten Accounts in Sicherheit zu bringen bis zum Raub der E-Mail-Accounts per "Reverse Domain Hijacking" in Einzelfällen oder gleich im Hunderterpack, indem sich jemand die Domain eines Internetproviders einklagt, wie der Heimwerkermarkt Obi einst Obis.de. Eine eigene Domain ist teurer und riskanter, jedoch nicht sicherer als eine E-mail-Adresse vom Provider. Bei der Übernahme einer Domain erhält der neue Besitzer, was oft vergessen wird, automatisch auch den gesamten Mailverkehr – der vorherige Schutz der Postfächer durch Passwörter ist hinfällig. Ist die erklagte Domain die eines Providers, kann deren neuer Besitzer nun frei auf die E-Mail-Konten sämtlicher Kunden des Providers zugreifen: Obwohl diese an der juristischen Auseinandersetzung gar nicht beteiligt sind und davon eventuell gar nichts wissen, müssen sie mit den Folgen leben, wenn so gleich ein ganzes E-Postamt den Besitzer wechselt.
Wer Zugriff auf E-Mail oder gar Domain hat, kann auch das Konto plündern
Kommt der Accountinhaber nicht mehr an seine alte E-Mail-Adresse, so kann er die daran gebundenen Online-Accounts zumindest online meist nicht mehr in Sicherheit bringen – nur bei Amazon lässt sich eine neue E-Mail-Adresse einrichten, ohne noch etwas auf der alten E-Mail-Adresse bestätigen zu müssen, solange man das Passwort noch kennt. Bei den meisten anderen Diensten kommt dagegen eine Anfrage an die alte Adresse, ohne deren Bestätigung nichts mehr läuft.
Das ist als Sicherheit gegen Accountklau gedacht, doch im Fall einer abhanden gekommenen E-Mail-Adresse sehr gefährlich, zumal teilweise die E-Mail-Adresse identisch mit dem Login-Namen ist. Wer beispielsweise auf einer von jemand anders – ob per regulärem Kauf der Domain oder auf dem Rechtsweg – übernommenen Domain E-Mails mit Angeboten von Amazon.de bekommt und per "Catch all"-Funktion auf alle an diese Domain gerichteten E-Mail-Adressen zugreifen kann, muss nur mit der betreffenden, ihm durch die Werbemail ja nun bekannten E-Mail-Adresse bei Amazon.de die "Passwort vergessen"-Funktion aufrufen und ein neues Passwort eingeben: Schon ist der ursprüngliche Besitzer ausgesperrt.
Bei Ebay ist der Zugriff über die E-Mail-Adresse dagegen seit einigen Jahren nicht mehr möglich, es wird der Mitgliedsname benötigt. Laufen auf dem übernommenen E-Mail-Account jedoch noch Abrechnungen von Ebay ein, so finden sich in diesen der Mitgliedsname wie auch Name und Adressdaten des Opfers, was die Accountübernahme erleichtert.
"Geheimfragen" sind meist unsicher
Bevor der Account mit einem "vergessenen Passwort" wieder zugänglich ist, wird teils noch eine Sicherheitsabfrage gestellt. Neben den zur Auswahl angebotenen "geheimen Fragen", die meist aus einer vorgegeben Liste zu wählen und auch für Fremde oft leicht zu lösen sind ("Wie ist der Geburtsname meiner Mutter?" zählt bereits zu den schwereren, doch auch nicht unlösbaren Fragen) reicht hierbei bei Ebay jedoch bereits die Postleitzahl oder Telefonnummer des Bestohlenen. Bei Amazon kann das neue Passwort sogar direkt ohne weitere Abfrage eingegeben werden und bei Paypal reicht bereits die Eingabe der Bankverbindung, die bei jemand, der öfters bei Ebay verkauft oder gar ein eigenes Unternehmen hat und Rechnungen verschicken muss, ebenfalls kein wirkliches Geheimnis darstellt.
