INTERNET - Möglichkeiten und Dienste

Prof. Jürgen Plate

Kleiner E-Mail-Knigge

Allgemeines

E-Mail ist nicht immer die erste Wahl bei den vielen Möglichkeiten der Kommunikation, die sich heute bieten. Trotzdem ist die E-Mail in vielen Fällen ein sinnvolles Medium. Insbesondere die zeitliche Asynchronität wird vielfach geschätzt. Ein Anruf ist beispielsweise eine potentielle Unterbrechung der Konzentration und des Arbeitsablaufs beim angerufenen - E-Mail kann der Empfänger hingegen lesen, wenn es im Arbeitsfluss passt. Bei vielen Situationen, etwa der Terminabstimmung mehrere Teilnehmer sind Werkzeuge wie Doodle oder das persönliche Gespräch sinvoller.

So wie man im Geschäftsleben den "DIN-Brief" oder ähnliche Standardisierungen kennt, so gibt es auch für E-Mails einige Grundregeln. Niemand wird mal eben einen dahingeschluderten Brief abschicken, denn das würde dem Image schaden. Erstaunlicherweise sind viele bei E-Mail nicht so sensibel. E-Mails tendieren zwar dazu, etwas salopper formuliert zu werden als Papierkommunikation, aber sollte es nicht auch bei E-Mails eine gewisse Schmerzgrenze geben? Bedenken Sie dabei, welchen Eindruck Ihr virtueller Gegenüber von Ihnen bekommt.

Wenn man also jemandem etwas mitteilen will, sollte man dafür sorgen, daß der Empfänger das auch lesen kann. Dies geht über die bloße Möglichkeit, den Text zu entziffern, hinaus. Ein gut formulierter Text wird wesentlich mehr Aufmerksamkeit erfahren. Auch will sich sicher niemand als jemand outen, der von elementaren Grundregeln der elektronischen Kommunikation keine Ahnung hat. In den vergangenen mehr als 25 Jahren haben sich Regeln für das E-Mail-Schreiben herausgebildet, die von jedem erfahrenen Internet-Nutzer eingehalten werden:

E-Mail an mehrere Empfänger

Wenn die E-Mail nicht nur an einen Empfäger gehen soll, sondern an mehrere, steht der Absender vor der Enscheidung, ob alle Empfäger in das "To:"-Feld sollen, oder einige auch in das "Cc:"-Feld. "Cc" steht für "Carbon Copy" (Durchschlag). Dieses Feld ist normalerweise für Empfäger gedacht, die zwar den Inhalt der E-Mail kennen sollten, aber nicht direkt angesprochen werden. Dabei sollen Sie sich überlegen, ob wirklich alle Menschen, die Sie auf "Cc:" gesetzt haben, wirklich Ihre literaischen Ergüsse lesen müssen.

Wer bei "To:" oder "Cc:" steht, wird im Header der E-Mail auch jedem der Empfäger mitgeeilt - diese Adressen werden also weit verbreitet. Wer E-Mails an größere Verteiler sendet, sollte dazu das "Bcc:"-Feld (Blindkopie) nutzen. Die Empfänger bekommen die darin enthaltenen Adressen dann nicht zu Gesicht - was aus Sicht des Datenschutzes auf jeden Fall besser ist. Laut des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) dürfen E-Mail-Adressen als personenbezogene Daten nur dann an Dritte übermittelt werden, wenn entweder eine Einwilligung oder eine gesetzliche Grundlage vorliegt. Die Verwendung des "Bcc:"-Feldes verhindert zudem, dass irgendein Depp auf "Allen Antworten" klickt und dann das Klima auf Jahre versaut.

Das BayLDA hat im Juni 2013 eine Absenderin, die eine umfangreiche Empfängerliste im "To:"- bzw. "Cc:"-Feld aufgeführt hatte, mit einem Bußgeld belegt. Wie die Behörde mitteilte, hatte die Mitarbeiterin eines Unternehmens eine E-Mail an Kunden versendet, die in den Kopfzeilen einen fast zehn Druckseiten umfassenden E-Mail-Verteiler mit den Adressen der Empfänger enthielt.

Falls man öfter E-Mails an bestimmte Empfängerkreise versenden muss (z. B. einen Newsletter) ist es empfehlenswert, direkt auf dem Mailserver eine geeignete Mailinglisten-Software zu installieren. Eine solche Software erleichtert zudem die Pflege der Adressen ganz ungemein. Und wenn man das nicht will, genügt auch eine Datei mit Adressen als Verteiler (sprechen Sie mit dem Administrator Ihres Vertrauens - der weiss, wie soetwas geht).

