E-Mail-Dienstleister Adressverzeichnisse nicht ausreichend geschützt

Durch einen Trick lassen sich E-Mail-Adressdaten der Telekom automatisch für den Aufbau von E-Mail-Verteilern einsammeln. Vor allem Spam-Versender könnten von dem Verfahren profitieren, für das man nicht einmal Hackertalent braucht. Auch bei den E-Mail-Anbietern GMX und Web.de gibt es Lücken.

Hamburg - Die E-Mail-Datenbanken von Telekom/T-Online, GMX und Web.de lassen sich automatisch auf gültige Adressen prüfen, um Verzeichnisse für den Spam-Versand zu generieren. Besonders unsicher seien dabei vor allem die Adressdatenbanken der Telekom, behauptet die Mainzer Resisto IT GmbH - die Firma von Tobias Huch, der im vergangenen Jahr mit der Aufdeckung des Telekom-Datenskandals Schlagzeilen machte.

Der Mainzer Jungunternehmer Tobias Huch ist in mancherlei Hinsicht eine schillernde Figur. Bekannt wurde er einer zunächst kleineren Öffentlichkeit, als er im Alter von 19 Jahren eine Sicherheitslücke auf den Servern des Bundesinnenministeriums offenlegte. Später - Huch arbeitete mit einer Firma für Altersverifikation im Dunstkreis der Web-Porno-Branche - erzwang er durch einen "Scheinprozess" gegen Arcor eine Grundsatzentscheidung darüber, ob und in welchem Maße Zugangsprovider für Web-Inhalte haftbar gemacht werden können.

Spätestens da wurde er für manche eine Art Robin Hood der Web-Welt - ein Ruf, den er im Herbst 2008 mit der Weitergabe von 17 Millionen Kundendaten der Telekom an den SPIEGEL zementierte. Dass ihm deswegen noch immer die Staatsanwaltschaft im Nacken sitzt, ist diesem Ruf nicht abträglich.

Und den will Huch augenscheinlich pflegen. Mit der Resisto IT GmbH inzwischen im Feld der IT-Sicherheit tätig, stochert er weiter nach Schwachstellen im Datenschutz großer Unternehmer - und offenbar gilt hier: Wer suchet, der findet.

Einfacher Missbrauch öffentlicher Schnittstellen

"Durch eine sehr simple Sicherheitslücke" macht die Resisto IT GmbH in einer aktuellen Pressemitteilung bekannt, "ist davon auszugehen, dass die gesamte Liste der Haupt-E-Mail-Adressen der T-Online-Kunden in die Hände von unbefugten Dritten (Spam-Versender und Datenhändler) gelangt ist."

Das ist eine steile Behauptung, für die es erst einmal keine Nachweise gibt - die aber trotzdem durchaus wahrscheinlich ist.

Denn was Huch und seine Mitarbeiter bei Telekom, GMX und Web.de unter die Lupe nahmen, waren die Web-Schnittstellen, über die man E-Mail-Adressen beantragen kann. Die kennt jeder Internet-Nutzer: Man gibt seinen Wunschnamen ein, klickt einmal - und bekommt sofort eine Rückmeldung darüber, ob die Adresse noch zu haben ist. "Genau das", sagt Huch zu SPIEGEL ONLINE, "nutzen wir aus."

Und zwar mit einer Maske, einem kleinen Skript, zu dem uns Huch zwecks Prüfung via Web Zugang gewährt. Besonders leicht fällt die Generierung zahlreicher verifizierter E-Mail-Adressen bei der Telekom. Deren Kunden sind nicht nur über die bekannten, auf Kundennamen basierenden E-Mail-Adressen erreichbar, sondern auch über Mailadressen, die nach dem Muster "T-Online-Kundenkennnummer@t-online.de" konstruiert sind. Weil T-Online noch Adressen aus numerischen Codes erzeugt, braucht man nur ein Skript, das die möglichen Zahlenkombinationen hochzählt, über die Antragsmaske laufen zu lassen, um sich völlig automatisch eine Liste verifizierter Adressen zusammenstellen zu lassen.