Die Übernahme fremder E-Mail-Adressen ist somit sicherheitstechnisch eine große Gefahr: Wer sich E-Mail-Adresse oder gar Domain eines anderen aneignen kann, ob nun über einstweilige Verfügung, betrügerischen KK-Antrag, Manipulationen an einem Nameserver, durch den Hack eines Webmailinterfaces oder auch ganz legal durch den regulären Kauf einer gebrauchten Domain, hat Zugriff auf Kreditkarte oder/und Bankkonto des Vorbesitzers, wenn der seine Accounts nicht mehr in Sicherheit bringen konnte oder – beim regulären Verkauf der Domain – Accounts auf den alten Adressen vergessen hat. Im Falle eines Unternehmens, das seine Domain aufgibt, kann dies beispielsweise ein Mitarbeiter sein, der sich einen Amazon-Account für eine einmalige Bestellung angelegt hatte und diesen dann vergessen hat oder von der Aufgabe der Domain nicht informiert wurde. Ebenso kann ein Provider die Domain verschlampen: Ein unbekannter Dritter, ein Domaingrabber hat dann Zugriff auf Domain und Mailverkehr und verlangt einige hundert Dollar, um diese wieder freizugeben.
Besonders kritisch, weil mit Online-Banking gleichzustellen, ist naturgemäß das nun seit kurzer Zeit auch in Deutschland aktive, inzwischen zu Ebay gehörende bargeldlose Zahlungssystem Paypal. Paypal ist besonders bei internationalen Transaktionen nützlich – vorzugsweise bei Zahlungen in und aus den USA. Für die innerdeutsche Anwendung lockt Ebay nun mit einem verbesserten Käuferschutz zu allerdings gegenüber der Banküberweisung auf Dauer etwas höheren Gebühren.
Die Kontonummer reicht, um sich bei Paypal auszuweisen
Die Sicherheitsfunktionen sind bei Paypal weit höher als bei reinen Onlineshops, doch nicht unüberwindlich: Auch bei Paypal reicht der Zugriff auf die mit dem Account verknüpfte E-Mail-Adresse, um diesen zu übernehmen, denn eine der "Geheimfragen" ist ja die nach der Bankverbindung. Allerdings gibt es dort auch die Möglichkeit, eine Funktion "Ich habe keinen Zugang mehr zu dieser E-Mail-Adresse" aufzurufen, mit der man direkt auf die Seite mit den "Geheimfragen" kommt. Man wird dann von Paypal zurückgerufen und muss eine am Bildschirm angezeigte PIN eingeben – funktioniert dies, so kann man seinen Account noch rechtzeitig von der abhanden gekommenen E-Mail-Adresse abkoppeln.
Prinzipiell eine sehr sinnvolle Funktion, neben dem Extremfall einer "feindlichen Übernahme" kann die für Paypal verwendete E-Mail-Adresse ja auch infolge Kündigung des Accounts oder Bankrott des Providers unzugänglich geworden sein, wobei man auch vorher schon bis zu mittlerweile acht E-Mail-Adressen eingeben kann und somit eigentlich nicht ohne Zugang dastehen sollte, sofern diese auf verschiedene Domains verteilt sind. Allerdings erhöhen mehr E-Mail-Adressen natürlich auch wieder das Risiko, dass auf eine hiervon noch jemand anders Zugriff bekommt.
Kein Sicherheits-, aber ein potentielles Nervrisiko: Kontrollanruf
Zudem kann sich die gut gemeinte Funktion auch zur Plage auswachsen, wenn sie von jemand anders als dem Accountinhaber aufgerufen wird: Kennt dieser die Bankverbindung, so kann er Paypal nun Tag und Nacht bei seinem Opfer anrufen lassen. Sollte jemand gar seine Arbeitsplatz-Telefonnummer bei Paypal hinterlegt haben, so kann ihn das wiederum den Account kosten, wenn ein Kollege eine verwendete E-Mail-Adresse zumindest kennt und dann beispielsweise in der Mittagspause an das bei Paypal gespeicherte Telefon geht und dort den PIN-Code eintippt. Auch wenn ein solches Vorgehen bereits klar als kriminell einzustufen ist und in anderen Ländern, in denen ein E-Mail-Account mehr gilt als in Deutschland, auch durchaus bestraft wird (Teurer Scherz mit fremdem Email-Account), wird es vom Täter gerade in mobbingfreundlichen Umgebungen oft als "lustiger Streich" angesehen, dessen Nachweis und dessen strafrechtliche Verfolgung angesichts der für normale Polizeibeamte komplizierten Zusammenhänge zumindest mal schwierig sein dürfte. Und selbst in den USA, dem Land des "always on", ist E-Mail nicht vor Fremdlesern sicher.