Regeln für Antwortmails (Zitieren)

Am Anfang sollte man vor allem sagen, auf wen man sich bezieht. Weitere Angaben sind fast immer überflüssig, da sie im Header ablesbar sind (z.B. Subject der Bezugsnachricht, Message-ID der Bezugsnachricht (bei den meisten Programmen)). Diese Einleitungszeile sollte man kurz halten, maximal zwei Zeilen reichen. Lange "witzige" Einleitungen langweilen schnell. Selbiges gilt erfahrungsgemäß auch für Anreden etc.

Attachments

Anhänge (Attachments) sind meist lästig, wenn nicht klar ist, daß der Empfänger genau weiß, was er damit soll, was vor allem bei proprietären Datenformen (z.B. Word- oder Excel-Dateien, vcard) schwierig sein kann. HTML verbietet sich aus denselben Gründen (und hat noch dazu in fast allen Fällen keinen Mehrwert).

Office-Benutzer glauben immer, ihre Dokumente im jeweiligen Format per E-Mail weitergeben zu müssen. Natürlich kann man jegliche Dateien als Anhang einer E-Mail (sogenanntes Attachment) verschicken - was mitunter auch sinnvoll ist. Nur sollte man dabei immer auch an den Empfänger denken, denn nicht immer ist ein Attachment notwendig oder sinnvoll. Für alle Attachments gilt: Wer solche Dateien erhält, muss natürlich auch das passende Programm zur Darstellung der Inhalte besitzen. Teilweise kann ein Attachment auch Gefahren bergen. Office-Dokumente können Makroviren enthalten. Daher sind viele Empfänger heute sensibilisiert (siehe unten Viren, Phishing) und eher Abgeneigt solche Dateien zu öffnen. Aber auch "harmlose" Makros können beim Empfänger nicht gewünschte Effekte hervorrufen. Hinzu kommt, daß der Empfänger möglichst auch die passende Office-Version besitzen muß, um das Dokument zu öffnen.

Eine weitere Gefahr ist das ungewollte Preisgeben von Daten. Office-Dokumente enthalten Daten über den Autor, das Erstellungsdatum, den Dateipfad, den Makropuffer, den Löschpuffer (Stichwort: Änderungen verfolgen) und vielleicht noch mehr. Es gab einmal den Fall einer Powerpoint-Präsentation mit einer Preisliste darin. Die Präsentation zeigte zwar nur die Verkaufspreise der eingebundenen Excel-Tabelle. Nach Herauslösen der Tabelle war aber die Spalte "Einkaufspreis" wieder sichtbar. Mitunter weden sogar Fonts ins Dokument eingebunden. Die (unwissentliche) Weitergabe von Fonts kann sogar zu Copyright-Konflikten und damit vor den Kadi führen.

In etlichen Fällen ist es auch nicht nötig einen schön formatierten Text weiterzugeben. Gerade bei E-Mails reicht meist einfacher Text. Oft geschieht das Anhängen eines Dokuments nur aus Faulheit (statt den Inhalt mit Cut-and-paste zu übernehmen. Soll aber soch ein "schönes" Dokument versendet werden, bieten sich die Formate PDF, HTML, XML, LaTeX oder RTF an.

Legenden und Hoaxes

Legenden sind recht unterhaltsam, wenn sie das erste Mal auftauchen; verzeihbar auch noch beim zweiten Mal, aber nicht mehr, wenn's das siebte Mal ist, wenn es sie schon seit Monaten oder Jahren gibt. (Beispiel: Kostenlose Mobiltelefone von 'bitte passende Firma einsetzen', der arme Craig Shergold, der gerne eine Visitenkarte möchte oder die Virenwarnung, die man an alle Freunde und Bekannten verschicken soll). Diese Geschichten leben weiter, weil es offensichtlich Menschen gibt, die denken, daß Sie für jedermann neu sein müssen, weil sie doch jetzt erst davon gehört haben. Wenn man sich die vielen Webseiten über Legenden und Hoaxes ansieht, ist es eine Schande, daß viele bereit sind, ihre Glaubwürdigkeit zu ruinieren, indem sie an solche Geschichten glauben. Man muß davon ausgehen, daß die Absender die Geschichten glauben, weil sie diesen Müll verschicken, ohne daß sie nachgedacht oder vorher einmal die einschlägigen Webseiten gelesen haben.

