Phishingmails finden sich täglich im Posteingang. Doch heute ist mal eine neue Variante aufgetaucht: Diesmal sollen Inhaber eines Mailaccounts der Universität Hannover Kennungen und Passwörter für Ihren Account per Mail übermitteln. Der Wortlaut der Mails ist jedoch aufgrund der schlechten Übersetzung eher zur Erheiterung denn zur Täuschung geeignet.

Sehr geehrte uni-hannover.de Webmail-Konto-Nutzernamen,

Diese E-Mail ist aus (uni-hannover.de) Help-Desk und wir senden es zu jedem der (uni-hannover.de) User-Konten Benutzer für die Sicherheit / Schutz vor Spam-Mails.
Wir haben Engpässe aufgrund der anonymen Registrierung von (uni-hannover.de) Konten so sind wir heruntergefahren einige (uni-hannover.de) und Ihr Konto gehörte zu denjenigen, wieder aktualisiert durch diese Bedingung.
Wir senden Ihnen diese E-Mail, damit können Sie Ihr Konto auch für die Sicherheit und den Schutz von Ihrem Konto.

Ihr Benutzername, Passwort, Geburtsdatum und Ihr Land Informationen wäre erforderlich, zur Überprüfung Ihres Kontos.

• Benutzername: (------------)( Pflicht)
• Passwort: (------------)( Pflicht)
• Geburtsdatum: (------------) (optional)
• Land oder Gebiet: (------------) (optional)

Vor dem Senden Sie Ihre Kontodaten an uns, werden Sie beraten zum Login in diesem
Link: (Link entfernt)

Beachten Sie, dass, wenn Ihr Konto tun Login senden Sie uns die Details, wenn sonst bedeutet es, Es wurde bereits gelöscht. Sorry für die inconvinence Dies könnte dazu führen, dass Sie wir sind nur versuchen, um sicherzustellen, dass Sie feinen Leute mit unseren Konten.

Alles, was Sie zu tun haben, ist Klicken Sie auf Antwort und liefern die oben genannten Informationen, Ihr Konto wird nicht unterbrochen werden und wird auch weiterhin wie gewohnt. Vielen Dank für Ihre Aufmerksamkeit auf diese request. Once wieder Wir entschuldigen uns für etwaige Unannehmlichkeiten.

Warnung! Konto-Nutzer, die sich weigert, aktualisiert seine / ihre Rechnung nach 7 Tage nach Erhalt dieser Warnung wird verlieren seinem Konto dauerhaft.

Vielen Dank für Ihr Verständnis.

uni-hannover.de Help Desk

Es scheint sich hier nicht um eine Fall zu handeln, in dem Bankdaten o.ä. missbraucht werden, denn solche werden nicht erhoben. Vermutlich sollen durch den mit den Passwörtern ermöglichten Zugang zu den fremden Mailkonten Informationen aus den Mailboxen gewonnen werden - oder die Mailadressen sollen für den Spamversand oder die Registrierung bei anderen Diensten verwendet werden.

Die Uni-Hannover warnt inzwischen bereits auf ihrer Webmail-Login-Seite vor den Phishing-Mails.

Eines verstehe ich jedoch nicht: Wieso glauben die Absender, dass es etwas nützt, diese Mail an Mailaccounts bei der Universität des Saarlandes zu schicken?

Ein Kollege leitet mir eine Presseerklärung weiter, die er per Mail erhalten hat.



Mein Blick fällt zunächst auf den Header, von dem hier nur ein kleiner Abschnitt wiedergegeben ist. Sämtliche Empfänger dieser Mail sind unter Beifügung der vollständigen Empfängernamen im "To"-Feld aufgelistet. Zunächst ist dies höchst unpraktisch, da man vom Inhalt der Mail erst nach Scrollen Kenntnis nehmen kann. Wesentlich unerfreulicher ist diese Vorgehensweise jedoch unter Datenschutzgesichtspunkten. Den Empfängern werden auf diese Art nämlich sämtliche Namen und Mailadressen der übrigen Empfänger weitergegeben, ohne dass diese zuvor in die Weitergabe ihrer Daten eingewilligt haben.
Vermeiden kann man dieses Problem übrigens dadurch, dass man die zu verteilende Mail an sich selbst adressiert und die Empfänger in das Feld "Bcc" einträgt. Der Inhalt dieses Feldes wird - wie der Name "Blind Carbon Copy" bereits erkennen lässt, nicht an die Empfänger übertragen.

