Reihe: IT-Security
Eine E-Mail vom Bundeskanzler
Kann das denn stimmen?

von Alexander Talos-Zens (Ausgabe 09/2, Oktober 2009)

 

Im Feld Absender steht es schwarz auf weiß: Werner Faymann. Der Betreff lautet: Wichtige Nachricht vom Bundeskanzler. Was kann das nur sein? Die Nachricht beginnt mit den Worten: Sehr geehrte Bürgerinnen und Bürger! Also keine persönliche E-Mail, sondern an alle BürgerInnen Österreichs. In seiner Nachricht sorgt sich der Kanzler dann, ob man – angesichts der aktuellen Bankenkrise – über ein Konto bei einem vertrauenswürdigen Kreditinstitut verfügt, und er möchte das gerne überprüfen. Dazu soll man ihm bitte antworten und seinen Namen, seine Kontonummer und seine E-Banking-Daten in die vorgesehenen Felder tippen. Eine Warnung am Ende der E-Mail verleiht dem Ganzen noch ein wenig Nachdruck. Wenn man nicht tue, was er verlangt, werden alle nicht gemeldeten Konten aus Sicherheitsgründen gesperrt.

Spam! Phishing! Ein plumper Versuch werden Sie denken. Doch eines macht stutzig: Die Absender-E-Mail lautet Öffnet ein Fenster zum Versenden einer E-Mailwerner.faymann@spoe.at. Und diese gehört tatsächlich dem Bundeskanzler. Wenn man diese Adresse kopiert und in die Suche bei Google eingibt, erhält man als ersten Treffer die Website der SPÖ (Öffnet einen externen Link in einem neuen Fensterwww.spoe.at) und dort findet man dann auch (unter Öffnet einen externen Link in einem neuen Fensterwww.spoe.at/page.php?P=101378) die offizielle E-Mail-Adresse von Werner Faymann.

Man wird sich nun vielleicht einige Fragen stellen, z. B.:

  • Kann sich tatsächlich jemand Unbefugter in der E-Mail als Bundeskanzler ausgeben?
    Ja, genau so ist es!
  • Aber wenn ich genau hinsehe, dann erkenne ich Phishing-Mails an kleinen Ab­wei­chungen in der Adresse, z. B. wermer.faymann@spoe.at, oder?
    Nein, Sie haben keine Chance.
  • Die perfekte Fälschung gelingt aber nur wenigen hochqualifizierten Hackern?
    Nein, das ist nicht schwieriger, als „Liebe Grüße von Rumpelstilzchen“ auf eine Postkarte zu schreiben. Es gibt ein paar Wenn und Aber, aber praktisch gesehen verhält es sich so.
  • Das kann doch nicht sein! Wieso tut denn keiner etwas dagegen?
    Weil das nicht so simpel ist, und wenn Sie hier weiterlesen, erfahren Sie auch, warum.

Die perfekte Fälschung in drei Mausklicks

Normalerweise geben wir keine Anleitungen zum Hacken. Die Absenderadresse in einer E-Mail zu fälschen ist aber so trivial, dass von Hacken nicht die Rede sein kann – vielmehr von simplem Lügen.

Erinnern Sie sich noch, wie Sie das letzte Mal Ihr E-Mail-Programm eingerichtet haben? Falls nicht oder falls das jemand anderer für Sie erledigt hat, finden Sie die entsprechenden Anleitungen für die gängigen Programme auf den Website des ZID (Öffnet einen externen Link in einem neuen Fensterwww.univie.ac.at/ZID/anleitungen-mailing/). An einem Punkt der Installation haben Sie Ihren Namen und Ihre E-Mail-Adresse eingegeben, so wie es in Abbildung 1 erkennbar ist. Schließ­lich kann das Programm ja nicht wissen, wie Sie heißen und welche E-Mail-Adresse(n) Sie haben.

Abb. 1: Fenster Identität des Konto-Assistenten von Mozilla Thunderbird

 

Nun die Frage: Was passiert, wenn Sie einen anderen Namen und eine erfundene E-Mail-Adresse dort eingeben, z. B. Salzmeister und salzamt@univie.ac.at, und dann eine Nachricht versenden? Sie ahnen es wahrscheinlich bereits: Die Nachricht kommt mit genau dieser Phantasieadresse an! Woher soll der Computer denn auch wissen, dass nicht eine Ihrer E-Mail-Adressen tatsächlich salzamt@univie.ac.at lautet?