Während die Kreditkartennummer tatsächlich geheim sein sollte, weil ihre Kenntnis ja alleine bereits zum Missbrauch ausreicht, ist die Bankverbindung eine bei Firmen sogar öffentlich bekannte Information, die auf jeder Rechnung steht und meist auch auf der Firmenwebsite. Doch auch bei Privatleuten ist sie kein Geheimnis, insbesondere, wenn Paypal tatsächlich mit einem Ebay-Account gekoppelt ist: Die Ebay-Käufer schicken dem Verkäufer das Geld in den meisten Fällen per Banküberweisung, wozu sie von diesem natürlich zuvor die Bankverbindung mitgeteilt bekommen. Ebenso kennt man mit einem Ebay-Kauf auch die E-Mail-Adresse, die der Verkäufer für Ebay-Geschäfte nutzt und die automatisch ebenso dem Paypal-Account zugeordnet ist, wenn der Verkäufer auch Bezahlung per Paypal akzeptiert. Und ist die E-Mail-Adresse einmal in fremde Hände geraten, reicht die Eingabe der Bankverbindung dann auch zur Übernahme des Paypal-Accounts. Allerdings will man bei Paypal über die Abschaltung dieser unsicheren "Sicherheitsfrage" nachdenken.
Widerspruch gegen E-Mail-Raub lohnt sich finanziell nicht
Gegen eine feindliche Übernahme der eigenen E-Mail-Adresse per einstweiliger Verfügung, mittels berechtigter oder erfundener namens- oder markenrechtlicher Ansprüche lässt sich in Deutschland erfahrungsgemäß wenig machen: Ein Widerspruch verhindert dies zwar, weil vor Gericht maximal die Stilllegung, doch nicht die Übergabe der Domain durchsetzbar ist. Doch kostet dies mit den exorbitanten Streitwerten der Zivilprozesse im Falle eines Prozessverlusts mit leicht einigen Zehntausend Euros mehr Geld, als auf den meisten privaten Girokonten überhaupt zu entwenden sein dürfte und dann droht der Bankrott, da die Schärfe des Rechtsstreits meist deutlich zunimmt, sobald der Angreifer weiß, dass er es mit einem Privatmann zu tun hat. Die Situation ist vergleichbar mit einem Ganoven, der einem auf der Straße mit einer Pistole bedroht und die Geldbörse will: Natürlich hat er kein Recht auf die Geldbörse, doch ein Widerspruch hätte böse Folgen.
Ein Gegenangriff, genauer: eine "negative Feststellungsklage" hat dagegen mitunter Erfolg, wie im Streit um die Domain hudson.de. Doch auch dies kostet Geld, verlangt eine schnelle Reaktion und klappt nur vor dem Landgericht Düsseldorf.
