WLAN trifft T-Online Postraub eingebaut

Was passiert, wenn aktuelle WLAN-Technik auf die eher betagte E-Mail-Technologie von T-Online trifft? Nichts, worüber man bei T-Online gerne redet: Innerhalb von Netzwerken gibt es bei T-Online kein Briefgeheimnis - jeder bekommt alles zu lesen. Das Problem ist bekannt, eine Lösung gibt es nicht.

Von Stefan Schickedanz


T-Online: Deutschlands größter Serviceprovider

T-Online: Deutschlands größter Serviceprovider

Öffentlich zur Schau gestellte Verwunderung über Mängel, die intern längst bekannt sind, erlebt man gemeinhin nur nach Katastrophen der Kategorie XXL. Im vorliegenden Fall geht es glücklicherweise nur um eine IT-Sicherheitslücke von den vergleichsweise bescheidenen Ausmaßen eines Scheunentores, durch die E-Mails "aus Versehen" in fremde Hände gelangen können.

Alles, was man braucht, um bei T-Online via abgefangener E-Mails mal etwas Neues über den Nachbarn zu erfahren, ist ein Rechner mit WLAN, ein handelsübliches Mail-Programm wie Microsoft Outlook Express und etwas Neugier.

Letztere bezog sich in unserem Fall weniger auf die Geheimnisse des Krimi-Autors Gerhard F.. Eigentlich ging es nur darum, heraus zu finden, ob es möglich ist, unterwegs seine elektronische Post mal eben über ein zufällig empfangenes, unverschlüsseltes WLAN-Signal eines drahtlosen Computer-Netzwerks abzurufen. Der reisende Reporter staunte nicht schlecht, als er nach nur zwei Mausklicks in diesem spontanen "Feld-Versuch" einen Ladebalken auf seinem Apple-Laptop angezeigt bekam.

Postraub mal anders: In zwei Klicks zum Hacker

Statt einer kryptischen Fehlermeldung präsentierte das iBook nach einem turbo-schnellen T-DSL-Download elf neue E-Mails. Das war aber keineswegs die eigene Korrespondenz, sondern die gesamte digitale Tagespost für einen bis dato wildfremden Menschen, der irgendwo in der Nähe wohnte.

Eine peinliche Situation für alle Betroffenen. Glücklicherweise handelte es sich bei den Mails nur um Werbung, eine Virenwarnung von T-Online (stets besorgt um die IT-Sicherheit der Kunden) und Auftragsbestätigungen von Gebraucht-Buch-Offerten auf Amazon.de.

Der Verkäufer von Werken wie "Das Gesellschaftsbild des Gymnasiallehrers" entpuppte sich nach der Online-Identifizierung via T-Info einerseits als humorvoller Zeitgenosse ("Wissen Sie, die Szene verwende ich in meinem neuen Krimi!"), andererseits als leidgeprüfter T-Online-Kunde. Seine eigene Frau müsse sich über Kabelmodem ins Internet einwählen, weil sie im heimischen WLAN mit T-DSL-Anschluss beim Abruf ihrer Mails immer sein T-Online-Postfach ausräume - ob sie wolle oder nicht.

Nach außen sei sein Netzwerk aber eigentlich immer durch eine Firewall-Software geschützt. In diesem Fall habe er nur mal schnell Daten von Rechner zu Rechner kopieren wollen.

...wirbt kräftig für DSL und WLAN

...wirbt kräftig für DSL und WLAN

Das ist das Prinzip Titanic: Unsinkbar, bis man gegen einen Eisberg fährt, weil man den da gerade nicht vermutet. Die Grundvoraussetzung für diesen vielleicht einfachsten Postraub des 21. Jahrhunderts ist also das Zusammenspiel von Unachtsamkeit und konstruktive Mängel. Unzureichend abgesicherte WLANs gibt es wie Sand am Meer, während das E-Mail-Sicherheitsleck integraler Bestandteil der Software von T-Online zu sein scheint.

Entsprechend fällt die Reaktion der Verantwortlichen aus: "Dass es natürlich möglich ist, fremde WLANs anzuzapfen, ist klar. Aber dass Sie fremde E-Mails abrufen können, schockt mich jetzt schon", wundert sich zunächst Ralf Sauerzapf, Pressesprecher für Technik und Kundenservice bei T-Online. "Da muss ich mich auch erst mal bei unseren Technikern schlau machen."

Als er sich mit einer Erklärung des Phänomens zurückmeldet, wirkt er gefasst: "Der Vorteil der Freiheit bringt auch Gefahren mit sich."

Immerhin bietet Sauerzapf eine konkrete Lösung für einen Teil des durchaus bekannten Problems an. Auf einer T-Online-Serviceseite findet sich eine Anleitung zur sicheren Konfiguration des WLAN-Routers, über den sich mehrere PCs einen Internetzugang teilen können.

WLAN heißt nicht, drahtlos ausgeliefert zu sein

Wer diese Anweisungen beachtet, ist durch WEP-Verschlüsselung (Wireless Encryption Protocol) und Anlegen einer Zugangskontrollliste aber lediglich gegen das Eindringen von Fremden in sein Netzwerk geschützt - soweit diese nicht über einschlägig bekannte Hackertools verfügen.

Das eigentliche Problem mit den T-Online-Mail-Adressen bleibt jedoch bestehen: "Beim Zugriff auf E-Mails per POP 3 (wie bei Mail-Programmen gemeinhin üblich) erlaubt T-Online grundsätzlich überhaupt keine Prüfung der Benutzerkennung. Die Identifizierung erfolgt ausschließlich über die jeweils verwendete Einwahlkennung, zum Abruf der Mail sind weder Benutzername noch -kennwort erforderlich", erklärt Internet-Experte Urs Mansmann von der Computer-Zeitschrift "c't" das Phänomen.

Mit anderen Worten: Wer den Anschluss besitzt und sich darüber einwählt, gibt für die Dauer der Session seine Mails an alle frei, die im Netzwerk einen E-Mail-Abruf starten. Die Abhilfe-Empfehlung von Mansmann dürfte sich trotz ihrer Wirksamkeit sicher nie unter den T-Online-Sicherheitshinweisen finden: "Man kann Benutzern, die einen T-Online-Zugang gemeinsam mit anderen nutzen wollen, nur raten, sich eine Mailadresse bei einem anderen Anbieter wie Freenet, GMX oder Web.de zuzulegen."



© SPIEGEL ONLINE 2004
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.