Nachdem ich schon ein paar mal davon gehört hatte, habe ich letzte Woche auch einmal eine E-Mail mit Link zu einer dem Uni-Jena-Webmailer nachempfundenen Phishing-Website erhalten. Auf den Bildern sind die Mail, die Phishing-Website und das Original zum Vergleich zu sehen.
Die Website war bis auf das Eingabeformular mit dem Original identisch und enthielt auch keine weiteren Scripts oder ähnliches. Bilder und CSS-Datein wurden direkt von der Uni-Jena-Website geladen. Vom Browser wurde sie jedoch schon als bekannter Betrugsversuch markiert. Gehostet wurde sie auf einer russischen Domain, die inzwischen nicht mehr erreichbar ist.
Die Mail war, wie zusehen, in enttäuschend schlechtem Deutsch und mit unpassenden Formulierungen verfasst und Umlaute wurden durch untypische Sonderzeichen ersetzt, so dass sie leicht als Fälschung zu erkennen war. Das Logo wurde ebenfalls direkt von der Uni-Jena-Website geladen. Interessanter war hingegen der Weg, über den die Mail verschickt wurde. Ein österreichischer Webserver hat sich mit einem öffenbar gültigen Login beim Uni-Jena-Mailserver eingeloggt und die Mail von dort unter einer anderen Uni-Jena.de-Mailadresse verschickt. Dadurch kam die Mail bei Spamfiltern durch, die Absender-Adresse und Absender-Server vergleichen und Unstimmigkeiten blockieren.
Man hört ja in letzter Zeit viel über Datenschutz bei Unternehmen und leider auch häufig über dessen Abwesenheit. Es gibt aber noch einen zweiten Aspekt des Datenschutzes, der meiner Meinung viel zu kurz kommt: Den eigenen Umgang mit den Daten anderer. Auch wenn es für Privatpersonen weniger gesetzlichen Regelungen gibt, als für Unternehmen, so sollte sich dennoch jeder einmal Gedanken darüber machen, wie er mit den Daten Anderer, insbesondere seiner Freunde, umgeht. Ich sehe vor allem die folgenden Bereiche, in denen oft zu leichtfertig mit Daten umgegangen wird:
Der erste Punkt sind Fotos. Viele Schnappschüsse landen in Sozialen Netzen oder anderen Onlinealben. Natürlich wird man seine Freunde nicht mit einem Rechtsstreit zu den Rechten am eigenen Bild überziehen oder in den Netzwerken wegen ungefragtem Upload (AGB-Verstoß) anschwärzen. Aber umgekehrt sollte auch jeder ein Bewusstsein dafür haben, dass nicht jedem die Veröffentlichung jedes Fotos recht ist. Das Beste ist und bleibt vor dem Upload zu Fragen.
Der nächste Punkt sind handfeste Daten anderer wie die E-Mail-Adresse oder sogar Telefonnummer und Adresse. Alles Daten, mit denen zum einen Firmen Geld verdienen können, sei es über Werbung oder Anhäufung der Daten zur “Dienstoptimierung”, wie z.B. bei Facebook, wo auch über nicht registrierte Nutzer Daten gesammelt werden. Ach wenn es ganz praktisch ist die E-Mail-Adresse lediglich in ein Formular einzugeben oder dem jeweiligen Anbieter sogar das gesamte E-Mail-Konto zugänglich zu machen, weniger Daten verstreut es die Personen selber Anzuschreiben oder ganz altmodisch, mündlich zu Fragen. Vielleicht möchte sie ja Kontrolle über ihre Daten behalten?
Zum Anderen gibt es Fälle, in denen Personen die Kontaktdaten von Freunden erfragen, denen die Freunde diese vielleicht explizit nicht geben wollten. Zugegeben, es ist schwierig Nein zu sagen, wenn die Person mit einer plausiblen Begründung kommt, weshalb sie möglichst schnell die Daten braucht, aber ganz ausschließen sollte man diese Möglichkeit nicht.
