Unterwegs per Notebook die E-Mails abzurufen ist praktisch - aber auch sehr unsicher. Kinderleicht lassen sich Passwörter und Briefe ausspionieren.Das Leben meint es gut mit Datendieben. Wer fremde Post durchstöbern oder Passwörter klauen will, setzt sich einfach in ein Café und lässt den Leichtsinn anderer für sich arbeiten.
Sebastian Schreiber macht vor, wie das geht. Er ist Sicherheitsberater; die zehn Mitarbeiter seines Tübinger Unternehmens Syss begehen gutbezahlte Einbrüche in die Netzwerke von Konzernen wie Deutsche Bank und DaimlerChrysler, IBM und SAP - so lange, bis das Netz dicht ist.
Privatleute können sich einen solchen "Penetrationstest" kaum leisten und scheren sich sowieso meist nicht darum, wie wenig gesichert die Daten sind, die sie täglich verschicken - besonders drahtlose Funknetze sind wahre Datenschleudern. Um den Leichtsinn zu demonstrieren, sitzt Schreiber an einem Ecktisch einer wuseligen Bar in der Altstadt von Hannover. Sein Gesicht glimmt bläulich im Schein der Monitore seiner zwei Notebooks.
Nach ein paar Minuten taucht das erste Opfer auf. Der Geschäftsmann setzt sich am anderen Ende der Bar an einen Tisch, bestellt einen Tee, klappt sein Notebook auf und beginnt zu tippen.
Schreiber nippt an seinem Bier. Er hat Kismet aufgerufen - eine Spezialsoftware, die Daten, die über das Funknetz gehen, mitprotokolliert.
Schon geht es los. Was der Geschäftsmann auch aufruft oder tippt - für Schreiber ist es wie ein offenes Buch: Eine E-Mail an einen Arzt erscheint im Volltext auf seinem Notebook. Der Fremde am anderen Ende der Bar hat sich so gesetzt, dass man ihm nicht über den Rücken auf den Bildschirm starren kann. Aber genau das tut Schreiber aus der Distanz - ohne dass irgendjemand das bemerken könnte. Schließlich sammelt Kismet einfach passiv die Daten auf, die unsichtbar durch die Luft schwirren: Mails an Geschäftskunden, Briefe an Freunde, alle möglichen aufgerufenen Websites.
Schnell hat Schreiber alle Daten, die er braucht, um das fremde Konto zu kapern: E-Mail-Adresse, Nutzernamen, Passwort. Sein Opfer heißt Herbert Karl M.; auch wo er wohnt, ist schnell herausgefunden.
Sebastian Schreiber könnte sich jetzt in dessen Postfach einloggen und alle gespeicherten Nachrichten durchforsten, als wäre es sein eigener Account. Er könnte unter fremdem Namen den Job oder die Wohnung kündigen. Oder er könnte die Zugangsdaten in einem Hackerforum veröffentlichen, wie es immer wieder geschieht, oder sie gewinnbringend an Kriminelle verkaufen, damit die das Konto zum Versenden von Spam-Nachrichten missbrauchen. Illegale Geschäftsmodelle gibt es viele.
Doch Schreiber löscht alle mitgeschnittenen Daten, ihm geht es nur um den Vorführeffekt. Was er demonstriert hat, geht genauso in Hunderttausenden Cafés, Flughäfen und Hotellobbys in aller Welt.
Der mühelose Funknetzzugang ist Fluch und Segen zugleich: praktisch, dass man nicht mehr durch die Stadt irren muss auf der Suche nach einem Internet-Café - riskant, weil die meisten Nutzer von der großen Funkfreiheit überfordert sind.
Natürlich unterstellt die Vorführung nicht, dass ständig Hacker um Hotspots herumlungern auf der Suche nach neuen Opfern. Andererseits gibt es keinen Grund, warum diese Lücke nicht längst geschlossen wurde - der Aufwand ist minimal.
Bei den meisten Mail-Programmen müssten die Nutzer lediglich die sogenannte SSL-Verschlüsselung aktivieren; nach wenigen Klicks wären Daten, die auf Websites eingegeben und gemailt werden, auch im W-Lan-Café einigermaßen sicher.
Beim Online-Banking und beim Telefonieren per Skype wird die Kommunikation automatisch verschlüsselt; und beim Plaudern am Handy wird sie zumindest bis zur Basisstation gesichert. Beim Versenden und Empfangen von E-Mails dagegen gibt es keine vergleichbare Sicherheitsautomatik. Nur Eingeweihte wissen, wo sie tief im Menü verborgen die richtigen Häkchen setzen müssen, um SSL zu aktivieren (siehe Grafik).
"Eigentlich müsste die SSL-Verschlüsselung im Betriebssystem automatisch voreingestellt sein; auch sollte es selbstverständlich sein, dass Serviceanbieter Passwörter nur entgegennehmen, wenn sie verschlüsselt sind", kritisiert Schreiber. "Sie können doch auch erwarten, dass bei einem Neuwagen das Fahrzeugschloss automatisch funktioniert und nicht erst vom Fachhändler aktiviert werden muss."
Eine Erklärung für den Missstand: Den Anbietern von Freemail-Postfächern ist der Mehraufwand für verschlüsselte Kommunikation einfach zu teuer - sie müssten dafür ihre Serverparks erweitern.
Und vielen Nutzern ist es ohnehin egal, dass sie so leicht ausspioniert werden können. Was sagt etwa Herbert Karl M. dazu, dass seine E-Mails, Passwörter und die besuchten Websites gerade abgefangen wurden? "Na ja, ich rechne immer mit dem Schlimmsten", sagt er fatalistisch. "Im Internet ist man eben nie ganz sicher."
Dann folgt noch ein Geständnis: "Ich weiß auch gar nicht, wie man sich da schützen soll. Dabei sollte ich das eigentlich wissen." Schließlich arbeitet Herbert Karl M. im Marketingbereich für diverse Software-Firmen.
Siehe dazu auch :
WLAN-Sicherheit: Überwacht, abgehört und ausspioniert Quelle :
www.spiegel.de
