Netzwelt-Ticker Forscher locken 120.000 Mails in die Tippfehler-Falle

Mit leicht veränderten Internetadressen gelangten zwei Sicherheitsforscher an 20 Gigabyte teils brisanter Mails einiger Fortune-500-Firmen. Außerdem im Überblick: LG Köln erteilt Providerhaftung eine Absage, Wiki-Watch-Leiter zieht sich zurück und Gefallsucht enttarnt den Cybergangster.


Tippfehler sind im Internet ein ernstes Sicherheitsproblem. Wie ernst, das zeigt eine neue Studie zweier IT-Experten des Sicherheitsfirma Godai Group (Studie; PDF; 565 Kb). Ihre Masche: Sie setzten Doppelgänger-Domains auf, deren Name denen einiger großer Fortune-500-Firmen ähneln - bis auf den Tippfehler, einen falsch platzierten Punkt: "Mspiegel.de" statt "m.spiegel.de".

Die derart präparierten Domains waren die Köder für fehlgeleitete E-Mails. Wer immer an xyz@m.spiegel.de eine E-Mail schreiben wollte, aber versehentlich xyz@mspiegel.de schrieb, schickte seine E-Mail mitsamt Kontaktdaten, vertraulichen Anhängen oder persönlichen Informationen an die Forscher.

Die Masche war höchst erfolgreich. In sechs Monaten sammelten die Forscher 120.000 E-Mails (20 Gigabyte Daten) an: Geschäftsgeheimnisse, Rechnungen, Mitarbeiterdaten, Netzwerk-Diagramme, Nutzernamen und Passwörter, … Ein Drittel aller von den Forschern per Tippfehler angezapften Firmen waren durch diese triviale Methode verwundbar.

Die so Abgehörten bekommen davon fast nichts mit - sie merken, wenn überhaupt, nur, dass ihre E-Mail nicht beim Adressaten ankam. Schlimmer noch: die Forscher hätten sich in die Kommunikation einklinken (als "man in the middle"), Mails verändern und mit gefälschtem Absender weitersenden können - auf dass keiner der Beteiligten davon etwas gemerkt hätte.

Die Studie sollte den Unternehmen, aber auch Firmen-Fremden eine Lehre sein: Das einfachste Mittel, um diese Sicherheitslücke zu stopfen, sind verschlüsselte E-Mails. Wer sensible Informationen via Mail verschicken will, sollte dies nur verschlüsselt tun.

LG Köln erteilt Providerhaftung eine Absage

Das Landgericht Köln erteilt Forderungen von Plattenfirmen nach einer Providerhaftung eine weitere Absage. Mit einem Urteil vom 31. August 2011 hat das LG Köln entschieden, dass ein Internetprovider nicht als Störer haftet, wenn über die von ihm zur Verfügung gestellten Internetzugänge ausländische Websites mit urheberrechtswidrigem Inhalt aufgerufen werden können, heißt es bei Damm-legal.de.

Dem Urteil liegt ein Streit zwischen mehreren "führenden Tonträgerherstellern" und einem Telekommunikations- Unternehmen, vermutlich HanseNet, zugrunde. Die Plattenfirmen wollten den Provider dazu zwingen, Surfern per IP-Sperre den Zugriff auf eine Filesharing-Seite zu blockieren. Weil der Provider diesem Wunsch nicht nachkam, versuchten die Plattenfirmen dem Unternehmen eine Mitschuld als Störer zuzuschreiben.

Das LG Köln wies die Klage mit der Begründung zurück, dass der Provider "die Datenkommunikation zwischen ihren Kunden auf Begehung von gerügten Verletzungshandlungen kontrollieren müsste, wodurch sie Kenntnis von den Umständen der Telekommunikation einschließlich ihres Inhalts erhielte." Kurz: Die IP-Sperren würden gegen das Fernmeldegeheimnis verstoßen. Und unzumutbar wären sie sowieso. Weil Filesharing-Seiten ständig ihre Internet-Adressen wechseln, die Provider ihre Sperrliste (unmöglich) ständig auf dem neusten Stand halten müssten, könnten die Sperren die Urheberrechtsverletzungen gar nicht wirksam verhindern.

Az. 28 O 362/10

Wiki-Watch-Leiter zieht sich zurück

Wolfgang Stock zieht sich von dem umstrittenen Wiki-Watch-Projekt zurück, nachdem ihm Wikipedia-Administratoren und mehrere Medienberichte einen Interessenkonflikt nachweisen konnten. Stock war zeitweise Berater einer Pharmafirma und hatte zuvor unter dem Wikipedia-Kürzel Wsto (dann später Kan900; Wikipedianer werfen ihm noch viele weitere so genannte Sockenpuppen-Konten vor, von denen Stock jedoch bestreitet, dass sie ihm zuzurechnen sind) Enzyklopädie-Einträge in für die Firma günstiger Weise verändert. Zwar erklärt die Europa-Universität Viadrina Frankfurt in einer Mitteilung, dass die "von diversen Medien gegenüber der Arbeitsstelle Wiki-Watch an der Europa-Universität Viadrina Frankfurt (Oder) und ihren Mitarbeitern Wolfgang Stock, Maximilian Kall und Johannes Weberling erhobenen Vorwürfe […] nachweislich falsch [sind]". Trotzdem werde Stock "in Anbetracht der noch laufenden juristischen Auseinandersetzungen auf die Leitung der Arbeitsstelle Wiki-Watch verzichte[n], um Schaden von der Europa-Universität Viadrina Frankfurt (Oder) abzuwenden." Das Projekt wird nun unter alleiniger Leitung von Prof. Dr. Weberling weiterlaufen.