Auch aufpassen sollte man beim versenden von E-Mails an viele Personen. Leider wird viel zu selten daran gedacht Blindkopien zu verwenden. Ich habe nicht nur einmal von mir nur flüchtig bekannten Personen Mails erhalten, die ihr gesamtes Adressbuch offenbaren. Vielleicht sollte ich das nächste mal alle enthaltenen Adressen anschreiben, ob es dem Eigentümer recht ist, dass Person XY ihre E-Mailadresse gedankenlos in das Internet posaunt? Man könnte nur hoffen, dass nicht auch die Adresse vom Chef dabei ist. Der aktuelle Rekord liegt übrigens bei 246 enthaltenen E-Mailadresse.
Ein letzter Punkt, bei dem ich auch immer wieder Bauchschmerzen bekomme sind Blogeinträge, in denen der Autor nicht nur Freimütig über sein eigenes Leben, sondern auch das aller anderen beteiligten Personen freimütig plaudert. Da frag ich mich dann immer, ob die betreffenden Personen wissen, dass sie namentlich Erwähnt werden.
Aber außer Appellieren und hin und wieder mal seinen Namen bei Google eingeben kann man selber leider wenig machen, um sich vor sorglosem Umgang Anderer mit eigenen Daten zu schützen.
Bitte schreib, wenn dir noch weitere solcher kritischen Punkte einfallen, die ich bisher übersehen habe. Und dran denken: Datenschutz beginnt schon bei den E-Mail-Adressen von Freunden.
Seit dem ich in der Uni eine Vorlesung zu IT-Sicherheit höre, werde ich ein wenig paranoid achte ich ein wenig mehr auf “Sicherheitsverfahren”.
Und da kommt mir vor dem Hintergrund einer Bestellung im C&A-Online-Shop auf einmal folgendes unter:
+ + + Für Ihre SICHERHEIT – Ihre persönliche Kopfzeile + + +
——————————————————————
IHRE PLZ: ***** IHR NAME: ***************
——————————————————————
Hinweise zu Ihrer persönlichen Kopfzeile finden Sie am Ende dieser E-Mail.
[…]
Hinweis zu Ihrer persönlichen Kopfzeile:
Damit Sie sicher sind, dass Sie eine Original-Email von C&A
erhalten, statten wir unsere E-Mails zu Ihren Bestellungen
mit einer PERSÖNLICHEN KOPFZEILE aus. Prüfen Sie bitte bei jeder Email,
die eine solche persönliche Kopfzeile enthält, NAMEN und POSTLEITZAHL.
Wenn diese nicht stimmen, löschen Sie bitte die E-Mail. Nur wenn diese
beiden Angaben stimmen, können Sie nahezu sicher sein, dass Sie keine
von Dritten gefälschte C&A E-Mail erhalten haben.
Jeder der einen Blick in mein Impressum wirft, weiß auch, mit was er die Sternchen ersetzen muss. Und auch bei Personen, die keine Website betreiben und deshalb ihre Adresse öffentlich preisgeben müssen, sollten Name, E-Mail und Postleitzahl nicht all zu schwer zu bekommen sein. Für mich ist das ganze daher ein klarer Fall von Pseudosicherheit. Ich sehe hier zwar kein realistisches Angriffsszenario (ich weiß ja, ob ich bei C&A bestellt habe oder nicht und Glückstreffer sind äußerst unwahrscheinlich) und vielleicht sollte man sogar Lobend erwähnen, dass sie sich Gedanken darüber gemacht haben. Warum man es dann jedoch nicht gleich richtig macht, ist mir ein wenig schleierhaft. Immerhin gibt es allgemein anerkannte Sicherheitsverfahren, mit denen sichergestellt werden kann, dass die Mail auch tatsächlich vom vorgegebenen Absender stammt: Die sogenannten digitalen Signaturen.
Regelmäßig, wenn ich meine E-Mails lese, kann ich einfach nur den Kopf schütteln. Denn was manche so alles mit E-Mails tun, ist einfach nicht mehr feierlich. Es geht hier nicht um Kettenmails oder ähnliches und auf die korrekte Anrede und Form möchte ich auch nicht eingehen. Mir geht es viel mehr um so grundlegende Dinge, wie Betreff, Empfänger und Anhang.
