Einladung für Hacker: E-Mail-Dienste versagen beim Sicherheitscheck

30.08.2001
Die kostenlosen E-Mail-Dienste im Internet sind eine wahre Einladung für Hacker: Wie die Stiftung Warentest berichtet, müssen sich Angreifer gar nicht anstrengen. Schon mit wenigen Mausklicks könnensie auf fremde Postfächer zugreifen.

Für den erfolgreichen Angriff reicht die E-Mail-Adresse des Opfers. Sie ist fast immer auch der Name, unter dem sich der Nutzer beim E-Mail-Dienst anmeldet. Fehlt nur noch das Passwort. Bei Abacho, Altavista, Berlin.de, Clickfish, Community, Lycos, Myokay und Smartvia hilft ein Klick auf den Button "Passwort vergessen". Denn die folgende Sicherheitsabfrage ist viel zu einfach. Selbst Laien können durch Ausprobieren an fremde Passwörter gelangen.

8 von 24 Diensten sind leicht zu knacken

"Qualität: mangelhaft", lautet deshalb auch das Ergebnis einer aktuellen Untersuchung der Stiftung Warentest bei der kostenlose E-Mail-Dienste getestet wurden. Acht von 24 geprüften Anbietern rasselten durch den Sicherheitsscheck der Analysten: Ein paar Mausklicks öffnen Angreifern den Zugang zu fremden Postfächern, Passwörtern und Mails.

Hacker können aber selbst gut gesicherte E-Mail-Dienste bezwingen, behauptet die Stiftung Warentest. Grund: Die Abfrage des Passworts wird bei der Anmeldung beliebig oft wiederholt. Hier könnten Angreifer mit Software ansetzen, die verschiedene Passwörter ausprobiert. Ist der Schlüssel gefunden, kann der Eindringling E-Mails unter fremden Namen verschicken, das Passwort ändern und das Opfer damit aussperren. Auch für die guten Freemail-Dienste gelte deshalb: E-Mails sind wie Postkarten: Unverschlüsselt und ohne schützenden Umschlag ist die elektronische Post für den Profi einfach zu lesen.

Die glorreichen Vier

Mit vier der kostenlosen E-Mail-Dienste zeigten sich die Berliner Prüfer aber durchaus zufrieden: "Web.de und GMX sind hinreichend sicher und trotzdem kostenlos", so das Fazit. Auch E-Post und Red Seven sind nach Meinung der Stiftung Warentest noch als "gut" einzustufen. Die Sicherheit ließe sich bei diesen beiden allerdings noch im Detail verbessern.

Viel zu tun habe dagegen Lycos: Das getestete Angebot war unsicher, träge und wenig komfortabel, befanden die Tester. Lycos hat sich die Kritik bereits zu Herzen genommen und arbeitet mit einer neuen Technik. "Auch an der Sicherheit feilen wir", ließ das Unternehmen verlauten. Microsoft, E-Post, Freenet und GMX wollen ihr Angebot ebenfalls verbessern.

Unwirksame Klauseln zu Gunsten des Kunden

"Grobe Zinken" fand die Stiftung Warentest auch in den Allgemeinen Geschäftsbedingungen einiger Unternehmen. Viele Klauseln seien unwirksam und Widerrufsbelehrungen würden fehlen. Microsoft verstoße gleich siebenmal gegen deutsches Recht. Ein Glück für den Kunden: Bei ungültigen Klauseln gilt nämlich automatisch der gesetzliche Standard. Der ist kundenfreundlich.

www.warentest.de

ComputerPartner-Meinung:

Zwar werden die meisten Nutzer wohl keine allzu vertraulichen Daten mit diesen Diensten verschicken, doch auch die Privatsphäre will geschützt werden. Deshalb Passwort lieber nicht im Rechner speichern, sondern bei jeder Anmeldung neu eingeben. Wählen Sie verschiedene Zeichenfolgen für Login-Namen, E-Mail-Adresse, Passwort und Sicherheitsabfrage, raten deshalb auch die Tester. Nach dieser Untersuchung dürfte bei den Diensten in puncto Sicherheit einiges in Bewegung kommen. (mf)

Zur Startseite