Die könnte man beispielsweise als Adresssatz zum Spamversand verkaufen. Uns gelingt es in einem Testlauf, innerhalb von fünf Minuten mehrere hundert potentielle E-Mail-Adressen zu überprüfen. Rund drei bis vier Prozent erweisen sich als echte, im Gebrauch befindliche Adressen. Besonders leicht ist die Verifikation der Telekom-E-Mail-Adressen, weil sie aus simplen Zahlencodes bestehen - eine Steilvorlage für den Missbrauch.

Huch behauptet, auf diese Weise rund 100.000 Telekom-E-Mail-Adressen verifiziert zu haben. Die Probe aufs Exempel machte er, indem er an eine Auswahl dieser Adressen Warnhinweise verschickte - angeblich mit Erfolg.

Kein Hack, aber ein gut erkanntes Sicherheitsleck

Bei GMX und Web.de ist das alles deutlich schwerer, doch auch hier lässt sich die Web-Schnittstelle zur Spam-Versandlisten-Erstellung nutzen. "Das geht über eine Brute-Force-Attacke", erklärt Huch.

Auch das ist plausibel, wenngleich erheblich aufwendiger. Im Brute-Force-Verfahren (engl.: "rohe Gewalt") werden einfach alle denkbaren Kombinationen eines Zeichensatzes in festgelegter Länge in einem Zufallsverfahren generiert und ausprobiert.

Das Verfahren, so Web.de-Sprecher Michael d'Aguiar in einer schriftlichen Replik auf eine Anfrage von SPIEGEL ONLINE, sei "zwar grundsätzlich möglich, ein derartiges Vorgehen konnte in der Vergangenheit in unserem Hause allerdings nicht beobachtet werden". Bei Web.de gehe man davon aus, "dass Spam-Versender aus mehreren Gründen beim 'Adress Harvesting' auf andere, aus deren Sicht wesentlich effektivere Methoden (Trojaner, Adressgenerierung mittels Telefonbuchlisten etc.) zurückgreifen".

Denn anders als Huch hält d'Aguiar die so generierten Listen gerade für nicht besonders gut geeignet für den Spamversand: "Die Qualität einer Liste, die sich über den Registrierungsprozess generiert, weist große Mängel auf. Die Adressen sind nicht allesamt valide, da auch gesperrte, inaktive und nach einer Löschung noch nicht wieder freigegebene Accounts als vermeintlich existierende Mail-Postfächer qualifiziert werden."

Ansonsten setze der E-Mail-Dienstleister auf eine kontinuierliche Beobachtung der Spammer-Szene und ihrer Methoden. Unter anderem betreibe und beobachte das Unternehmen einen Satz von als "Fallen" eingerichteten Adressen, um "Spam-Attacken zu melden". D'Aguiar weiter: "Überdies wird das Registrierungsverhalten von uns beobachtet, um das Anlegen von Spam-Accounts zu verhindern. Hierbei werden verschiedene Regelmäßigkeiten, die darauf schließen lassen, dass die Registrierung per Script erfolgt, gemeldet und verfolgt. Wir sind derzeit in der Prüfung, ob wir weitere Maßnahmen wie beispielsweise eine Frequenz-Messung implementieren, um derartige Brute-Force-Angriffe zu unterbinden."

Telekom: Problem bekannt, aber auch relevant?

Die brauche es gar nicht, um die Adressbestände der Telekom zu überprüfen, behauptet Huch. Da die Form, die Zahl der Stellen und das numerische Fenster, in dem sich T-Online-Kundennummern bewegen, bekannt ist, muss man weit weniger Kombinationen abfragen. Um sämtliche E-Mail-Adressen von T-Online/Telekom in die Hände zu bekommen, sagt Huch, würde es reichen, "nur hundert Milliarden kurze Serveranfragen auf den Weg zu schicken".