Betreff
Der Zweck des Betreffs ist auf Wikipedia folgendermaßen beschrieben:
Der Betreff sollte kurz und aussagekräftig sein, idealerweise eine Kurzfassung des Inhaltes der Nachricht beziehungsweise der Thematik sein. Eine kurze, prägnante Betreffzeile ermöglicht dem Empfänger die schnelle thematische Zuordnung und Bearbeitung der Nachricht. Anhand eines sinnvollen und eindeutigen Betreffs kann die Nachricht geordnet werden und Sachverhalte lassen sich besser nachverfolgen.
Eigentlich einleuchtend und einfach aber dennoch eine schwierige Hürde. Ein besonderes Augenmerk möchte ich auf das Wort “prägnant” legen. Nicht selten kommen mir Betreffzeilen unter, die zwar kurz sind und auch grob beschreiben, worum es geht, aber deshalb noch lange nicht prägnant sind. Der Grund dafür ist einfach: Schreibt man häufig E-Mails zu einem Themengebiet und gibt als Betreff lediglich dieses an, füllen sich die Postfächer ganz schnell mit Mails, die alle den gleichen Betreff haben und durch die Masse nimmt der Informationsgehalt des Betreffs stark ab. Deshalb wären ein wenig mehr Details in der Betreffzeile äußerst nützlich. Idealer weise in Kombination mit dem Themengebiet. Dann wird sowohl die grobe als auch die detaillierte Zuordnung wesentlich einfacher. Ein (fiktives) Beispiel:
Sommerfest, Re: Sommerfest, Nochmal zum Sommerfest, Re:Sommerfest, Neues zum Sommerfest, …
Sommerfest: Ort, Sommerfest: Grill, Sommerfest: Deko, Sommerfest: Musik, Re: Sommerfest: Grill
Auch sehr Hilfreich ist es bei einem längeren E-Mail-Wechsel mit einer Person hin und wieder mal einen neuen Betreff zu formulieren und “Re: Fwd: Re: AW: RE: Thema 1” durch ein einfaches “Thema 3” zu ersetzen.
Empfänger
Der nächste Punkt ist der Empfänger. Es mag ja Situationen geben, in denen es wichtig ist zu wissen, wer eine E-Mail noch so alles bekommen hat. Dies ist aber mit Sicherheit nicht gegeben, wenn ich eine Mail an mein ganzes Adressbuch schicke. Ab einer gewissen Anzahl von Empfängern sollte man einfach von der wunderbaren Blindkopie-Funktion Gebrauch machen. Datenschutz beginnt schon bei den E-Mailadressen von Freunden.
Anhänge
Und zuletzt das Thema Anhänge: Natürlich gibt es gerechtfertigte Ausnahmen, aber im Allgemeinen sollte man sich auf verbreitete Formate beschränken. Möchte man Textdokumente oder Präsentationen verschicken sollte man ausschließlich PDF verwenden. Auch wenn odt (seit 2006) und docx (seit 2008) ISO-Norm sind kann man leider nicht davon ausgehen, dass sie auf jedem Rechner korrekt dargestellt werden können. Gleiches gilt für doc, das zwar das bekannteste dieser Formate sein dürfte, jedoch nicht einmal eine ISO-Norm ist. Noch weniger geht es, parallel zwei verschiedene Formate zu verschicken. Das verdoppelt nur sinnlos die Größe der E-Mail. Zusätzlich stellt sich die Frage, ob es überhaupt nötig ist, einen Anhang zu versenden. Enthält das Dokument lediglich minimal formatierten Text kann man den genauso gut direkt in die E-Mail schreiben.
Eigentlich sollte man ja denken, dass es sich so langsam herumgesprochen hat, dass xyz nicht sterbenskrank ist, das ICQ, StudiVZ und Co. nicht kostenpflichtig wird und das Kontakt pqr auch nicht die Festplatte löscht. Doch leider muss ich mich immer wieder eines besseren belehren lassen. Gleich von mehreren Personen bekam ich gestern eine StudiVZ-Nachricht, dass dieses nur dann nicht kostenpflichtig würde, wenn ich die Nachricht an 18 Personen weiterleite, von Menschen, denen ich sowohl gehobene Intelligenz als auch Medienkompetenz zutraue. Aber offenbar schützt auch das nicht.
Was ist das Problem an Kettenmails?
- Es nervt!
- Es belastet unnötig die Netzwerke.