Eine gewisse Brisanz gewinnt dieser Fall allerdings, wenn man sich den Absender ansieht: Die Mail stammt aus dem Büro des Sächsischen Datenschutzbeauftragten, der mit diesem Mailing auf seine neugestaltete Webseite hinweist.

Besonders hervorgehoben wird in der auch online einsehbaren Pressemitteilung der Umstand, dass in den Access-Logs dieses Servers keine IP-Nummern im Access-Log gespeichert werden. Eine entsprechende Software namens "ipmask", mit der man Apache- und MS-Information Server so konfigurieren kann, dass die IP-Adressen automatisch maskiert werden, wird sogar gleich zum Download angeboten.

In dem von Werner Gutdeutsch moderierten Arbeitskreis Anforderungen an die Informationsverarbeitung und rechtliche Konsequenzen lag der Schwerpunkt auf der Organisation des E-Mail-Verkehrs und den rechtlichen Folgen mangelhafter Ablageorganisation.

Zunächst befasste sich Christian Golts mit der Problematk aus Sicht der Staatsanwaltschaft. Er berichtete, dass er bei Durchsuchungen regelmäßig nur in ca. 50% der durchsuchten Unternehmen oder Freiberuflerbüros einen Datenschutzbeauftragten antreffe; ordnungsgemäße Verfahrensverzeichnisse existierten fast nie. Das größte Problem sei aber, dass Mails nicht mandantenspezifisch abgelegt würden. Dies habe insbesondere bei der Durchsuchung von Dritten gemäß § 103 StPO die Identifizierung der eigentlich interessierenden Daten nicht zeitnah möglich sei. Oftmals habe das zur Konsequenz, dass die Staatsanwaltschaft zunächst den gesamten Mailverkehr beschlagnahmen müsse. Zwar müssten die Daten, die nicht Ermittlungsgegenstand seien, bei der Durchsicht aussortiert werden; komme es jedoch zu Zufallsfunden, werde ein Ermittlungsverfahren eingeleitet. Gerade bei Anwälten und Steuerberatern sieht Golts daher in der weit verbreiteten nicht-mandatsbezogenen Mailablage eine Verletzung des Mandatsgeheimnisses durch den Freiberufler.

Der EDV-Sachverständige Dr. Siegfried Streitz zeigt anschließend einige Lösungsansätze für eine ordnungsgemäße Mailverwaltung auf. So gebe es zum einen kommerzielle E-Mail-Managementsysteme, die neben der Erfüllung der oben genannten Anforderungen auch Doppelspeicherungen reduziere und die Weiderauffindbarkeit erleichtere; diese seien jedoch in der Regel recht teuer. Alternativ könne auch eine mandatsbezogene Ablage im Dateisystem erfolgen, falls sichergestellt sei, dass diese auch konsequent angewandt werde. Hier müsse auch auf die Wirtschaftsprüfer eingewirkt werden, diesen Punkt bei der Erstellung von Ordnungsmäßigkeits-Testaten zu beachten.
Anschließend ging Streitz noch kurz auf die Problematik der Online-Durchsuchungen ein.

Die Referenten stellten zum Abschluss noch 7 Thesen auf, die Sie zur Diskussion stellten:

1. Berufsgeheimnisträger gehen nur fachgerecht mit IT um, wenn sie die Anforderungen erfüllen (Ordnungsmäßigkeit der DV)
2. E-Mailmanagement muss bei Unternehmen und Freiberuflern obligatorisch sein (keine Sammelaufbewahrung)
3. Einhaltung grundlegender Datenschutzrechte und pflichten (z.B. Verfahrensverzeichnis)
4. Notwendigkeit von Fortbildungen und Qualifizierung
5. Haftung nach §§ 7 und 8 sollten in das Bewusstsein breiterer Bevölkerungsschichten gelangen
6. Ordnungsmäßigkeits-Zertifizierung für Freiberufler?
7. Qualitätsmerkmal von Wirtschaftsprüfern: Testats-Einschränkung?