Die Fälschung ist vielleicht etwas zu perfekt: Drückt der/die Empfänger/-in der Nachricht auf den Antworten-Button, erhalten nicht Sie die Antwort, sondern sie geht ans Salzamt1). Absendern von Phishing-E-Mails ist das natürlich bewusst.

Will man die Antwortnachrichten der getäuschten Nutzer­Innen auch tatsächlich zu erhalten und nicht z. B. auf eine Webseite verweisen, kann ein simpler Trick angewandt wer­den, den jedes E-Mail-Programm beherrscht: Mit der kaum bekannten Funktion Reply-To – oft als Antwortadresse übersetzt – kann man verlangen, dass Antworten an eine andere als die Absenderadresse gesendet werden (siehe Abb. 2).

 

Abb. 2: Im Menü Konten-Einstellungen (hier Mozilla Thunderbird) können Name, E-Mail-Adresse und auch die Option Antwortadresse frei eingegeben werden.

 

Konkret heißt das, drückt man im Mailprogramm auf Antworten, dann wird die Nachricht nicht etwa an werner.faymann@spoe.at oder salzamt@univie.ac.at geschickt, sondern an eine andere, frei wählbare Adresse! Ein schnell bei den diversen Anbietern eingerichteter Gratis-E-Mail-Account ist dafür sehr geeignet. Die abweichende Adresse wird zwar beim Antworten angezeigt, fällt aber dort kaum jemandem auf (Abb. 3).

 

Abb. 3: So sah die Antwort auf eine Phishing-E-Mail aus, die an Accounts der Universität Wien versandt wurde und vorgab, von Universität Wien <webmaster@univie.ac.at> zu stammen. Dass die abweichende Empfängeradresse klar angezeigt wird, haben leider einige UserInnen übersehen und ihr Passwort preisgegeben.

Adressfälschung – Wozu soll das gut sein?

Am häufigsten ist Adressfälschung heute beim Phishing zu beobachten. Das Kalkül ist klar: Je vertrauenswürdiger die Person ist, die einen auffordert, seine Passwörter, Zugangscodes etc. herzugeben, desto wahrscheinlicher werden UserInnen diese Anordnungen befolgen. Eine falsche Identität vorzuspielen oder sich eine Rolle anzumaßen, die einem Autorität verleiht, ist ein gutes Mittel, um jemanden zu überrumpeln oder zu etwas Unüberlegtem zu bewegen. Das ist keineswegs auf die Preisgabe von Passwörtern oder PIN-Codes beschränkt, denken Sie nur ...

  • ...    der Systemadministrator hat einen schwerwiegenden Ausnahmefehler in Ihrem Webbrowser festgestellt. Um das Problem zu beheben, müssen Sie dringend das beigelegte Programm installieren. Wochen später entdeckt das Security-Team des ZID, dass die vermeintliche Problembehebung ein Spionageprogramm war, das alle Ihre Passwörter und Telebanking-Daten ausgespäht und zu einem Server in Russland geschickt hat.
  • ...    das Raum- und Ressourcenmanagement kündigt den Austausch des Beamers im Hörsaal oder Besprechungszimmer Ihres Instituts durch die Firma X an. Zum angegebenen Termin tauchen Handwerker auf, werden eingelassen und montieren die Beamer ab. Hinterher stellt sich heraus, dass die E-Mail gefälscht und die vermeintlichen Handwerker Diebe waren.

Wird mein Passwort nicht geprüft?

Theoretisch könnten die Mailserver des Zentralen Infor­ma­tik­dienstes jede Absenderadresse prüfen, wenn eine E-Mail zum Versand „eingeworfen“ wird.  Dies würde allerdings einen gewaltigen Aufwand erfordern: Man denke an Service-E-Mail-Adressen, bei denen der ZID immer aktuelle Listen verwalten müsste, wer berechtigt ist, diese zu verwenden. Selbst im günstigsten Fall würde so eine Prüfung nur bei Adressen aus dem Bereich univie.ac.at greifen. Wollte der Autor dieser Zeilen eine Nachricht mit der Absenderadresse at@da.haben.wir.den.sal.at verschicken – woher sollen die Mailserver wissen, ob das der ihnen bekannte User mit der eingetragenen Adresse alexander.talos-zens@univie.ac.at nun darf oder nicht?2)

