So einfach lassen sich Mails an die Polizei abfangen
Dieser Artikel ist älter als ein Jahr!
Tippfehler können jedem passieren. Doch beim Versenden von E-Mails an Behörden könnte das gravierende Folgen haben. So können etwa personenbezogene Daten in die Hände von unbekannten Empfänger*innen geraten. Der Sicherheitsforscher Sebastian Bicchi von Sec-Research hat deshalb im vergangenen Monat ein Experiment gestartet: Er hat zu Forschungszwecken einige Internet-Domains gekauft, darunter auch polizeigv.at. Auf den Domains waren keine Inhalte zu sehen. Stattdessen hat Bicchi einen Mailserver eingerichtet, mit dem es ihm möglich war, E-Mails abzufangen, bei denen sich Menschen vertippt hatten. Eigentlich hätten die E-Mails, die Bicchi in sein Postfach bekam, an die Polizei gehen sollen. Dieser gehört die Domain polizei.gv.at, mit einem zusätzlichen Punkt vor „gv.at“.
Sensible Inhalte wie Obduktionsberichte
„Innerhalb eines Monats sind bei mir über 100 E-Mails mit teilweise sehr vertraulichen Informationen angekommen“, erklärt Bicchi im futurezone-Gespräch. Darunter befanden sich neben Anzeigen und Videos auch eingescannte Reisepässe, Sprachnachrichten oder interne Dokumente. „Es waren schon sehr viele Sachen dabei, die Gewicht haben. Eine Ärztin hat etwa zweimal einen Obduktionsbericht an die falsche Adresse gesendet“, sagt Bicchi.
„Statistische Daten über Einsatzzahlen bei der Polizei waren auch darunter“, so Bicchi. Auch Mitarbeiter*innen des Innenministeriums sollen sich vertippt und Mails an polizeigv.at geschickt haben, so der Sicherheitsforscher. Er selbst gibt an, die Inhalte nicht „genauer angesehen“ zu haben. „Mir ist Datenschutz wichtig und ich habe keine Anhänge geöffnet“, erklärt Bicchi im Gespräch.
Beliebt bei Cyberkriminellen
„Ich wollte erforschen, wie viele E-Mails monatlich an eine falsche Adresse gehen und in falsche Hände geraten könnten, ohne, dass sich Angreifer*innen besondere Mühe machen müssen“, sagt der Sicherheitsforscher. Mit „in falsche Hände geraten“ meint er nicht sich selbst, sondern Cyberkriminelle. Diese setzen „Typosquatting“, wie das Ausnutzen von Tippfehlern in Fachsprache genannt wird, nämlich sehr gerne ein, um an sensible Informationen zu kommen. Im Anschluss werden Opfer erpresst oder die heiklen Daten weiterverkauft.
Viele große Unternehmen sichern sich daher auch die Domains, die so ähnlich klingen wie jene ihrer Firma. Österreichische Behörden tun das offenbar nicht, wie Bicchi herausfand. Denn er hat neben polizeigv.at auch noch die Domain bundeskanzleramtgv.at sowie bmeiagv.at erworben. Bei den beiden Einrichtungen gingen jedoch weit weniger E-Mails ins falsche Mailpostfach ein. Bicchi will die Daten nach der statistischen Auswertung löschen. Sein Resümee: „Das Missbrauchspotenzial ist extrem hoch. Nutzer*innen sollten gut aufpassen, wenn sie mit Behörden kommunizieren, ob sie sich nicht vertippen.“
Löschungsaufforderungen an nic.at
Der Sicherheitsforscher bekam durch sein Experiment außerdem Probleme mit den Behörden. Die Ministerien, die die Registrierung der ähnlich klingenden Domains entdeckt hatten, wandten sich an nic.at. Das ist die offizielle Registrierungsstelle für Domains in Österreich. Sie forderten nic.at auf, die Domainvergabe zu widerrufen. Das Außenministerium bestätigte gegenüber der futurezone, eine derartige Löschungsaufforderung verschickt zu haben. Daraufhin wurde der Registrar aktiv.
„Wir müssen uns immer den Einzelfall ansehen“, sagt Barbara Schloßbauer, Juristin bei nic.at gegenüber der futurezone. „In diesem Fall wurden Domains registriert, die Rechte eines Dritten verletzen“, so die Juristin. Konkret geht es um das Namensrecht, das verletzt worden sein soll. Laut AGB sei eine derartige Registrierung verboten. Bicchi sieht den Sachverhalt freilich anders. „Jeder kann eine beliebige Domain registrieren, so ist das Internet auch gedacht", sagt Bicchi.
Altes Gerichtsurteil als Entscheidungsbasis
Nic.at beruft sich auf ein Gerichtsurteil, das mehr als 20 Jahren vor dem Obersten Gerichtshof (OGH) ausgefochten wurde. Damals ging es um die Website fpo.at, bei der es Verwechslungsgefahr mit der Partei FPÖ gab. Demnach kann der Registrar haftbar gemacht werden, wenn er Löschungsersuchen nicht ausreichend prüft. Nic.at muss Rechtsverletzungen „aus Sicht eines juristischen Laien“ beurteilen und sich die Domains ansehen.
„Wir bekommen immer wieder Aufforderungen, Domains zu widerrufen. Wir haben seit dem Gerichtsurteil etwa 200 Aufforderungen zum Widerruf von Domains erhalten und in etwa 20 Prozent der Fälle diese tatsächlich widerrufen. Das geschah dann, wenn pro Einzelfall betrachtet eine Haftung der nic.at äußerst wahrscheinlich war“, erklärt Schloßbauer. Um eine Domain zu widerrufen, müsse es aber immer eine aktive Aufforderung geben, heißt es seitens nic.at.
Eine derartige Löschaufforderung war seitens des Bundeskanzleramts eingegangen, weshalb die Domain bundeskanzleramtgv.at widerrufen wurde. Auch das Justizministerium hatte die Domain justizonlinegv.at beanstandet. Das Innenministerium hatte bis zum Erscheinen des Artikels keine Löschaufforderung geschickt.
Update 26. Jän. 11 Uhr:
"Der Umtand ist bekannt. Im vorliegenden Fall wurden in rechtmissbräuchlicher Weise die Domains bmeiagv.at, bundeskanzleramtgv.at, polizeigv.at registriert. Nachdem die Verwechslungsgefahr dieser Domains immanent ist und diese Domainnamen hochgradig geeignet sind, die Rechte der betroffenen Ressorts zu verletzen und ganz offensichtlich über den Eigentümer bzw. Autor von Inhalten täuschen sollen, haben die betroffenen Ressorts bereits die Löschung dieser Domains beantragt. Weitere rechtliche Schritte werden derzeit geprüft", heißt es in einer Stellungnahme seitens des Bundesministerium für Inneres sowie des Bundeskanzleramts.
Bicchi will nicht alle Widerrufe hinnehmen
Bicchi hält es für problematisch, dass allen Widersprüchen nachgegeben worden ist. Vor allem bei der Domain bmeiagv.at, die der Abkürzung des Außenministeriums ähnelt. „Ich widerspreche der Auffassung von nic.at, dass eine Abkürzung, die derart zufällig erscheint, schützenswert im Sinne des Namensrechtes ist“, so Bicchi, der eine Klage in Erwägung zieht. „Es geht mir dabei aber gar nicht um die Domains, sondern um ein Grundsatzurteil“, so der Sicherheitsforscher.
Das Außenministerium selbst betonte gegenüber der futurezone, dass in letzter Zeit häufig ähnlich klingende Domains registriert worden seien, die in Folge für den Versand von Spoofing-Mails verwendet worden seien. Hier werden, anders als von Bicchi, von einer ähnlich wirkenden Mailadresse aktiv Mails an Nutzer*innen versandt, um vorzutäuschen, jemand anderer zu sein. Auch bei dieser Methode geht es den Cyberkriminellen darum, an persönliche Daten zu gelangen.
Außenministerium im Visier von Cyberkriminellen
Das Außenministerium gerät außerdem immer wieder ins Visier von Cyberkriminellen. Im Jänner 2020 hatte es einen wochenlangen Cyberangriff gegeben, einer „gezielten Attacke zur Informationsbeschaffung“, wie es damals hieß.
Auch auf Bicchis Mailservern landeten Login-Daten von Mitarbeiter*innen des Ministeriums. „Mitarbeiter*innen haben versucht, sich mit Mailadressen anzumelden und haben sich dabei vertippt. Dadurch gingen auch Zugangsdaten im Klartext ein. Diese habe ich selbstverständlich ohne Sichtung sofort gelöscht“, so der Sicherheitsexperte. Angreifer*innen würden dagegen weniger freundlich damit umgehen.
Update des Ministeriums: "Die offiziellen Email-Adressen der BMEIA-Mitarbeiter*innen werden ausschließlich von der eigenen IKT-Abteilung angelegt. Zudem darf festgehalten werden, dass in den letzten Monaten von den Systemen des BMEIA keine einzige E-Mail, an die Typosquatting Domain bmeiagv[.]at übermittelt wurde. Ebenso wurde auch keine E-Mail von dieser Domain empfangen."
Kommentare