E-Mail-Viren und SPAM

Neulinge im Netz werden öfters erschreckt durch die Meldung, daß man keinesfalls eine E-Mail mit dem Betreff "Good Times" (oder auch einem anderen Subject) lesen soll, da sonst ein Virusprogramm auf den Rechner gelangt. Das stimmt natürlich nicht. Durch alleiniges Lesen einer E-Mail kann meist nichts passieren. Leider sind einige Betriebssysteme und E-Mail-Programme inziwischen so angreifbar geworden, daß schon beim Öffen der E-Mail ein in der Mail enthaltener Programmcode zur Ausführung gelangt. Da hilft es nur, auf andere Programme auszuweichen. Anders verhält es sich, wenn diese E-Mail eine angehängte Datei ("Attachment") mit sich führt. Diese Datei kann sehr wohl Gefahren mit sich bringen: Es gibt noch ein paar andere Sorten von E-Mail, die zwar nicht gefährlich, aber doch lästig sind. Wie bei der Briefpost kommen mit der Zeit auch Werbe-E-Mails, welche die Mailbox verstopfen. Die zweite Sorte sind Kettenbriefe wie man sie auch seit vielen Jahren kennt. Meist tragen sie ein Subject der Art "MAKE MONEY FAST". Schließlich geistern seit jahrzehnten herzerweichende E-Mails durch das Netz, die von einem krebskranken Jungen erzählen (z. B. Craig Shergold), der gerne noch ins Guinness-Buch der Rekorde kommen möchte und dem man deshalb eine Postkarte oder Visitenkarte schicken soll. Tun Sie das nicht, denn entweder ist der Kleine schon 30 - 40 Jahre alt oder längst verstorben.

Wie war das mit "I Love You"?

Zeitungen und Multimedia-Firmen verloren ihre Bild-Datenbanken. Warum? Gab es keine Datensicherung? Kein Backup? Tatsächlich dokumentiert die schnelle Verbreitung des "I Love You"-Virus ein derartiges Maß an fehlendem Sicherheitsbewußtsein selbst in großen Firmen und Institutionen, dass die Experten nachgerade verzweifeln.

Die Links innerhalb des Scripts offenbaren drei Pseudonyme von Usern, zum Beispiel: http://www.skyinet.net/~koichi. Auf deren Homepage lag das Programm, das "I Love You" zur Datenspionage verwenden wollte. Seinen Provider verrät uns zum Beispiel die Datenbank Allwhois. Man muß nur skyinet.net in das Suchfenster eingeben und erhält Namen, Adresse und Telefonnummer: Sky Internet,Inc., L/G Victoria I Bldg. 1670 Quezon Ave, Quezon, Ph 1103 8000, +63 2 411-2005. So kommt man auch sicher an deren Kunden mit dem Pseudonym "koichi".

Was kommt sonst noch mit der E-Mail

Die meisten Mail-Programme werfen sofort den internen Browser an, wenn sich HTML-codierter Text in der E-Mail befindet. Leider ist es eine Unsitte, dass viele Programme als Voreinstellung den Versand von HTML-codierten Dokumenten haben. Damit kann man sich neben den oben genannten Viren auch beispielsweise das folgende einhandeln (original so bei mir eingetroffen):
<BODY>
<P><FONT Color="#100001" FACE="Verdana" SIZE="2">
<B>Hey Du</B><BR><BR>
Am besten sofort anrufen:
<BR>
<B>Tel 0067.710.523
</B><BR>
Total affig!
<BR><BR>
EineÜberraschung von ??
</FONT>
<img src="http://lll.0lo.org/l0/RpC.ddd?a=plate@fhm.edu&b=0067SS"
  width="0" height="0" border="0">
</P></BODY>
Sobald die E-Mail geöffnet wird, ruft der Bilder-Link (<img src=...) ein Programm namen RpC.ddd auf und gibt ihm die beiden Werte von a (plate@fhm.edu) und b (0067SS) mit. Damit weiß das System des Spammers nicht nur, daß die E-Mail-Adresse gültig ist, sondern sogar wann und von welchem Rechner (IP-Nummer) aus die E-Mail gelesen wurde. Inzwischen dienen auch die iframes in HTML-Mails dazu, unerwünschte Inhalte auf IHren Rechner zu transportieren.