Freilich könnte sich die Universität Wien damit begnügen, ihre eigenen Adressen zu schützen, doch auch das funktioniert nur „im Haus“. Stellen Sie sich vor, Sie wären für ein Forschungssemester im Ausland – etwa im schönen Städtchen Uppsala. Ihre E-Mails würden Sie dem dortigen Mailserver anvertrauen, der Sie unter einer anderen Adresse, z. B. till.exempel@angstrom.uu.se, kennt. Wenn Sie nun Ihren KollegInnen und Studierenden in Wien eine E-Mail schreiben, würden Sie natürlich Ihre univie-Adresse verwenden. Wer könnte in diesem Fall noch die Richtigkeit des Absenders prüfen? Der Mailserver in Uppsala weiß zwar, wer Sie sind, kann aber nicht prüfen, ob Ihre univie.ac.at-Adresse tatsächlich Ihnen gehört. Der Mailserver der Universität Wien erhält die Nachricht vom Mailserver aus Uppsala und hat daher keine Möglichkeit, nach einem Passwort zu fragen. Salopp formuliert: Was nutzt es, dass der Postler an Ihrem Stammpostamt Sie persönlich kennt, wo doch jeder in Timbuktu in Ihrem Namen einen Brief aufgeben kann? Das ernüchternde Ergebnis lautet: Die Prüfung des Absenders ist möglich, aber ineffektiv.

Haben die Erfinder der E-Mail die Sicherheit vernachlässigt?

Für den Erfolg des Internet und seiner Dienste – wie E-Mail einer ist – war ein Credo zweifelsohne wesentlich: KISS – Keep it simple, stupid. Beim Design jedes Elements sollen demnach alle Vorbedingungen oder Komplikationen weggelassen werden, die für den angepeilten Zweck nicht unbedingt erforderlich sind.  Im Gegenzug wurde besonderes Augenmerk auf Robustheit, Flexibilität und Erweiterbarkeit gelegt. Nicht zufällig heißt das Protokoll für E-Mail Simple Mail Transfer Protocol (SMTP). Es beschränkt sich darauf, Nachrichten zuverlässig und effizient von A nach B zu transportieren. Im so wechselhaften und vielfältigen Internet ist das bereits so komplex, dass Fachleute meist Jahre brauchen, um alle Eigenheiten des Mailings in den Griff zu bekommen.

Daher haben die Entwickler entschieden, dass die Authentizität von der Nachricht selbst hergestellt werden muss. Seit langem schon kann man E-Mails mittels PGP/GnuPG oder mit X.509 signieren und sogar verschlüsseln. Dass davon nur die wenigsten wissen oder gar Gebrauch machen, beweist vor allem eines: Die Nachfrage steht in keinem tragbaren Verhältnis zur Komplexität. Hätte man versucht, Sicherheitsfeatures in das Mailprotokoll hineinzupacken, wäre E-Mail heute nicht sicher, sondern ein längst zu den Akten gelegter und vergessener Rohrkrepierer.

Ein wenig Kontrolle geht doch ...

Vermutlich liegt es an der Wahrnehmung des Computers als rundum passwortgeschütztes und allwissendes Medium, dass wir überhaupt erwarten, die Adressen müssten irgendwie kontrolliert und geprüft sein – obwohl wir das bei der Briefpost nicht erwarten! Dabei sind E-Mail und Briefpost in dieser Hinsicht in derselben Position: Dass E-Mail im Internet nicht verhindert, wenn beim Absender, beim Betreff oder sonst wo im Inhalt gelogen wird, liegt mehr daran, wie wir elektronische und papierne Briefpost verwenden wollen und weniger an technischen Unzulänglichkeiten.

Dennoch haben sich die Techniker alles Mögliche einfallen lassen. Mit DKIM (Domain Keys Identified Mail) und SPF (Sender Permission Framework) wurden Werkzeuge geschaffen, mit denen die Richtigkeit des Absenders „ein Bisserl“ (das hier zu konkretisieren, würde zu weit führen) geprüft werden kann, wenn:

  • der Inhaber der Domain (also z. B. der Zentrale Informatikdienst für Adressen, die in univie.ac.at enden) die nötigen Voraussetzungen schafft
  • und der Empfänger die nötigen Überprüfungen durchführt.