Was am Freitag sonst in der Netzwelt wichtig war

  • Von der Massenklage gegen über 5000 Porno-Downloader bleibt nicht viel übrig. Alle bis auf eine Klage gegen Unbekannt wurden vom Gericht abgewiesen.
  • Mozilla ruft alle Zertifikat-Vergabestellen dazu auf, sich einer Überprüfung zu unterziehen, ein offener Brief von Mozillas Zertifikate-Spezialistin Kathleen Wilson erklärt, was zu tun ist. Wer den Anweisungen nicht folgt, fliegt aus der Liste der Root-Zertifikate, also einer Liste aller Zertifikat-Ausgabestellen, denen Mozilla vertraut. Das käme einem Ultimatum gleich, meint Betanews. Anlass des Vorstoßes sind natürlich die diversen Desaster, die Zertifizierungsstellen in der letzten Zeit erlitten, und die das Sicherheitssystem des Netzes insgesamt in Frage stellen.
  • Heise.de berichtet von einem interessanten Streit zwischen dem Berliner Whistleblower-Netzwerk und dem Berliner Senat: Die Bundesratsinitiative zum gesetzlichen Whistleblower-Schutz sei "hanebüchen". Statt eines progressiven Vorschlags sei der Plan "nahezu eine Kopie" des Entwurfs der großen Koalition.
  • Sicherheitsexperte Brian Krebs hat sich (mal wieder) mit ungewöhnlichen Mitteln auf die Fersen der Cybergangster gemacht. Und wieder einmal kam ihm die Gefallsucht der Kriminellen zu Hilfe: Wer steckt eigentlich hinter dem TDSS-Botnetz?
  • Facebook hat sich was beim Konkurrenten Google+ abgeschaut und verbessert: Ein Algorithmus untergliedert bald automatisch den eigenen Facebook-Freundeskreis in Gruppen: Kollegen, Schulfreunde, Nachbarn.
  • Ist das jetzt gruselig oder praktisch? Eine App zapft Überwachungskameras (kooperierender) Parkhäuser an und sucht dank Nummernschild-Erkennung nach dem eigenen Auto. So langsam entdeckt auch die örtliche Polizei diese App…

Anmerkung: Wolfgang Stock hat gegen Teile der Darstellung im Abschnitt "Wiki-Watch-Leiter zieht sich zurück" Einwände geltend gemacht. Wir haben die Darstellung deshalb gegenüber der ursprünglichen Version des obigen Artikels leicht verändert.

Mehr zum Thema


insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
titeroy 09.09.2011
1. Soll das neu sein?
Dass eine falsch getippte eMail-adresse nicht beim empfaenger landet. Womit manche Leute die Zeit totschlagen ... tse...
inci 09.09.2011
2. oooo
Zitat von titeroyDass eine falsch getippte eMail-adresse nicht beim empfaenger landet. Womit manche Leute die Zeit totschlagen ... tse...
normalerweise bekommt man in dem fall aber eine fehlermeldung. kommt keine, kann wohl ab sofort davon ausgehen, daß die mail doch jemand bekommen hat. nur eben nicht der adressat.
titeroy 09.09.2011
3.
Zitat von incinormalerweise bekommt man in dem fall aber eine fehlermeldung. kommt keine, kann wohl ab sofort davon ausgehen, daß die mail doch jemand bekommen hat. nur eben nicht der adressat.
Ja, aber wenn keine Fehlermeldung kommt, isses ja nicht so dass man dann sofort den Verdacht hegt, dass da etwas nicht stimmt. Man bemerkt halt seinen Fehler nicht. Sieh es mal so.
Miguelito 10.09.2011
4. Keine Lappalie
Das Thema hört sich vielleicht banal an, ist es aber nicht. Unverschlüsselte E-Mails sind ohnehin nicht viel sicherer als Postkarten, da im Grunde genommen zumindest theoretisch jeder in der Kette mitlesen kann. Man verläßt sich nur einfach darauf, daß es niemand tut;-) In dem Moment aber, wo man sich vertippt, ist die Mail eben entweder unzustellbar oder beim falschen Empfänger gelandet ... und ob sie beim falschen Empfänger gelandet ist und nicht beim richtigen, merkt man ja höchstens dann, wenn man auf die E-Mail eine (schnelle) Antwort erwartet und diese ausbleibt. Dies kann man halt nur sicher mit verschlüsselten E-Mails verhindern, der falsche Empfänger kann dann die Mail nicht lesen, weil er in der Regel nicht über den passenden Schlüssel verfügt (bei Vertippern, die im selben Firmennetz landen, ist das evtl. anders). Das Problem ist aber, daß verschlüsselte Mails im privaten Bereich kaum zu finden sind.
inci 10.09.2011
5. oooo
Zitat von titeroyJa, aber wenn keine Fehlermeldung kommt, isses ja nicht so dass man dann sofort den Verdacht hegt, dass da etwas nicht stimmt. Man bemerkt halt seinen Fehler nicht. Sieh es mal so.
na ja, mir ist es aufgefallen. bzw. denjenigen, die die mails bekommen sollten. bei der nachkontrolle der gesendeten mails, habe ich dann festgestellt. das es meinerseits einen tipfehler gabt. da war jetzt nichts brisantes in den mails. aber muß ja nicht sein, ich bin was so was angeht, bei meiner arbeit doch pingelig. ich gehe mal davon aus, daß die paar mails die das betrifft nun nicht irgendwo "abgegriffen" wurden. die sind wahrscheinlich in irgendeinem orkus versunken. jedenfalls geantwortet hat noch keiner.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.