Wer wissen will, wie intelligent E-Mail-Viren heute sind, der kann sich die vier Artikel bei Heise Security durchlesen. Sie sind nicht nur echt witzig geschrieben, sondern auch echt interessant:

http://www.heise.de/security/artikel/59611

Was ist eigentlich Spam? Und was bedeutet ECP, EMP, UBE, UCE?

Zunächst eine knappe Erläterung der Abkürzungen:

Wird ein Artikel gleichlautend in übermäßig viele Newsgroups gepostet oder crosspostet, so spricht man im ersten Falle von Spam oder EMP (excessive multiple posting), im zweiten von Velveeta bzw. ECP (excessive cross-posting).

SPAM steht für "Spiced Pork and hAM(*)", so eine Art Preßfleisch, das in Amerika verkauft wird (sieht aus wie Katzenfutter). Es gibt einen Sketch aus Monty Python's Flying Circus, in dem ein Paar in einem Restaurant die Speisekarte vom Kellner vorgelesen bekommt und in jedem Gericht ist SPAM drin, zum Teil sogar mehrfach. Auch in dem Restaurant sitzt eine Gruppe Wikinger, die am Ende des Sketches 'Lovely Spam, wonderful Spam!' singen. Insgesamt kommt in dem Sketch das Wort SPAM ca. 120 mal vor.

(*) Manche Leute behaupten, es steht für Synthetically Produced Artificial Meat.

Bei E-Mail spricht man von:

Da UCE zunehmend lästiger wird, sind in letzter Zeit einige Leute auf die Idee gekommen, ihre News-Artikel unter einer falschen Adresse zu posten. Im Body des Artikels finden sich dann meistens Hinweise auf eine gültige Adresse. Diese Methode, sich gegen UCE zu wehren, ist jedoch problematisch. Wird der Domain-Teil der Adresse verändert, kann es passieren, daß diese Adresse trotzdem gültig ist (sogar 'xxx.de', 'nospam.de' oder 'deletethis.de' sind beim DE-NIC registriert. Wird nur der Namens-Teil der Adresse verändert, erhält zumindest der Postmaster einer Fehlermeldung per Mail. Die UCE-Versender bekommen von Fehlermeldungen/Bounces dagegen in der Regel nichts mit, da sie fast nie unter einer gültigen E-Mail-Adresse ihre UCE versenden bzw. keine gültige Rücksendeadresse angegeben haben.

Sinnvoller ist es deshalb, das Problem UCE an der Wurzel zu packen. Dies kann durch das Einrichten von Teergruben oder durch das Filtern von bekannten Spammer-Domains geschehen.

Die Tricks der Spammer

Um Ihre Opfer zu erreichen, brauchen die Spammer zuerst eine gültige E-Mail-Adresse, an die sie auf verschiedenen Wegen gelangen:

Wenn der Spammer systematisch gebräuchliche Namen aus einem Wörterbuch vor die Domainnamen größerer Websites setzt, z.B. karl@gmx.de, meier@firma.de, usw., ist die Wahrscheinlichkeit ziemlich groß, dass er mit einem Teil dieser Mails einen Empfänger erreicht.

Wenn die Mail an einen ungültigen Empfänger gerichtet ist, wird gewöhnlich eine Fehlermeldung an den Absender (in diesem Fall den Spammer) zurückgeschickt, und der Spammer kann die nächste Möglichkeit ausprobieren. Wenn die Mail einen gültigen Empfänger erreicht, und keine Fehlermeldung zurückkommt, weiß der Spammer, dass die Adresse existiert, und speichert diese in seiner "Opfer-Datenbank".

In der Regel wird der Spammer aber versuchen seine Absenderadresse zu verschleiern, bzw. einfach eine ungültige Absenderadresse anzugeben, so dass er auf direktem Weg keine Antwort erhalten kann. Um trotzdem eine Bestätigung über die Existenz des Opfers zu erhalten, benutzt er einen einfachen Trick:

Er merkt sich einfach zu jeder versendeten E-Mail einen systematisch erzeugten Schlüssel, z.B. eine lange Zufallszahl. Diese Zahl wird in einen gewöhnlichen Hyperlink eingebaut, z.B:

...

Um sich aus dieser Mailingliste wieder auszutragen klicken Sie auf:

http://www.firma.de/reply.cgi?id=2374654000332

Wenn der naive Empfänger jetzt auf diesen Link klickt, oder die Nachricht zurückschickt, braucht das Programm auf dem Webserver nur noch den übergebenen Schlüssel mit den gemerkten Schlüsseln zu vergleichen, und kennt wieder eine gültige Opferadresse mehr.