Will man keinen Stress, muss man also abwarten, ob der neue Besitzer oder einer seiner Mitarbeiter tatsächlich das Bankkonto plündert: Dann kann man Strafanzeige erstatten. Diese hat den Vorzug, dass sie im Gegensatz zu einer Zivilklage nichts kostet. Zudem kann der Gegner – im Gegensatz zum Ganoven mit der Pistole – ja nicht unerkannt verschwinden, wird sich also im Normalfall hüten, sich so plump angreifbar zu machen. Oft geht es ihm lediglich darum, klarzustellen, dass er dank Marken- oder Namensrecht einen größeren Anspruch auf die von seinem Gegner eingerichteten Accounts und dessen E-Mails hat als jener, wirft die E-Mails jedoch später nur ungelesen weg – was allerdings auch schon schlimm genug ist. Andernfalls ist man jedoch in einer schwierigen Situation: Liegen zur Zeit der eigenen Strafanzeige bereits wegen der Aktivitäten des neuen Accountbesitzers Strafanzeigen gegen die eigene Person wegen unbezahlter Rechnungen oder gar betrügerischer Luftverkäufe bei der Staatsanwaltschaft vor, wird dies die eigene Position dort nicht stärken. Ist der Gegner eine große Firma, so wird es zudem schwierig sein, den dort eigentlich Verantwortlichen zu ermitteln – man kann dann nur das Unternehmen pauschal anzeigen.
Den eigenen Ebay- oder Amazon-Account ist man aber so oder so erstmal los – samt aller Bewertungen. Ob man wegen der erzwungenen Preisgabe seiner Daten dann auch noch Ärger mit dem Online-Shop bekommt, ist eine weitere Frage. Zudem darf man von diesem keine Unterstützung bei juristischen Auseinandersetzungen erwarten, denn dem steht das deutsche Rechtsberatungsgesetz im Weg, so Dr. Barbara Hüppe von Ebay: Würde man hier dem geprellten Kunden auch nur mit Ratschlägen helfen, so riskierte man selbst eine Abmahnung wegen verbotener Rechtsberatung. Das Recht steht also praktisch immer auf der Seite des Angreifers und die Verteidigung ist schwierig.
Ehrlichkeit kann teuer werden
Umgehen lässt sich das Problem – natürlich nicht legal – durch Schwindeln: Man unterschreibt dem Gegner zwar wunschgemäß, ihm die Domain mit Zugriff auf alle E-Mail-Adressen bis zu seinem gesetzten Ultimatum zu übergeben, überzieht das Ultimatum dann jedoch, bis man wieder Zugriff auf die eigene E-Mail hat und bringt so noch alle an die E-Mai-Adressen gebundenen Accounts vor der Übergabe in Sicherheit. In diesem Fall wird allerdings die im Ultimatum angegebene Vertragsstrafe fällig, die zwar meist unter den Kosten eines Domain-Rechtsstreits liegt, doch immer noch erheblich ist. Doch wird die Reaktion nicht so heftig ausfallen wie bei einem ehrlichen "Nein, ich will nicht, dass Sie meine Mails lesen und an mein Bankkonto können", auf die gerne ein bockiges "Ich habe aber nun mal ein Recht darauf" und die einstweilige Verfügung folgen und mitunter ist der Gegner nach erfolgter Unterschrift auch nicht mehr so aggressiv und gewillt, einem die Frist für die nötigen Umstellungsarbeiten zu geben, zumal die Umstellung sowieso nicht in einem Tag abläuft.
Rein finanziell ist es leider die günstigste Lösung, in so einem Fall trotz fehlender Rechtsgrundlage für eine Übergabe tatsächlich dem klagenden Namens- oder Markeninhaber wunschgemäß den Zugriff auf die Domain mit dem Risiko der daran noch gebundenen Accounts zu geben. Den Verlust der Privatsphäre muss man dann allerdings in Kauf nehmen, denn möglicherweise lässt sich beim einen oder anderen Online-Shop noch auf dem Schriftwege etwas retten, doch der normale Mailverkehr geht oft noch jahrelang an alte Adressen. Da man seine Accounts mit der Domain freiwillig aufgegeben hat, kann der neue Domainbesitzer zwar für deren Benutzung nun nicht verurteilt werden, doch zumindest ausgegebenes Geld muss er ersetzen, wenn er sich nicht doch strafbar machen will.
Alternativ kann man zwar um eine Fristverlängerung bitten, was jedoch ebenso schnell wie der Widerspruch in einer einstweiligen Verfügung mit weiteren Kosten enden kann, wenn der Gegner nicht einverstanden ist. Der Druck über kurze Fristen gehört ja zur üblichen Taktik, um solche Streits wirksam eskalieren zu lassen.
