"Die heilige Kuh" von Bluewin

Ein Mail-„Service“ von Bluewin sorgt für Diskussionen

Ein Mail-Service von Bluewin/Swisscom sorgt für Diskussionen.

„Wissen Sie, was passiert, wenn man in Indien eine heilige Kuh anfasst?“ Eigentlich war Michael Bolliger über die Frage des anonymen Anrufers nicht überrascht. Offenbar war der Computer-Fachmann jemandem mächtig auf die Füsse getreten. Aber hier die ganze Geschichte von Beginn weg.

Michael Bolliger ist selbständiger „PC-Doktor“, wie er sich nennt. Seit 15 Jahren heilt er die Computer-Wunden seiner Kunden. Mitte November des vergangenen Jahres erhielt der 43-jährige Littauer einen Anruf eines Kunden. Dieser schilderte ihm das Problem, dass von seinem Bluewin-Mailaccount immer wieder E-Mails versendet werden, ohne dass er etwas damit zu tun habe. Pflichtbewusst habe er deshalb alle Passwörter geändert und den Computer des Kunden mit einem aktuellen Virenscanner durchsucht, so Bolliger gegenüber Radio Pilatus. „Ein paar Tage später rief der Kunde wieder an (bereits etwas verärgert) und erklärte, dass das Problem weiter bestehe.“ Als Michael Bolliger dann den Mail-Account neu konfigurierte, habe er aus Versehen das alte Passwort genommen und zu seinem Erstaunen, habe er trotzdem Mails verschicken können.

In seinen weiteren Tests stelle Bolliger fest, dass er über das Mailprogramm Outlook in wildfremdem Namen Mails verschicken kann, ohne irgendein Passwort einzugeben und so, dass der Empfänger das Gefühl hat, das Mail sei wirklich von diesem Absender. Die einzigen beiden Voraussetzungen dafür waren: 1. Als Absender musste er eine Bluewin-Adresse eingeben und 2. Er musste es mit einem Internetanschluss von Bluewin versenden. Michael Bolliger war überzeugt: „Das ist eine Sicherheitslücke von Bluewin.“ Und er wusste: Dagegen muss ich etwas unternehmen. „Es kann ja nicht sein, dass jeder einfach von einer fremden Bluewin-Mail-Adresse E-Mails verschicken kann - ohne dass er der wirkliche Eigentümer dieser Adresse ist.  Durch diese Möglichkeit  ergeben sich viele Varianten mit denen man dem eigentlichen Eigentümer bewusst schaden kann.“

„Wissen Sie, was passiert, wenn man in Indien eine heilige Kuh anfasst?“

Computer-Doktor Bolliger führte dann auf eigene Faust einige Anrufe bei Technikern von anderen Mailanbietern durch. „Jegliche Techniker, mit denen ich gesprochen habe, meinten nur, dass dies bei ihnen unter keinen Umständen funktionieren würde.“ Gemäss Michael Bolliger hätten sogar Techniker der Swisscom gesagt, dass sie es seltsam finden. Nach seinen Recherchen erhielt Bolliger Anfang Dezember plötzlich einen anonymen Anruf. Der Anrufer habe gefragt, ob er wisse, was passiere, wenn man in Indien eine heilige Kuh anfasse oder ihr irgendetwas zu leide tue. „Ich meinte dann: Ja, das sei keine gute Idee.“ Daraufhin habe der anonyme Anrufer gedroht, dass ich also die Finger davon lassen soll, von dem, was ich im Moment gerade mache. Es sei schlauer, wenn ich die kommenden Festtage in Ruhe geniessen würde…man wisse ja nie…

Das Login für Bluewin-Kunden von Swisscom

Für die Swisscom ist es ein „Komfort-Feature“

In einer offiziellen Stellungnahme an Radio Pilatus schreibt die Medienstelle der Swisscom, dass man diese Möglichkeit nicht als Sicherheitsproblem sehe, sondern es ein „Komfort-Feature für unsere Kunden“ sei. Die Kunden könnten sich so die Antwort auf eine andere Mail-Adresse zustellen lassen. Eine Anmeldung mit Passwort werde ausserdem nicht durchgeführt, da viele Kunden von Bluewin einen eigenen Mailserver betreiben würden.

Auf Nachfrage bei anderen grossen Schweizer Mailanbietern zeigt sich ein ganz anderes Bild. Dort ist dieses „Komfort-Feature“ nicht möglich. In einer Stellungnahme von green.ch heisst es beispielsweise: „Der beschriebene Vorgang ist auf unseren Systemen nicht möglich. Dies wäre aus Sicherheits- und Spamaspekten zu riskant.“ Und auch in der Antwort von upc Cablecom steht: „Über unsere Mailserver kann aus Sicherheitsgründen nur dann gesendet werden, wenn man sich mit einem gültigen Kundenkonto von upc cablecom authentifiziert hat.“ Eine Authentifizierung, also Anmeldung mit Benutzername und Passwort, ist notwendig. Bei Sunrise muss sogar die E-Mail-Adresse in den Benutzerinformationen identisch mit der E-Mail-Adresse der Anmeldeinformationen sein. Einzig bei den WWZ Telekom aus Zug ist das System ähnlich wie bei der Swisscom. Der Benutzer muss der WWZ bekannt sein, indem er sich über den Netzanschluss eindeutig authentifiziert. Eine zusätzliche Anmeldung beim Versand des Mails ist dann notwendig, wenn der Benutzer sich ausserhalb des WWZ Netzes befindet. „Die Identifizierung des Kunden ist damit jederzeit gewährleistet.“ heisst es in einer Stellungsnahme.

In einer zweiten Stellung der Swisscom heisst es dann auch: „Wir betrachten diese Funktionalität der freien Absenderwahl allerdings nicht als bedeutende Sicherheitslücke." Aus dem „Komfort-Feature“ ist doch eine Sicherheitslücke geworden – wenn auch keine bedeutende. Swisscom konzentriere sich auf wirksame Massnahmen gegen Cybercrime, heisst es in der Stellungnahme weiter. „Unseren E-Mail-Systemen sind aber alle Nutzer bekannt. Im Falle einer Anzeige oder Beschwerde können wir in jedem Fall den Kunden eruieren, über dessen Konto das E-Mail versendet wurde.“ Ungelöst bleibt jedoch das Problem bei offenen WLAN-Verbindungen von Bluewin. Der eigentliche Besitzer des Accounts ist dann nicht unbedingt der Übeltäter. Er müsste also eigentlich sein WLAN sichern, um sich nicht strafbar zu machen. Aber auf dieses „Komfort-Feature“ möchten wohl auch einige nicht verzichten. Immerhin, die Swisscom verspricht: „Wir werden aber dennoch in Zukunft weiter in die Sicherheit unseres E-Mail-Diensts investieren.“

Kommentieren

comments powered by Disqus