...jedenfalls, wenn es nach AOL geht. Aber der Reihe nach: Das BVerfG verteilt regelmäßig einen Newsletter an über 12.000 Abonnenten. Seit neuestem häuft sich jedoch die Anzahl der unzustellbaren Mails. Ein Blick über die Bounce-Liste offenbart eine erstaunliche Gemeinsamkeit bei vielen der Rückläufer: Die Empfänger haben alle eine AOL-Adresse. Die Bounces schließlich warten mit der folgenden Nachricht auf:

----- The following addresses had permanent fatal errors -----
<***@aol.com>
(reason: 554-: (RLY:CS4) http://postmaster.info.aol.com/errors/554rlycs4.html)
----- Transcript of session follows -----

Auf der dort genannten Webseite heißt es:

EXPLANATION:
This error message indicates that your email has been identified as coming
from a server or web site that may have a compromised script or program
available.

Die Website des BVerfG wird vom Institut für Rechtsinformatik betreut; die Server-Software ist auf dem neuesten Stand; die verwendeten Skripts entsprechen auch den Sicherheitsstandards. Warum also hält ausgerechnet AOL diese Skripts für nicht vertrauenswürdig?

Nachforschungen ergeben, dass noch andere Administratoren, die Mail per php verschicken, mit ähnlichen Problemen kämpfen. Wie sich herausstellt, ist nicht ein fehlerhaftes Skript für den Ärger verantwortlich, sondern der Standard-Eintrag für den sendmail-path in der php.ini. Ist dort nicht explizit eine von "apache" verschiedene Absendeadresse enthalten, bewertet AOL eine über PHP versandte Mail pauschal als SPAM. Hier ist man dann wohl doch ein wenig über das Ziel hinausgeschossen...

Nun hat es mich also auch getroffen! Der Bundestrojaner ist über meinen Rechner hergefallen - jedenfalls falls ich einer Mail mit dem Absender "Herbert K***, Kriminaldirektor, LKA Rheinland-Pfalz" Glauben schenke:

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: 81.116.171.157

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert K***, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 - 97**
Fax: 06131 - 97**
Mobil: 0171 - 750***
Mail: ***@aol.com

Diese Mail ist natürlich nicht echt. Als gesetzestreue Juristin lade ich selbstverständlich keine illegalen Kopien aus Tauschbörsen herunter; ein "Bundestrojaner" - so er denn sowohl mein Misstrauen als auch meine Firewall überwunden hätte, hätte seine Suche ergebnislos beenden müssen .

Die angeblich von mir genutzte IP-Adresse 81.116.171.157 gehört zum IP-Adressraum der telecomitalia (host157-171-static.116-81-b.business.telecomitalia.it). Zudem erscheint es doch ein wenig unglaubwürdig, das das LKA Rheinland-Pfalz seine Mails über polnische Mailserver verschickt; im Mailheader ist als Ursprungsort der Mail angegeben: static-21-199-112-85.radom.pilicka.pl [85.112.199.21].

Auf das Öffnen der der Mail angehängten zip-Datei, die angeblich das Protokoll der Online-Durchsuchung enthält, habe ich dann doch lieber verzichtet - nicht dass da noch ein Bundestrojaner drin ist. Unbegründet ist diese Befürchtung jedenfalls nicht - nach einem Bericht bei heise.de enthalten diese Mails einen Virus.

Die Ironie dieser Mail liegt jedoch darin, dass wohl zahlreiche Nutzer diese Mails für echt gehalten haben und sich bei den als Absender genannten Stellen beschwert haben. In gewisser Weise können sich die betroffenen Dienststellen bei Minister Schäuble bedanken, der die Online-Durchsuchung derart propagiert, dass die Bürger ihrem Staat derartige (jedenfalls bisher) rechtswidrige Ermittlungsmaßnahmen zutrauen.

(Namen und Telefonnummern in der Mail anonymisiert, da es sich vermutlich um Angaben unbeteiligter Personen handelt)