27. Februar 2008
Ein Webmail-Postfach bei Web.de, GMX, Google-Mail etc. ist oft ganz praktisch und insbesondere bei Google kann man Mails recht lange dort gespeichert lassen. Allerdings besteht die Gefahr, dass andere Benutzer an den Mails interessiert sein könnten und irgendwie Zugriff auf das Webmail-Passwort erlangen. Ich erinnere hier nur an den Hushmail-Fall. Wie erkennt man nun so einen unberechtigten Zugriff mit dem eigenen Passwort?
Im Makeuseof-Blog hat Mark O’Neill eine clevere Methode beschrieben, mit Hilfe von Webbugs, kleinen in Mails eingebetteten Bildern, festzustellen wenn unberechtigt auf das eigene Webmail-Postfach zugegriffen wird:
- Man melde sich bei einem Webcounter an, z.B. www.onestatfree.com, bevorzugt mit einem unverdächtigen Namen
- Die Welcome-Mail löscht man und merkt sich nur die Account-ID die man später für den Zähler braucht
- Dann legt man eine interessante Datei, z.B. Passwortliste.html an. In diese HTML-Datei bettet man den Zähler ein
- Diese Datei schickt man per E-Mail an sich selbst. Am besten mit einem Subject, das einen Angreifer neugierig macht. „Wichtige Passwörter“ ist beispielsweise ein guter Betreff.
- Damit ist die Falle eingerichtet. Sobald jemand die Mail öffnet, erfasst der Zähler den Zugriff. Über die Auswertungsstatistik des Zählers kann man erkennen, wenn unberechtigte Zugriffe erfolgten.
- Der Onestatfree-Zähler speichert auch die IP-Adresse und damit weitere Informationen über den Angreifer. Unter Umständen genügt das bereits, den Täter einzugrenzen.
Sehr cool.
Geistige Notiz für mich: Beim Zugriff auf fremde Webpostfächer Javascript abschalten und keine Bilder von fremden Servern nachladen.
Das Bundesverfassungsgericht hat heute das Urteil zur Online-Durchsuchung verkündet und anscheinend sind alle begeistert und zufrieden.
Der GröIaZ Wolfgang Schäuble ist zufrieden, weil das BVG die Online-Durchsuchung nicht komplett verboten hat. Alle rechtschaffenden Demokraten in der BRD wie z.B. der CCC sind zufrieden, weil das BVG (relativ) hohe Schranken eingebaut hat. So braucht es einen konkreten Verdacht, nicht nur eine abstrakte Gefährdung und natürlich gibt es den Richtervorbehalt. Die Süddeutsche Zeitung geht sogar soweit, das Urteil des BVG mit dem „Volkszählungsurteil“ gleichzusetzen. Damals wurde die „Informationelle Selbstbestimmung“ als Grundrecht eingeführt, heute ein „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Die Hürde für eine Online-Durchsuchung ist faktisch damit sogar höher als für eine Hausdurchsuchung.
Ist also alles in Ordnung?
Meiner Meinung nach nein. Das Bundesverfassungsgericht bricht ohne Not mit diesem Urteil mit einem wichtigen nach 1945 eingeführten Grundsatz: Durchsuchungen dürfen nicht heimlich sein. Bei einer Hausdurchsuchung kann der Betroffene einen Zeugen hinzuziehen, in Abwesenheit ist die Durchsuchung nur in Beisein eines Zeugen zulässig. Gut, die Rechtspraxis sieht geringfügig anders aus aber immerhin. Mit dem heutigen Urteil ist zum ersten Mal in der Nachkriegsgeschichte in Westdeutschland wieder eine heimliche Durchsuchung wenn auch vorläufig nur Online zulässig. Vor der Heimlichkeit schützt auch der Richtervorbehalt nicht. Das ist ganz in der Tradition der Gestapo und der Stasi.
Natürlich werden wir erst in einigen Jahren sehen, wie sich die Online-Durchsuchung weiterentwickelt. Ich erwarte aber, da heimliche Durchsuchungen prinzipiell ja verfassungsgemäß sind, dass es zukünftig auch heimliche Hausdurchsuchungen gibt. Und für den Richtervorbehalt lässt sich bestimmt notfalls ein Geheimgericht einrichten. Die USA haben uns das mit dem „National Security Letter“ und dem „FISA Geheimgericht“ bereits vorgemacht.
Meine Vorhersage lautet: dieses Urteil wird im Rückblick trotz aller Freude, den Überwachungsirrsinn des Bundesinnenministers heute ein wenig eingedämmt zu haben als Dammbruch zur heimlichen Durchsuchung gewertet werden. Und ich fürchte, der Antidemokrat Schäuble freut sich auch deshalb weil er das sofort erkannt hat.