Doch selbst, wenn man nicht auf die Links in der SPAM-Mail klickt, kann er Spammer z.B. bei HTML-Mails den Link als externe Ressource verlinken (Bilder, Töne, Flash). Die E-Mail enthält dann einen Hyper-Link in der Art

<img src="http://www.firma.de/reply.cgi?id=2374654000332">
Dieser Link wird vom Mail-Programm normalerweise als Link auf ein Bild interpretiert. Es wird daher versuchen, das Bild von der angegebenen Adresse zu laden. Und dort freut sich schon der Webserver des Spammers auf die ID des Besuchers.

Selbstverständlich werden die Netzwerkeffekte des Internets auch von den Spammern genutzt, so dass die Datenbankbestände vieler einzelner Spammer zusammengefasst und auf CDs an andere Spammer weiterverkauft werden (die Angebote für diese CDs werden teilweise als SPAM verschickt).

Phishing - Passwort-Fischer

Seit Ende 2004 gibt es eine weitere Plage: "Phishing". Das klingt nach "fischen gehen" - und genau so ist es auch. Das Wort setzt sich aus "Password" und "fishing" zusammen, also "angeln nach Passwörtern". Es ist der Oberbegriff für illegale Versuche, Computeranwendern Zugangsdaten (Loginnamen, Passwörter, Kreditkartendaten, Bank-TANs, etc.) zu entlocken. Phishing ist also eine Form des Trickbetruges mit Methoden des Social Engineering. Immer öfter fälschen Phishing-Betrüger E-Mails und Internetseiten, womit sie einen neuen Weg gefunden haben, um an vertrauliche Daten heran zu kommen - die Nutzer geben ihre Daten einfach freiwillig preis.

Gängige Ziele von Phishing-Attacken sind Zugangsdaten für Banken (Onlinebanking), Versandhäuser, Internet-Auktionshäuser, webbasierende Onlineberatungen oder Kontaktportale. Durch den anschließenden Mißbrauch der gestohlenen Zugangsdaten wird den Opfern Schaden zugefügt. Als Bank oder Firma getarnt fordern die Betrüger den Empfänger in der E-Mail auf, seine Daten zu aktualisieren - weil beispielsweise die Kreditkarte ablaufe, das Passwort erneuert werden müsse oder die Zugangsdaten verloren gegangen seien. Der Inhalt der so genannten Phishing-Mails wirkt manchmal erbärmlich dilettantisch, teilweise aber auch täuschend echt. Diese E-Mails im HTML-Format zeigen einen scheinbar "offiziellen" Link an, hinter dem sich jedoch ein Link auf die Webseite des "Phischers" verbirgt. Der Empfänger wird für die Dateneingabe also auf eine Internetseite geführt, die z. B. der Banken-Homepage ähnlich sieht. Auf den ersten Blick scheint alles ganz normal, selbst die Eingabeformulare sehen gleich aus. Folgt er der Aufforderung in der E-Mail, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Was dann folgt dient nur noch dazu, nachträgliches Mißtrauen des Anwenders zu zerstreuen. Eine kurze Bestätigung oder eine Fehlermeldung. Dann wird das Opfer auf die echte Webseite weitergeschickt. Eine weitere Variante besteht darin, ein Formular direkt innerhalb der E-Mail einzubinden, welches zur Eingabe der Daten auffordert und diese an die Urheber sendet. Auf eine gefälschte Website wird hierbei ganz verzichtet.

Die Phishing-Betrüger nutzen dabei entweder Internetadressen, die sich nur geringfügig von denen der renommierten Firmen unterscheiden. Oder aber sie fälschen die Adressleiste des Browsers mit einem Java-Script. Man glaubt also, man sei auf einer seriösen Seite, ist es aber nicht. Eine Adresszeile der Form http://192.168.22.33/security/ verrät gleich, daß man sich nicht auf den Seiten einer Bank befindet. Deshalb werden oft Webadressen verwendet, die den originalen Adressen ähneln, z.B. http://www.login-beispielbank.de/. Seit Anfang 2005 besteht die Möglichkeit, Umlaute innerhalb von Webadressen zu verwenden. Daraus resultieren auch neue Möglichkeiten der Adress-Namensverfäschung. Lautet beispielsweise die Originaladresse http://www.koelner-bank.de, kann der Phischer http://www.kölner-bank.de verwenden. Noch schwerer zu erkennen ist die Verwendung von kyrillischen Buchstaben anstelle von Umlauten. Das kyrillische "a" unterscheidet sich optisch in keiner Weise vom lateinischen "a". Es kann z.B. das "a" in "bank" bei http://www.beispielbank.de/ kyrillisch dargestellt werden. Diese Methode ist selbst für Experten erst bei genauerem Hinsehen zu durchschauen.

