Montag, 24. Juni 2019
Navigation öffnen

Gesundheitspolitik von JOURNALMED.DE

06. Juni 2018 IT-Forscher warnen vor Identitätsdiebstahl über ehemalige E-Mail-Adressen

Tatort: Internet, Verbrechen: Identitätsdiebstahl. Der beliebte Schauspieler und Münsteraner Tatort-Kommissar Axel Prahl kennt diesen Tatbestand – und zwar ganz real und aus der Perspektive des Opfers. Wie aktuell bekannt wurde, hat ein Betrüger die digitale Identität des Tatort-Stars gestohlen und kauft seitdem auf großem Fuß auf dessen Kosten ein. Treffen kann dieses Szenario beinahe jeden E-Mail-Nutzer. Wissenschaftler des Fraunhofer FKIE, der Rheinischen Friedrich-Wilhelms-Universität Bonn und der Technischen Universität Graz haben jetzt offengelegt, dass das Risiko, das insbesondere von abgelegten und erneut vergebenen kostenlosen E-Mail-Adressen ausgeht, für Verbraucher enorm groß ist.
Im Internet symbolisiert unsere E-Mail-Adresse unsere Identität. Mit ihr authentifizieren wir uns in Onlineshops, Social-Media-Kanälen und bei Webdiensten. Haben wir das Passwort vergessen, lassen wir uns dorthin ein neues zusenden. Alles ganz einfach, aber bei weitem nicht risikofrei. Im Gegenteil. Viele von uns sammeln im Laufe der Zeit zudem, privat wie beruflich, eine ganze Reihe von E-Mail-Adressen und geben diese beizeiten wieder zurück. Manchmal auch nicht ganz freiwillig, denn einige Anbieter kostenloser E-Mail-Adressen, sog. FreeMail Provider, geben die bei ihnen angemeldeten Adressen nach einem bestimmten Zeitraum ihrer Nichtnutzung wieder frei und vergeben sie erneut. Je nachdem, wie lange der betreffende Account zu diesem Zeitpunkt bereits brachliegt, bekommt der vorherige Adressinhaber davon unter Umständen nicht einmal etwas mit.

Problematisch hierbei ist, dass genau diese Adressen Angreifern leichtes Spiel bieten, um an sensible Daten ihrer Vorbesitzer, wie zum Beispiel Bankdaten, zu gelangen und diese für kriminelle Machenschaften zu nutzen. "Denn welcher Nutzer hat schon einen vollständigen Überblick darüber, mit welchen Daten er über seine E-Mail-Adresse wo angemeldet ist? Und wer kann somit schon lückenlos Sorge dafür tragen, dass auch jeder jemals auf die abgelegte E-Mail-Adresse angemeldete Webdienst auf die neue Adresse umgestellt oder gekündigt wird", erläutert Matthias Wübbeling, IT-Sicherheitsexperte und Wissenschaftler am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Bonn. Dies aber stelle eine Sicherheitslücke dar, die sich Angreifer zunutze machen.

Im Rahmen einer Sicherheitskonferenz Anfang Juli 2017 in Bonn sei er mit Kollegen von der Technischen Universität Graz über dieses Thema ins Gespräch gekommen, berichtet Wübbeling. Gemeinsam stellten die Wissenschaftler fest, dass sie an thematisch verwandten Fragestellungen forschen und dass eine Bündelung der Kräfte Aufschluss über die Reich- und Tragweite des soeben diskutierten Problems geben könnte. Das so aus purem Forscherinteresse heraus geborene Projekt wurde jetzt mit der Veröffentlichung eines Berichts unter dem Titel "Use-After-FreeMail: Generalizing the Use-After-Free Problem and Applying it to Email Services" abgeschlossen. Dieser wird auf der 13. ACM Asia Conference on Computer & Communications Security 2018, die vom 4. bis 8. Juni in Korea stattfindet, vorgestellt.

Die Bezeichnung "Use-After-FreeMail" ist dabei ein Wortspiel, das sich die Wissenschaftler zunutze machen. Denn der Begriff "Use-After-Free" stammt eigentlich aus dem Programmierungsbereich. Auf das Szenario der FreeMails übertragen steht es für die Problematik zu früh freigegebener E-Mail-Adressen und sich daraus ergebender Sicherheitslücken und Angriffsmöglichkeiten. Und die sind nach Erkenntnis der Forscher enorm groß und bislang ungelöst: So ergab die Auswertung eines bereits vorliegenden Datenbestands an FreeMail-Adressen, dass rund 33,5% von ihnen nicht mehr gültig sind. Weit mehr als bestätigt wurde dieses Ergebnis durch eine im Rahmen des Projekts durchgeführte Nutzerstudie, bei der sogar rund 60% der Teilnehmer angaben, über eine E-Mail-Adresse zu verfügen, die sie aktuell nicht mehr nutzen. Ein Testangriff auf diese war in 18% der Fälle erfolgreich.