- Bei Kettenmails wird außerdem gerne noch das ganze Adressbuch mitgeschickt, weil immer noch viel zu wenige wissen, was eine Blindkopie ist. (Datenschutz beginnt bei den E-Mail-Adressen meiner Kontakte.)
- …
Wie könnte man sich schützen?
Ich hab den Eindruck, dass man persönlich kaum etwas machen kann, außer seine Kontakte gebetsmühlenhaft Nachhilfe in Internetkompetenz zu geben, sobald man wieder eine Kettenmail im Postfach hat. Präventive Maßnahmen jedoch sind nicht möglich.
Könnte man global betrachtet etwas gegen Kettenmails machen?
In gewisser Weise haben Kettenmails große Ähnlichkeiten mit Spammails. Diese werden vor allem mit Spamfiltern (symptomatisch) und durch Abschaltung von Spamservern (präventiv) bekämpft. Der naheliegende Gedanke währe also, diese “Waffen” auch gegen Kettenmails zu richten. Das Abschalten von Spamservern jedoch fällt schon deshalb als potentielle Maßnahme weg, weil Kettenmail ausschließlich dezentral versendet werden. Bleibt der Spamfilter. Bei Spammails hat er den Nachteil, dass er lediglich die Symptome, nicht aber die eigentliche Ursache bekämpft. Anders bei Kettenmails. Da jede ausgefilterte Kettenmail auch bedeuten kann, dass weniger Folgemails versendet werden, hätte ein Kettenmailfilter sowohl symptomatische als auch präventive Effekte. Das klingt zwar erstmal gut, aber genauer betrachtet ist die Wirkung fraglich:
Da Kettenmails auf dem Schneeballsystem basieren unterliegt die Anzahl der versendeten Nachrichten einem exponentiellen Wachstum. Das bedeutet, dass ein paar abgefangene Mails das Wachstum nicht signifikant vermindern. Um das Wachstum zu begrenzen müsste ein erheblicher Anteil der Mails verhindert werden. Der (vermutlich große) Anteil an Personen, der selber die Nachrichten nicht weiterleitet hat die Kettenmails zumindest noch nicht untergehen lassen.
Eine mathematisch Betrachtung
Mathematisch betrachtet ist die Anzahl der Kettenmails, die verschickt wurden, eine geometrische Reihe: 
(d=durchschnittliche Anzahl der Kontakte, die die Mail weiterleiten). Das eine Kettenmail untergeht wäre also äquivalent dazu, dass die Reihe konvergiert. Diese Reihe konvergiert, wenn 
. Das bedeutet, dass pro Versender im Schnitt weniger als eine Person die Mail weiterleiten darf. Schon bei den erwähnten 18 Kontakten ist die Wahrscheinlichkeit dafür eher gering. Das würde bedeuten, dass die Anzahl der Kettenmails divergiert. Aber warum versinken wir dann nicht in einer Schwemme von Kettenmails? Immerhin kennt Weltweit über durchschnittlich 6 Ecken jeder jeden und somit ist auch jeder Kettenmailurheber im Schnitt nur 6 Ecken entfernt. Meine Vermutung ist, dass die Anzahl derer, die Kettenmails weiterleiten wesentlich geringer ist, als gefühlt wahrgenommen, was mich zu der These kommen lässt, dass der Verlauf eines Kettenbriefs eine sehr schmale baumartige Struktur hat (kein echter Baum im Sinne der Graphentheorie, da Kreise möglich sind) und sich bildlich gesprochen eher durch das Netz schlängelt, als sich flächig auszubreiten.
Was bedeutet das für die Bekämpfungschancen von Kettenmails?
Wenn mit Hilfe von Filtern oder Warnhinweisen, dass es sich um eine Kettenmail handelt, d unter 1 gesenkt werden könnte, würde das zur Eindämmung von Kettenmails führen. Allerdings werden sich vermutlich die Gruppen, welche nicht solche Filter einsetzt und derer, die Kettenmails weiterleiten, weitestgehend Decken, weshalb die Auswirkungen nur Minimal sein würden. Der Preis dafür -mehr fälschlich aussortiere Mails- wäre wahrscheinlich zu hoch. Das effektivste wird es vermutlich bleiben auch dem letzten Unbelehrbaren klar zumachen, was eine Kettenmail ist und dass man die nicht haben will.