Banken und Versicherungen versenden niemals per E-Mail die Aufforderungen, Zugangsdaten einzugeben. Keinesfalls fragen sie nach Transaktionsnummern oder Transaktionspasswörtern für das Onlinebanking. Sie senden Ihnen bei sicherheitsrelvanten Fragen Briefe und Einschreiben oder man bittet Sie, persönlich in der Filiale vorzusprechen. Folgen Sie deshalb niemals Weblinks aus einer unaufgefordert zugesandten E-Mail. Geben Sie vielmehr die URL zum Onlinebanking immer von Hand in die Adresszeile des Browsers ein oder benutzen Sie im Browser gespeicherte Favoriten/Lesezeichen, die Sie selbst angelegt haben. Meist lassen sich Phishing E-Mails an folgenden Merkmalen erkennen:

Beispiel:
Sehr geehrter Kunde!

Ihr Konto wurde von der Datensicherheitsdienst zufalligerweise zur Kontrolle
gewaehlt. Um Ihre Kontoinformation durchzunehmen, bitten wir, damit Sie uns
mit allen Angaben versorgen, die wir brauchen. Sonst koennen wir Sie identifizieren
nicht und sollen Ihr Konto fuer seine Verteidigung blockieren. Fuellen Sie bitte
das Formular aus, um alle Details Ihres Kontos zu pruefen.

Danken schoen.

Pharming

Phishing, als Möglichkeit an Passwörter und PINs von unbedachten Usern zu gelangen ist hinreichend bekannt. Nun kristallisiert sich ein neuer Trend beim Abgreifen dieser Daten heraus: Pharming. Pharming ist einfach ein neuer Name für einen relativ alten Angriff, das sogenannte "Domain-Spoofing".

Pharming könnte sich zu einer noch größeren Bedrohung für die Sicherheit im Netz entwickeln als Phishing. Auch beim Pharming wird versucht, Passwörter und Geheimnummern abzugreifen. Selbst ein sorgfältiger Internetnutzer kann Opfer von Pharming-Angriffen werden.

Anders als beim Phishing landet bei einem erfolgreichen Pharming-Angriff selbst ein User, der vorausschauend keinem Link in einer Phishing-Mail folgt und stattdessen die URL per Hand im Browser eingibt, oder die Seite über einen Bookmark aufruft, auf einer falschen Seite. Diese Seite sieht dann zwar wie die originale Seite aus und taucht auch mit dem originalen Namen in der URL-Zeile auf, residiert aber auf dem Server eines Angreifers.

Pharming nutzt die Auflösung von Namen zu IP-Adressen im Internet aus. Wenn ein User eine Adresse (z. B. "www.stadtsparkasse.de") eingibt, muss diese URL-Adresse zu einer numerischen Adresse (wie 193.99.144.80) aufgelöst werden, über die dann eine Verbindung aufgebaut werden kann. Diese Namensauflösung führen DNS-Server (DNS = Domain Name System) durch, die dazu Datenbanken von IP-Adressen und Domain-Namen verwalten. Aber auch lokal werden Adresslisten verwaltet, die einem Domain-Namen einer Adresse zuordnen. Bei Windows ist dies die Datei C:\WINDOWS\system32\drivers\etc\hosts, bei Linux /etc/hosts. Wenn dort eine Zuordnung eingetragen wird, verwendet der Browser (und auch alle anderen Internet-Programme) diese Datei, bevor andere Nameserver abgefragt werden.

Pharming-Betrüger manipulieren die Hosts-Datei so, dass einem bestimmten Domain-Namen eine andere numerische Adresse zugeordnet wird. Der Benutzer landet also auf einer ganz anderen Website auf einem ganz anderen Server, als er denkt. Davon merkt der Benutzer aber nichts, weil die dort hinterlegte Website der eigentlichen Zielseite exakt nachgebildet ist. Gibt man dort seine Zugangsdaten ein, haben die Betrüger leichtes Spiel und können anschließend mit der Benutzerkennung zum Beispiel bei Internetauktionen mitbieten oder im Falle einer gefälschten Bank-Seite das Girokonto leer räumen.