Diese und weitere Ergebnisse haben die Forscher den wichtigsten FreeMail Providern mitgeteilt – zusammen mit Empfehlungen, wie sie ihre Kunden und Kundendaten künftig besser schützen können. Eine wichtige und sehr wirksame Möglichkeit lebt beispielsweise Google vor: Der Konzern vergibt E-Mail-Adressen grundsätzlich nur ein einziges Mal, anschließend sind sie nie wieder erhältlich. Eine weitere effektive Schutzmaßnahme stellt die Zwei-Faktor-Authentifizierung dar. Die ist zwar schon lange bekannt, wird in der Praxis jedoch kaum angewandt. Sicherheitsexperte Wübbeling: "Letztlich ist das "Use-After-FreeMail"-Szenario nur eines von vielen. Es lässt sich auf etliche andere Bereiche, wie beispielsweise auf abgelegte Mobilfunknummern oder Kfz-Kennzeichen, übertragen. Angriffe kommen auch hier vor. Für die Einführung geeigneter Schutzmaßnahmen besteht daher dringender Handlungsbedarf."

Quelle: Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE


Das könnte Sie auch interessieren

Geballtes Wissen zu Krebs für alle

Geballtes Wissen zu Krebs für alle
© Krebsinformationsdienst, DKFZ; Bild: Pixabay 849820

Der offizielle Startschuss fiel am 30. März 1999. Die Internetseite des Krebsinformationsdienstes (KID), einer Abteilung des Deutschen Krebsforschungszentrums, ging online. Heute nutzen monatlich rund 600.000 Besucher die Seite. Gefragte Themen sind Hintergründe zur Erkennung und Behandlung von Krebs, neue Therapieverfahren, aber auch Tipps zum Umgang mit der Erkrankung im Alltag. Alle, die sich vor Krebs schützen möchten, finden ausführliche Informationen über...

Selbsthilfe bei Lungenkrebs: Betroffene helfen Betroffenen

Krebspatienten fühlen sich oft überfordert – auch Patienten mit Lungenkrebs. Kaum ist die Diagnose gestellt, beginnen die ersten Therapien: Operationen oder viele Zyklen Chemotherapie fordern und verändern nicht nur den Körper, sondern auch das gesamte Leben mit einem Schlag. Die Psyche kommt so schnell kaum hinterher: Die meisten Betroffenen begreifen erst nach und nach, dass sich das Leben ab jetzt drastisch ändert und nie mehr so sein wird wie zuvor.

Sie können folgenden Inhalt einem Kollegen empfehlen:

"IT-Forscher warnen vor Identitätsdiebstahl über ehemalige E-Mail-Adressen"

Bitte tragen Sie auch die Absenderdaten vollständig ein, damit Sie der Empfänger erkennen kann.

Die mit (*) gekennzeichneten Angaben müssen eingetragen werden!

Die Verwendung Ihrer Daten für den Newsletter können Sie jederzeit mit Wirkung für die Zukunft gegenüber der rsmedia GmbH widersprechen ohne dass Kosten entstehen. Nutzen Sie hierfür etwaige Abmeldelinks im Newsletter oder schreiben Sie eine E-Mail an: info[at]rsmedia-verlag.de.


EHA 2019
  • Subgruppenanalyse der ELIANA- und ENSIGN: Tisagenlecleucel auch bei jungen Patienten mit r/rALL und zytogenetischen Hochrisiko-Anomalien sicher und effektiv
  • Polycythaemia vera: Molekulares Ansprechen korreliert mit vermindertem Thrombose-Risiko und einer Reduktion von Thrombose- und PFS-Ereignissen
  • AML-Therapie 2019: Neue Substanzen im klinischen Einsatz, aber nach wie vor hoher Bedarf an neuen Therapieoptionen
  • Eisenüberladung bei Patienten mit Niedrigrisiko-MDS auch in Pankreas und Knochenmark nachweisbar
  • CML: Switch auf Zweitgenerations-TKIs nach unzureichendem Ansprechen auf Imatinib in der Erstlinie führt zu tieferen molekularen Remissionen
  • FLT3-mutierte AML: Midostaurin wirksam bei allen ELN-Risikoklassen und bei unterschiedlichen Gensignaturen
  • Real-world-Daten: Transfusionsabhängigkeit und Ringsideroblasten bei Niedrigrisiko-MDS assoziiert mit toxischen Eisenspezies und verkürztem Überleben
  • Erstlinientherapie der CML: Nilotinib führt auch im klinischen Alltag zu tieferen molekularen Remissionen als Imatinib
  • Weltweite Umfrage bei Ärzten und Patienten zur ITP-Therapie unterstreicht Zufriedenheit mit Thrombopoetinrezeptor-Agonisten
  • Therapiefreie Remission nach zeitlich begrenzter Zweitlinientherapie mit Eltrombopag bei Patienten mit primärer ITP erscheint möglich