Das klingt leichter, als es ist. Man braucht dafür zwar nur ein Ajax-Script, wie es in vielen Web-2.0-Anwendungen zum Einsatz kommt und das sich beispielsweise auch über ein Botnet verbreiten ließe. Das aber müsste man wohl auch: Kein E-Mail-Provider würde hundert Milliarden Anfragen von einer einzigen IP-Adresse ignorieren und diese stattdessen schnell blockieren. Genau das sei zwischenzeitlich auch passiert, sagt Huch: Sein Unternehmen habe seit Montagmorgen keinen Zugriff mehr auf Telekomseiten, sein "IP-Block" sei wohl blockiert.

Verteilte Anfragen über einen größeren Zeitraum fielen dagegen wohl kaum auf. Auch Huch behauptet, über Proxyserver weiter Zugriff auf die Telekom-Seiten zu haben. Es ist tatsächlich nicht unwahrscheinlich, dass so oder ähnlich bereits Spam-Adresssätze entstehen.

Auch bei der Telekom bezweifelt man gar nicht, dass Spammer versuchen, E-Mail-Adressbestände zum Zwecke eines effizienteren Spam-Versandes zu verifizieren: "Spam-Versendungen beziehungsweise Versuche, in IP-basierte Systeme einzudringen, finden permanent statt", sagt dazu Frank Domagala von der Telekom. Zur Abwehr setzt die Firma auf Filter: "Besonders hervorzuheben ist der aktive Spam-Schutz für Kunden des Unternehmens, der den erreichten Schutz dokumentiert: Täglich gehen rund 240 Millionen E-Mails ein. Etwa 90 Prozent werden als Spam-Mail identifiziert und entsprechend behandelt."

Dabei bezweifelt Domagala, dass die numerischen Adressen der Telekom prinzipiell leichter abzugreifen wären als alphabetische Adressen: "Grundsätzlich kann jeder Spammer E-Mail-Adressen mit sogenannten Wörterbuchgeneratoren erstellen. Durch das Absenden von so erzeugten E-Mails und der Auswertung der zurückkommenden Fehlermeldungen lässt sich damit eine Liste von für Spam verwendbare E-Mail-Adressen erzeugen."

Wörterbuchgeneratoren? Tatsächlich: Auch für Brute-Force-Attacken gibt es fertige Programme, die beispielsweise alle Kombinationen des lateinischen Buchstabensatzes in einer zu definierenden Länge generieren können. Genau das machen Spam-Versender seit langem.

Andere Verfahren sind aufwendiger

Doch das ist aufwendiger als das von Resisto beschriebene Web-Schnittstellen-Verfahren und kann von Spamfiltern auch leichter erkannt und unterbunden werden. Da die meisten Spams allerdings über Botnetze verschickt werden, entstehen auch hierbei den Spammern keine Kosten: Für sie ist es heute so gut wie unrelevant, ob sie eine Million Spams verschicken müssen oder eine Milliarde. Trotzdem haben bereits verifizierte Adressdatensätze auf dem Markt einen höheren Verkaufswert als unverifizierte.

"Bei GMX und Web.de", sagt Huch, "bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben."

Ein Datenskandal ist das noch nicht. Was Huch zeigt, ist allerdings, dass die gängigen Registrierungsverfahren es findigen Spammern besonders bequem machen können, ihre Müllversand-Dateien zusammenzustellen. Die Schnittstellen lassen sich wie beschrieben missbrauchen. Huchs Unternehmen informierte Ende der Woche pflichtgemäß den Landesbeauftragten für den Datenschutz in Rheinland-Pfalz.

Die betroffenen Unternehmen geben sich derweil unaufgeregt. Sie setzen vor allem darauf, die Spam-Masse aus der Post ihrer Kunden auszufiltern und wollen die Sicherheit, wie es von Seiten der Telekom heißt, ansonsten "weiter optimieren".

Die Wiedergabe wurde unterbrochen.