Damit Pharming funktioniert muss zuerst ein Schadprogramm auf den Rechner des Nutzer gelangen. Dies geschieht über Viren, Trojaner oder Würmer, die sich zum Beispiel im Dateianhang von Spam-E-Mails verstecken. Pharming wird auch mittels "DNS-Cache-Poisoning" erreicht. Dabei wird der DNS-Cache des Providers durch bestimmte Methoden mit präparierten Einträgen "vergiftet", indem man ihm schon vor einer Anfrage eine gefälschte Antwort schickt. Diese gefälschte Antwort wird im Cache des DNS gespeichert und bei Anfragen von Clients zurückgeliefert. Somit erreicht den User die falsche IP-Adresse für eine Domain, die in Wirklichkeit auf den Server des Angreifers verweist. Da Cache-Poisoning-Angriffe seit langem bekannt sind, gibt es auch Methoden zur Abwehr. Kaum ein System lässt sich damit noch austricksen. Allerdings machen Fehlkonfigurationen und Schwachstellen auch heute noch Server und Caching-Proxies verwundbar.

Nach Angaben des Sicherheitsdienstleisters Messagelabs haben Betrüger einen neuen Phishing-Trick entwickelt, um an die Anmelde- und Konteninformationen von Bankkunden zu gelangen. Dazu versenden sie E-Mails mit Scripting Code, der die Hosts-Datei von Windows-Rechnern manipuliert. Die Betrüger tragen für bestimmte Banken eigene IP-Adressen in die Hosts-Datei ein, die zu präparierten Servern führen. Selbst wenn man keinem Link folgt und stattdessen die URL per Hand eingibt oder einen Bookmark aufruft, landet man durch diesen Trick der Angreifer auf der falschen Seite. Bislang habe man bei Messagelabs aber erst wenige solcher Mails abgefangen. Abhilfe soll des Abschalten von Windows Scripting Host bringen. Auch Viren und Würmer, etwa MyDoom, manipulieren die Hosts-Datei, um Antivirensoftware am Online-Update ihrer Signaturen zu hindern.

Schutz vor Pharming

Was tun mit E-Mail-Irrläufern?

Manche Absender von Unternehmen oder Behörden geben bei E-Mails, auf die sie keine Antwort wünschen, eine vermeintlich fiktive "sprechende" Adresse nach dem Muster "donotreply@firma.de" an - sozusagen einen toten Briefkasten. Solange es nur eine fiktive Adresse der firmeneigenen Domain ist, mag das ja noch gehen. Schlimm wird es, wenn der Absender "irgendwas@donotreply.com" oder "irgendwas@dontreply.org" lautet. Etliche solcher Domains existieren tatsächlich und dann landet die Antwort eben nicht beim Absender der ursprünglichen E-Mail, sondern verschwindet in den Tiefen des Netzes.

Da stellt sich doch die Frage: "Was tun mit E-Mail-Irrläufern?" Teilweise wird das auch im folgenden Abschnitt geklärt ("Unnötige Disclaimer"). E-Mail ist ein Telekommunikationsdienst, der als solcher dem Fernmeldegeheimnis und den besonderen datenschutzrechtlichen Bestimmungen des Telekommunikationsgesetzes (TKG) unterliegt. Die Paragrafen 88 und 91 ff. dieses Gesetzes verpflichten jedoch nur Anbieter beziehungsweise Erbringer von E-Mail-Diensten zur Geheimhaltung und nicht den normalen Benutzer. Auch das Bundesdatenschutzgesetz (BDSG) behandelt nur die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten und auch das nur, wenn diese Daten nicht ausschließlich für private Zwecke verwendet werden. Ausnahme sind nur die Absenderadresse der fehlgeleiteten E-Mail oder andere personenbezogene Daten, die grundsätzlich nur erhoben, verarbeitet oder genutzt werden dürfen, wenn eine Rechtsvorschrift das vorsieht oder der Betroffene einwilligt.

Strafrechtlich betrachtet ist die Weiterleitung oder Veröffentlichung von E-Mails-Irrläufern meist unkritisch, sofern der Irrläufer keinen strafbaren Inhalt hat, der den Weiterleitenden selbst zum Täter machen würde (z. B. Kinderpornografie, verfassungsfeindliche Inhalte, urheberrechtsgeschützte Dateianhänge etc.). Nur wenn Sie auf Anzeichen der Planung sogenannte Kapitalverbrechen (Mord, Totschlag, Raub, Entführung usw.) stoßen, ist ein Gang zur Polizei anzuraten.