Persönliche E-Mails stellen in Deutschland bislang keinen Wert dar
Persönliche E-Mails bekommt man allerdings nicht wieder, da die deutschen Staatsanwaltschaften das Unterschlagen von E-Mail zur Zeit merkwürdigerweise explizit nicht als Straftat ansehen, im Gegensatz zum Unterschlagen oder gar Lesen fremder Papierpost oder dem Einkaufen mit den fremden Shop-Accounts. Dieses mangelhafte Verständnis der Bedeutung von E-Mail wird sich in den kommenden Jahren hoffentlich bessern, bis dahin muss man hier jedoch noch mit abstrusen Entscheidungen rechnen – wie auch im Fall eines Providerfehlers. Und der Ärger kann dennoch erheblich sein, da man den neuen Domaininhaber eben erst dann anzeigen kann, wenn er die Shopping-Accounts nachgewiesenerweise missbraucht.
Eine zusätzliche Sicherheitslücke sind natürlich Webmail-Zugänge, egal ob bei einem Freemailer oder im Rahmen einer eigenen Domain. Beim Freemailer ist der Accountname üblicherweise identisch mit der betreffenden E-Mail-Adresse, bei Webhostern ist er dagegen etwas kryptischer oder der Webmailer ist gar nur über den Login in die Webspaceverwaltung selbst zugänglich. Bedauerlicherweise erlauben jedoch viele große Hoster seit einiger Zeit als Masterpasswort zum Zugang zu Webspace und Domainverwaltung nur noch maximal acht Buchstaben lange Passwörter ohne Sonderzeichen, was das Passwort angreifbar macht. Sollte einem Angreifer hier der Zugang gelingen, spielt es nur noch eine untergeordnete Rolle, wie gut die an die E-Mail gebundenen Online-Shops gesichert sind.
Zusätzliche Hintertür: Webmailer
Die Freemailer sind sich dagegen ihrer Schwachstelle durchaus bewusst: Bei Web.de und GMX werden erfolglose Logins beim nächsten erfolgreichen Login gemeldet und ein vergessenes Passwort nicht einfach neu vergeben, sondern nur bei Identifizerung an zuvor hinterlegten anderen E-Mail-Adressen, Telefonnummern oder auf den Schriftwege ein neues Passwort zugeteilt. Außerdem wird zumindest bei Web.de das Passwort verschlüsselt übertragen, sodass es auch in Firmennetzwerken, mit Sniffern oder über WLAN nicht ausgespäht werden kann.
All dies ist – zumindest, was die mit der juristischen K.O.-Drohung erzwungene Übergabe von Domains und E-Mail-Adressen betrifft – zwar ein rein deutsches Problem: Domainstreits nach internationalem Recht werden nicht in Stunden ausgefochten, sodass die daran hängenden Accounts ohne Probleme in Sicherheit gebracht werden können und die oft ebenfalls internationalen Anbieter von Online-Shops werden hier deshalb keine Gefahr sehen.
Das Problem möglicher Fehlschaltungen und Providerpleiten bleibt aber, ebenso das des unbemerkt geknackten Webmailzugangs: Hier kann ein Angreifer durch Löschen der von den Shops eingehenden E-Mails über Wochen unbemerkt wirken, wenn er das Passwort des Webmailzugangs unverändert lässt. Und dann wird doch der Gang zur Polizei mit für die Beamten möglicherweise unverständlichen Erklärungen fällig. Da eine Strafanzeige allerdings bei einer beliebigen Polizeidienststelle oder auch direkt bei der Staatsanwaltschaft aufgegeben werden kann – es muss nicht unbedingt das örtliche Revier sein – sollte man sich in einem solchen Fall gleich nach einer in Internetdingen firmen Dienststelle erkundigen. Seit 1995 hat das Fachwissen der Beamten – im Gegensatz zu dem der Zivilrichter – nämlich durchaus deutlich zugenommen.