Ist Ihr eMail Passwort sicher?


Thomas Wölfer
Thomas Wölfer

06. Juli 2004


Sichere eMail ?

Wenn Sie Ihr eMail-Programm einrichten - also zum Beispiel Outlook oder Outlook Express - dann müssen Sie für das Mail-Konto ein Passwort eingeben. Nur mit diesem Passwort können Sie die eigene Mail vom Mail-Server abholen und auf Ihrem eigenen Rechner lesen. Nachdem es unpraktisch ist das Passwort jedesmal neu eingeben zu müssen, speichert Outlook das Passwort ab, und überträgt es beim nächsten Mal automatisch.

Wenn Sie das Passwort eingeben, dann erscheinen im zugehörigen Fenster nur Sternchen ( **** ). Das vermittelt den Eindruck das die Sache schon recht sicher ist: Wie sollte schon jemand an das Passwort gelangen, wenn man das noch nicht einmal lesen kann während es eingegeben wird?

Leider täuscht dieser Eindruck - und zwar mehr als Sie vermutlich erahnen. Das Protokoll zum abholen von eMail vom Mailserver ist wie so viele Protokolle eines aus der Steinzeit der vernetzten Rechner: POP3 (Post Office Protocol Version 3). Und wie für alle der uralt-Protokolle gilt auch für POP3: Die Uebertragung von Texten - und von zwar von allen Texten - erfolgt im Klartext.

Das bedeutet: Wenn Ihr eMail-Programm Ihre Mail vom Mail-Server abholt, dann sendet es zuvor Ihre Account-Daten (also Benutzername und Passwort) an den Mail-Server: Und zwar als unverschlüsselter, direkt lesbarer Text.

Passworte als Klartext

Das klingt noch nicht so dramatisch, denn schließlich ist dabei ja nur Ihr eigener Rechner und der eMail-Server beteiligt, richtig? Falsch! Sogar ganz falsch: Alle Daten die zwischen Ihrem Rechner und dem Mailserver ausgetauscht werden - und dazu gehören auch die Benutzerdaten - können von jedermann mitgelesen werden der sich in Ihrem Subnetz, dem Subnetz des Mailservers oder irgend einem der Subnetze zwischen den beiden Mail-Rechnern befindet.

Mit anderen Worten: Wenn Ihr Rechner in einem Firmen-LAN steht, dann kann jedermann in diesem LAN Ihr Passwort im Klartext lesen.

Dazu braucht es auch keine speziellen 'Hacker' Tools oder besonders tiefgreifende Kenntnisse... ein bisschen Grundwissen über TCP und eines der gängigen und frei verfügbaren Tools reichen aus. Ganz ehrlich: Das mithoeren ist auch nicht wesentlichen schwieriger als das eigentliche versenden der eMail.

Wenn Ihr LAN dann über einen ISP ans Internet angeschlossen ist, dann läuft dieser Anschluss über einen Rechner des ISP. Jedermann der dort sitzt kann mithoeren. Ferner kann natürlich jedermann mithoeren der sich in dem LAN befindet, in dem auch der Mailserver steht. Und schließlich kann auch noch jederman mithoeren, der sich in irgendeinen Netz dazwischen befindet. Und nein - der Lauscher muss nicht direkt am belauschten Rechner sitzen - es reicht, wenn er sich im gleichen LAN befindet.

Das ist übrigens kein Sicherheitsproblem von Outlook oder Microsoft, sondern eines von POP3: Und damit eines der Industrie im Ganzen.

Was kann man dagegen tun

Wenn man nun nicht möchte das das eigene eMail-Passwort in fremde Hände gelangt, kann man sich aber schützen: Dazu gibt es SSL (Secure Socket Layer) für POP3 und SMTP. Das wird von allen ernst zu nehmenden eMail-Clients unterstützt. Bei POP3 über SSL werden die Verbindungsdaten verschlüsselt an den Mail-Server übertragen: Die Daten können weiterhin mitgelesen werden - nur eben nicht mehr im Klartext. Wer lauscht, der muss zunächst die Verschlüsselung umgehen, und das schafft einen durchaus ernst zu nehmenden Schutz für Ihre Mail-Kommunikation.

Die Aktivierung von SSL für POP3 (und SMTP) ist dabei ganz einfach: Meist muß man nur eine Option einschalten. In Outlook-Express (und Outlook) findet man die unter den 'Erweiterten' Eigenschaften der Mail-Konten mit der Beschriftung 'Dieser Server erfodert eine sichere Verbindung (SSL).

Der Haken

Der Haken an der Sache ist dabei: Ihr Mail-Server muss ebenfalls SSL unterstützen, und Sie benötigen ein Zertifikat vom Mail-Server, das Sie in Windows installieren müssen. Die Installation des Zertifikates ist kein Problem - und auch praktisch alle Mail-Server Programme die es gibt unterstützen POP3 über SSL. Die Frage ist aber: Unterstützt Ihr eMail-Provider das auch - bzw.: gibt der diese Möglichkeit an Sie weiter?

Das gilt es herauszufinden. Unterstützt Ihr Mail-Provider diese Möglichkeit nicht, dann ist das in meinen Augen ein guter Grund, sich einen anderen Provider zu suchen. Und zwar sofort. Würde die Post nur noch Briefe ohne Umschlag befördern, dann würden Sie Ihre Post ja auch mit einem alternativen Dienst wie UPS verschicken.