Lediglich wenn eine fehlgeleitete Mail urheberrechtlichen Schutz genießt, weil sie aufgrund ihrer sprachlichen und inhaltlichen Gestaltung als "Sprachwerk" im Sinne von Paragraf 2 des Urheberrechtsgesetzes (UrhG) anzusehen ist oder wenn sie Darstellungen wissenschaftlicher oder technischer Art (Pläne, Skizzen, Tabellen etc.) enthält, könnte sie urheberrechtlichen Werkschutz genießen und darf nur mit Einwilligung des Urhebers vervielfältigt, verbreitet oder öffentlich wiedergegeben werden.

Eine Verpflichtung, sich mit dem Absender in Verbindung zu setzen, um ihn auf seinen Fehler hinzuweisen besteht allerhöchstens dann, wenn man in irgendeiner Form von Geschäftsbeziehung mit ihm steht. Und nach dem Motto "Ihr habt den falschen ..." antworten muss man auch nicht (Wenn Sie Pech haben, liegt sogar eine gut getarnte Phishing-Mail vor, die genau das provozieren will).

Unnötige Disclaimer

Mehr und mehr Firmen erliegen dem Reiz des unerkannt Sinnlosen. Nach den paar Zeilen mit der eigentlichen Nachricht und der Signatur mit Absender, Aufsichtsrat, Vorstand usw. kommt noch ein ellenlanger Textblock, "disclaimer" genannt:
"Diese E-Mail enthält vertrauliche Informationen... 
Wenn Sie nicht der richtige Adressat sind... 
vernichten Sie... vergessen Sie... 
Weitergabe usw. nicht gestattet." 
Der Disclaimer verlangt vom Empfänger nicht nur Verschwiegenheit, sondern im Fall, dass er gar nicht gemeint war, gilt Lesen verboten, Löschen befohlen. Leider hat der Adressat bis dahin schon alles gelesen. Im Fall des Falles kann der Empfänger tatsächlich verpflicht sein, den Inhalt einer E-Mail nicht weiterzugeben. Das gilt übrigens unabhängig von einem Disclaimer. Andere Pflichten, z. B. das Löschen können getrost ignoriert werden. Denn ein Vertrag kommt durch die einseitige Aufforderung nicht zustande. Noch schlimmer: Kaum jemand liest den Disclaimer. Juristisch - so Rechtsprofessor Hoeren - ist der Disclaimer also völlig sinnlos, denn wer als Empfänger eines E-Mail-Irrläufers Kenntnis von Geschäfts- oder Betriebsgeheimnissen erlangt, macht sich in der Regel nicht strafbar. Dazu müsste er sich diese nämlich "unbefugt verschafft" haben, also zu diesem Zweck zumindest in irgendeiner Form selbst aktiv geworden sein.

Waren Sie der richtige Adressat, können Sie ja dann Ihrerseits den folgenden völlig sinnbefreiten Disclaimer von Koen van der Pasch an Ihre Antwort-E-Mail anhängen:

IMPORTANT: This email is intended for the use of the individual
addressee(s) named above and may contain information that is
confidential, privileged or unsuitable for overly sensitive
persons with low self-esteem, no sense of humour or irrational
religious beliefs. If you are not the intended recipient, any
dissemination, distribution or copying of this email is not
authorised (either explicitly or implicitly) and constitutes an
irritating social faux pas. Unless the word absquatulation has
been used in its correct context somewhere other than in this
warning, it does not have any legal or grammatical use and may be
ignored. No animals were harmed in the transmission of this
email, although the yorkshire terrier next door is living on
borrowed time, let me tell you. Those of you with an overwhelming
fear of the unknown will be gratified to learn that there is no
hidden message revealed by reading this warning backwards, so
just ignore that Alert Notice from Microsoft: However, by pouring
a complete circle of salt around yourself and your computer you
can ensure that no harm befalls you and your pets. If you have
received this email in error, please add some nutmeg and egg
whites and place it in a warm oven for 40 minutes. Whisk briefly
and let it stand for 2 hours before icing.
Literatur: Kyrill Makoski, Über den (Un-)Sinn von E-Mail-Disclaimern, in: Kommunikation und Recht 5/2007, S. 246–250

Disclaimer: Errors in spelling, tact, or fact are transmission errors!

Weiterführende Links

Zum Inhaltsverzeichnis


Copyright © Hochschule München, FK 04, Prof. Jürgen Plate
Letzte Aktualisierung: