Die eMail als Schlüssel zur digitalen Identität

Axel Dunkel im Experteninterview für das hr-fernsehen

Axel Dunkel im Experteninterview für das hr-fernsehen

Die Fernsehredaktion des Hessischen Rundfunks reagierte am 22. Januar auf die tags zuvor vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Meldung über den Diebstahl von schätzungsweise 16 Millionen digitalen Identitäten. Axel Dunkel wurde als Sicherheitsexperte dazu befragt, wie solche Identitätsdiebstähle funktionieren und vor allem, wie man sich davor schützen kann. Ausschnitte aus dem Interview wurden dann abends in der Sendung „Maintower“ ausgestrahlt.

Was war passiert?

Forschungseinrichtungen und Strafverfolgungsbehörden haben bei der Analyse von illegalen Botnetzen (mit denen gehackte Rechner missbraucht werden) große Mengen von eMail/Passwort-Kombinationen entdeckt. Da solche Benutzerkonten nicht nur zur Verwaltung der eigenen eMail, sondern auch für soziale Netzwerke und Online-Shops verwendet werden, wurden die eMail-Adressen an das BSI übergeben. Das BSI richtete daraufhin eine spezielle Webseite ein, mit der Anwender überprüfen können, ob sie betroffen sind. Da viele Adressen auf .de enden, geht das BSI davon aus, dass etwa die Hälfte der gekaperten Konten Nutzern aus Deutschland gehören.

Die eMail ist viel mehr als nur eine Adresse

Die meisten von uns sehen in ihrer eMail-Adresse wirklich nur eine Adresse, um über das Internet Nachrichten empfangen und versenden zu können. Tatsächlich ist unsere eMail -Adresse längst viel mehr, sie ist der Schlüssel zu unserer digitalen Identität. Wenn wir uns in sozialen Netzwerken anmelden, im Internet einkaufen oder andere Online-Dienste nutzen, wird sehr häufig die eMail-Adresse als Benutzername/Login verwendet. Das heißt, wir benutzen sie, um uns zusammen mit unserem Passwort zu authentifizieren. Gelingt es nun Kriminellen z.B. mittels einer Schadsoftware auf unserem PC sowohl eMail-Adresse als auch Passwort  auszuspähen, können sie unsere digitale Identität missbrauchen und im Internet auf unsere Kosten einkaufen gehen. Mit den richtigen Daten haben sie Zugriff auf unsere Konten in Online-Shops, einschließlich der hinterlegten Bankdaten. Da viele ein und dasselbe Passwort für unterschiedliche Online-Profile benutzen, reicht unter Umständen schon ein einziges kompromittiertes Konto, um sich anschließend auch Zugang zu den anderen zu verschaffen.

Häufig ist dafür noch nicht einmal das Passwort für den jeweiligen Dienst erforderlich. Viele Anbieter identifizieren uns anhand unserer eMail-Adresse und schicken bereitwillig ein neues Passwort zu, wenn wir das alte vergessen haben. Wenn Hacker die Zugangsdaten für unsere eMail gestohlen haben, können sie sich ebenso einfach ein neues Passwort zuschicken lassen und schon sind sie im Besitz unserer Identität. Von dem Missbrauch merken wir meist erst dann etwas, wenn es schon zu spät ist.

Wir können nicht viel dagegen tun, dass Dienste-Anbieter unsere Daten nicht ausreichend schützen und diese gehackt werden. Wir können nur mit einem möglichst komplexen Passwort, das wir nicht auch noch woanders verwenden, den Schaden begrenzen.  Für die Verwaltung der immer zahlreicher werdenden Passwörter gibt es zum Glück geeignete Software. Auf dem eigenen Rechner werden eMail-Adressen und Passwörter in der Regel mittels Schadsoftware (z.B. Trojaner) ausspioniert, die wir uns über verseuchte eMail-Nachrichten oder Webseiten meist unbemerkt einfangen. Dagegen helfen nur kontinuierlich aktualisierte Virenscanner und Firewalls.

Sind auch Firmen gefährdet?

Heutzutage nutzen auch viele Firmen die Vorteile des Versandhandels und haben diverse Online-Konten. Die meisten der jetzt gestohlenen Benutzerkonten dürften zwar privater Natur sein, aber auch Unternehmen können von Identitätsdiebstählen betroffen sein. Nicht selten ist der potenzielle Schaden hier sogar noch größer. Viele Mitarbeiter haben auch mit privaten Geräten Zugriff auf ihre dienstliche eMail. Wenn nun der PC zu Hause oder ein anderes Endgerät mit einem Trojaner infiziert ist, können auch die Zugangsdaten für die Firmenmail sowie andere Passwörter ausspioniert werden. Stellt der Hacker fest, dass mit dieser eMail-Adresse im Internet Waren bestellt wurden, kann er wie oben beschrieben die Passwörter für die Benutzerkonten zurücksetzen lassen und anschließend auf Firmenkosten shoppen gehen.

Identitätsdiebstahl ist im Internet genauso unangenehm wie im richtigen Leben. Umso wichtiger ist es, das Bewusstsein für den Wert der eigenen eMail-Adressen und Passwörter zu schärfen und entsprechend sensibel damit umzugehen.

Identity Leak Checker des Hasso-Plattner-Instituts

Das Hasso-Plattner Institut für Softwaresystemtechnik an der Universität Potsdam (HPI) hat unter https://sec.hpi.de eine Seite online gestellt, auf der jeder selbst überprüfen kann, ob seine E-Mail Adresse und damit verbundene Identitätsdaten bereits im Internet veröffentlicht wurden.