Warum E-Mail-Anbieter sich ebenso sehr auf die Sicherheit konzentrieren müssen wie Banken

Ein Bericht von Arne Möhle, Mitgründer und CEO des sicheren E-Mail-Service Tutanota.

Banken speichern den Besitz von Menschen in Form von virtuellen Zahlen auf ihren Servern. Selbstverständlich muss jede Bank äußerste Sorgfalt walten lassen, damit sich niemand in die Server hacken und die Zahlen ändern kann. E-Mail-Anbieter müssen genau das Gleiche tun. Denn die E-Mail-Adresse ist die Verbindung zu Ihrer Identität – und zu all Ihren online gespeicherten Besitzgütern.

Leider verstehen nicht alle E-Mail-Dienste die heutigen Anforderungen an sichere E-Mails. Das ist teilweise nicht ihre Schuld: Als sich E-Mail als Massenkommunikationsmittel im Internet etablierte, war es genau das. Ein Kommunikationswerkzeug. Aber dann entwickelte sich das Internet, viele neue Online-Services wurden geschaffen, und sie mussten ihre Nutzer identifizieren.

Zu diesem Zeitpunkt hatte fast jeder, der das Internet nutzte, eine E-Mail-Adresse. Am Anfang haben die Leute meist ihren richtigen Namen als E-Mail-Adresse gewählt. Für andere Online-Dienste war es daher absolut sinnvoll, dass sich Menschen mit ihrer E-Mail-Adresse anmelden konnten.

Dadurch wurden die E-Mail-Adressen der Menschen viel mehr als nur ein Werkzeug zur Online-Kommunikation.

Identitäten, die mit der E-Mail-Adresse verknüpft sind

Sobald Sie Ihre E-Mail-Adresse für die Registrierung bei anderen Diensten verwenden, wird die E-Mail-Adresse zum Link zu Ihrer Online-Identität.

Amazon, Facebook, PayPal, Twitter – alle diese Dienste ermöglichen es Ihnen, sich mit Ihrer E-Mail-Adresse zu registrieren. Sobald Sie Ihr Bankkonto oder Ihre Kreditkarte zu diesen Online-Services hinzugefügt haben, können Sie schnell und einfach online einkaufen, und alles wird per E-Mail abgewickelt.

Das ist zwar alles sehr praktisch, aber nicht besonders sicher. Alle diese Dienste bieten die Möglichkeit, das Passwort per E-Mail zurückzusetzen. Das bedeutet, jeder, der Zugriff auf Ihr E-Mail-Konto erhält, erhält Zugriff auf alle Ihre anderen Online-Konten – und kann mit Ihren Zahlungsdaten weiterhin online einkaufen.

Das ist das Risiko, das jeder von uns eingeht, wenn er sich bei Amazon, PayPal und Co mit einer E-Mail-Adresse registriert.

Hacks mit allen Mitteln verhindern

Etablierte E-Mail-Dienste, die es seit den Anfängen des Internets gibt, haben nicht immer mit den Sicherheitsanforderungen Schritt gehalten. Einige bieten keine Authentifizierung mit einem zweiten Faktor an (ein Muss, wenn Sie Ihr E-Mail-Konto sicher halten wollen!), andere wie GMX und Web.de erlauben es sich mit dem Begriff “Passwort” als Passwort anzumelden.

Dies stellt eine Gefahr für den vertrauensvollen Benutzer dar. Wenn ein Dienst es Ihnen ermöglicht, sich mit einem unsicheren Passwort anzumelden und keine Authentifizierung mit dem zweiten Faktor bietet, ist es für den Benutzer unmöglich, sein E-Mail-Konto ausreichend zu schützen.

Die Lösung kann nicht darin bestehen zu sagen, dass die Menschen sich selbst informieren sollten, dass sie alles über Passwortsicherheit lernen sollten und so weiter. Dies ist natürlich auch wichtig, aber die größte Verantwortung liegt beim E-Mail-Provider.

E-Mail-Anbieter müssen Verantwortung übernehmen

Wenn ein Hacker Zugang zu Ihrem Bankkonto erhält, ersetzt die Bank in der Regel jeden Verlust – als Reputationsmanagement. Wenn ein Hacker Zugriff auf Ihr E-Mail-Konto erhält und Ihr PayPal-Konto über ein einfaches Zurücksetzen Ihres Passworts übernimmt – wer ersetzt Ihren Verlust?

In diesem Szenario sind der E-Mail-Anbieter und PayPal gleichermaßen schuld. Wenn der E-Mail-Provider Ihnen erlaubt hat, sich mit einem schwachen Passwort anzumelden oder Ihren Account nicht ausreichend vor Brute-Force-Angriffen geschützt hat oder Ihr Passwort nicht verschlüsselt auf dem Server gespeichert hat und es kam zu einem Hack – dann liegt der Fehler offensichtlich beim E-Mail-Provider.

Gleichzeitig ist PayPal schuld: Ein Zurücksetzen des Passworts per E-Mail ist schlicht und ergreifend zu einfach zu missbrauchen und sollte daher nicht angeboten werden.

Notwendige Schritte zur Sicherung der Online-Identität

Jeder Online-Dienst muss seine Passwort-Richtlinien überprüfen, um einen bestmöglichen Passwortschutz zu bieten. Dazu gehört natürlich auch, dass der Begriff “Passwort” als Option für die Festlegung eines Passworts nicht möglich sein darf. Dazu gehört auch der angemessene Schutz vor Brute-Force-Angriffen, die Verschlüsselung gespeicherter Passwörter und die Möglichkeit, sich mit langen Passwörtern, einschließlich aller Uni-Code-Zeichen, anzumelden.

Darüber hinaus muss jeder E-Mail-Anbieter eine Zwei-Faktor-Authentifizierung anbieten und seine Benutzer über E-Mail-Sicherheit informieren.

Forderung nach einem Fokus auf Sicherheit

Aber obwohl all das gut und schön ist, ist es bei weitem nicht genug.

Online-Dienste im Allgemeinen müssen sich viel stärker auf Sicherheit konzentrieren. Wie illegitime Kontoübernahmen wie die von Mat Honan und Naoki Hiroshima gezeigt haben, ist es sogar möglich, ein speziell ausgewähltes Ziel zu hacken, indem man ein sehr überzeugender Angreifer ist, der in der Lage ist, den technischen Support davon zu überzeugen, dass er der rechtmäßige Eigentümer der anvisierten Online-Konten war.

Angriffe wie diese zeigen, dass der schwächste Punkt in der Online-Sicherheit Ihr Passwort ist.

Passwort-Rücksetzungen sind problematisch

Wenn man Leuten erlaubt, einfach per E-Mail nach einem Passwort-Reset zu fragen, ist es für potenzielle Angreifer einfach, diese Konten zu übernehmen – denn sobald sie Zugang zu Ihren E-Mails haben, haben sie alles.

Deshalb ist das Passwort-Zurücksetzen per E-Mail so problematisch. Wir brauchen viel strengere Anforderungen an die Rücksetzung von Passwörtern, um sicherzustellen, dass es keinen Raum für Missbrauch gibt. Tutanota zum Beispiel gibt den Nutzern einen Wiederherstellungscode, mit dem sie ihre Passwörter zurücksetzen können.

Das Schöne daran ist: Wir als Anbieter haben absolut keinen Zugriff auf die Passwörter der Benutzer. Selbst wenn wir es wollten, könnten wir unsere eigenen Benutzer nicht hacken. Deshalb müssen die Benutzer ihren Wiederherstellungscode aufschreiben.

Und obwohl dieses System nicht perfekt ist – denn leider wird es immer Menschen geben, die es schaffen, ihr Passwort und ihren Wiederherstellungscode zu vergessen – ist es sicher.

Was also sollten die Benutzer tun?

In der Regel ist es immer eine gute Idee, 2FA für jedes Online-Konto zu aktivieren. Die Wahl eines sicheren E-Mail-Dienstes kommt als nächstes.

Die meisten Online-Dienste funktionieren – und es ist unwahrscheinlich, dass sich dies in naher Zukunft ändern wird – so, dass sie standardmäßig Passwort-Resets per E-Mail anbieten. Manchmal kann man diese Option deaktivieren, meistens nicht.

Das bedeutet, dass Sie sicherstellen müssen, dass niemand, unter keinen Umständen, Zugang zu Ihrem E-Mail-Konto erhält. Da Tutanota den Schwerpunkt auf die Sicherheit legt, indem es Ihre gesamte Mailbox automatisch verschlüsselt, hat natürlich auch der bestmögliche Passwortschutz einen hohen Stellenwert.

Hier sind einige Passwortsicherheitsmaßnahmen, die Tutanota in den Code eingebaut hat: Nur sichere Passwörter sind erlaubt, die Passwörter werden auf dem Client sowie vor der Speicherung auf den Servern gehasht, Tutanota verwendet modernsten Brute-Force-Schutz, bietet Zwei-Faktor-Authentifizierung, ein Passwort Reset ist nur mit dem Wiederherstellungscode möglich und hat eine verschlüsselte Speicherung von Daten.

Unabhängig davon, wie gut ein Dienst die Anmeldeinformationen sichert, müssen die Benutzer jedoch dafür sorgen, dass niemand ihre Passwörter erraten oder “phishen” kann. Deshalb ist es von größter Bedeutung, dass Sie nie auf E-Mail-Phishing-Angriffe hereinfallen.

 

Arne Möhle, der sichere E-Mail-Clients für Unternehmen und Privatpersonen entwickelt Über:

Arne Möhle ist einer der Gründer von Tutanota und entwickelt die sicheren E-Mail-Clients für Unternehmen und Privatpersonen. Er schreibt Code, um die Massenüberwachung und Industriespionage zu beenden – durch die automatische Verschlüsselung aller E-Mails.

 

Suggested posts