Für den Absender bedeutet – vereinfacht gesagt – die Akti­vierung von DKIM bzw. SPF, dass UserInnen nur mehr über den eigenen Mailserver E-Mails versenden dürfen. Inhaber mehrer E-Mail-Adressen müssen daher für jede Adresse einen anderen Mailserver konfigurieren und, wenn sie auf Reisen sind, hoffen, dass dieser auch erreichbar ist. Dafür kann es nötig sein, eine VPN-Verbindung oder dergleichen herzustellen. Selbst wenn man sich diese Mühe macht, hilft das nur bei den wenigen Empfängern, die DKIM/SPF auch bei der eingehenden E-Mail prüfen. Das Verhältnis von Aufwand zu Nutzen ist also nur bedingt attraktiv.

Für den Empfänger bedeuten DKIM bzw. SPF, dass unter Umständen berechtigte Nachrichten ausgefiltert werden, wenn der Absender nämlich die im vorigen Absatz beschriebenen Hürden nicht genommen hat. Dennoch können Nachrichten von fast allen Domains weiterhin problemlos gefälscht werden: Obwohl viele, vor allem große Webmail­systeme wie Yahoo, Hotmail oder Gmail darauf setzen, verwenden nur relativ wenige Sites DKIM oder SPF. Es ist demnach fraglich, ob DKIM und/oder SPF jemals auch nur annähernd flächendeckend eingesetzt werden.

Mit der gebotenen Vorsicht werden diese Methoden auch vom ZID eingesetzt: Beim Spamfiltern helfen sie, einigen Datenmüll zu entsorgen (zumindest bis sich die Spammer darauf eingestellt haben und ungeschützte Domains im Absender verwenden) und um in Einzelfällen wie den jüngsten Phishing-Angriffen zu verhindern, dass Unbefugte ZID-Adressen wie z. B: helpdesk.zid@univie.ac.at verwenden können.

Tipps für die Praxis

  • Lesen Sie E-Mails aufmerksam. Verlassen Sie sich nicht blind darauf, dass der Absender stimmt.
  • Seien Sie skeptisch, wenn von Ihnen unübliche Dinge verlangt werden.
  • Seien Sie besonders skeptisch, wenn von Ihnen vertrauliche Informationen wie Passwörter, PINs, TANs etc. verlangt werden. Sie werden von der Universität Wien via E-Mail niemals um Bekanntgabe Ihres Passworts gebeten.
  • Lassen Sie Ihre Skepsis nicht durch korrektes Deutsch oder wohl formulierte Texte einschläfern.
  • Vertrauen Sie nicht auf irgendwelche „Security“-Siegel.
  • Fragen Sie im Zweifelsfall Ihre EDV-Beauftragten oder den Helpdesk des ZID.
  • Entnehmen Sie die jeweiligen Kontaktdaten dazu nicht der verdächtigen Nachricht, sondern einer unabhängigen, vertrauten Quelle, z. B. der Webseite des ZID Öffnet einen externen Link in einem neuen Fensterwww.univie.ac.at/ZID/helpdesk/. Kleben Sie die Telefonnummern Ihrer EDV-Beauftragten und des ZID-Helpdesk auf Ihren PC.

Hoffentlich vermuten Sie nach Lektüre dieses Artikels nicht hinter jedem freundschaftlichen Gruß aus dem Freundeskreis einen Angriff der Russenmafia – das wäre übertrieben! Wichtig ist uns aber, den häufig gegebenen Rat: „Seien vorsichtig bei E-Mails von Personen, die Sie nicht kennen“ zu ergänzen mit: „und werden Sie nicht leichtsinnig, weil Sie den (angeblichen) Absender kennen.“

PS: Es könnte sein, dass Sie tatsächlich einmal eine E-Mail vom Bundeskanzler erhalten.

1) Die Adresse salzamt@univie.ac.at existiert tatsächlich. Sie wurde vor Jahren vom Autor des Artikels eingerichtet – jede Nachricht, die an diese Adresse geschickt wird, wird automatisch gelöscht.

2) Es handelt sich hierbei tatsächlich um eine Adresse des Autors.