Gefährliches Internet

Jeder Internetnutzer wird eine oder auch mehrere davon haben und auch mehr oder weniger regelmäßig nutzen. Sie sind der Dreh- und Angelpunkt unseres digitalen Selbst. Gemeint ist die allgegenwärtige Mailadresse. Man benötigt sie, um mit Freunden und Kollegen zu kommunizieren, zur Onlinebewerbung bei einem anderen Arbeitgeber, aber auch um sich bei diversen Diensten, wie Facebook, Twitter, Amazon und Co anzumelden. Das macht das eigene Mailpostfach zum Zentrum unseres digitalen Lebens. Und das wissen leider auch diverse kriminelle Persönlichkeiten, die sich auf Kosten anderer Leute gern bereichern wollen.

Wurde die E-Mailadresse von Fremden gekapert, so ist es ein Leichtes, sich über die Funktion Passwort vergessen bei verschiedenen Diensten, sich ein neues Passwort zuschicken zu lassen und sich mit dem beispielsweise bei Facebook oder Amazon anzumelden. Das kann ernsthafte Rufschädigungen oder finanzielle Schäden zur Folge haben, wenn nicht noch schlimmeres.

Deshalb gibt es im Internet Dutzende verschiedener Dienste, die sogenannte Einmal-Adressen oder Wegwerfadressen anbieten. Diese nutzt man beispielsweise, um sich bei verschiedenen Foren und Diensteanbietern zu registrieren, empfängt dort seinen Link zur Aktivierung des Accounts und löscht die Adresse gleich wieder, oder nach einem bestimmten Limit an eingegangenen Mails per Hand oder automatisch. Eine Liste mit Wegwerfadressen hat Google ausgespuckt und wird am Ende des Artikels als Link eingefügt.

Wie kann ich meine Mailadresse und Accounts von anderen Anbietern am besten sichern?

Allerdings ist es nicht immer mit Wegwerfadressen getan. Man braucht wenigstens eine oder zwei dauerhafte Mail-Adressen für die alltägliche Korrespondenz – beruflich oder privat. Natürlich hat man auch Accounts bei Amazon, Ebay, Facebook, Banken und so weiter. Deshalb heißt es überall: Absichern.

Die erste Sicherheit ist das Passwort. Es sollte möglichst lang sein und eine zufällige Folge von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. Zur Erstellung solcher zufälligen Passwörter gibt es Passwortgeneratoren, direkt für Windows, oder als AddOns für die beliebten Browser Chrome und Firefox.

Legitim ist es, sich auch Zettelchen zu schreiben, auf denen man seine Passwörter vermerkt und diese sicher zu verwahren. Man sollte aber auch immer den Verlust einkalkulieren und nicht sämtliche Daten zum Passwort aufschreiben. Oder man chiffriert hier das Passwort noch ein wenig.

Um sich lange Passwörter einfacher merken zu können, baue ich mir ein langes Passwort aus zwei Zufallsgruppen aus Ziffern, Buchstaben und Sonderzeichen zusammen, getrennt durch ein spezielles Sonderzeichen. Die eine Buchstabengruppe ist leicht oder durch häufige Eingabe zu merken. Die zweite Zeichengruppe ist völlig zufällig und unterscheidet sich von Dienst zu Dienst. Notiert wird eben nur der zweite Teil, der erste Teil steckt bei mir im Kopf. Ein solches Passwort kann wie folgt aussehen:

H8/z2#1GsdT5@A1b2d3E4

Man merkt, die zweite Zeichengruppe ist leicht zu merken, die behält man einfach im Kopf. Den ersten Teil kann man getrost aufschreiben, denn ohne den zweiten Teil ist er faktisch wertlos.

Seit geraumer Zeit gibt es hier in Europa eine neue Richtlinie zur Datensicherheit, FIDO2 genannt. Diese verpflichtet Onlinedienstleister, wie Mailprovider, Onlinewarenhäuser, Banken und andere zu einer Zwei-Faktor-Authentifizierung (2FA).

Früher war es gang und gäbe als zweiten Faktor eine oder zwei Fragen mit Antworten beim Dienstleister zu hinterlegen. Häufig genutzte Beispiele waren die Frage nach dem Mädchennamen der Großmutter oder ähnlich. Das mag zwar nirgendwo bei Facebook stehen, ist aber durch Dreistigkeit durchaus zu erfahren. Social Energeering heißt das zu Neudeutsch.

Die direkte Frage „Wie hieß deine Oma mit dem Mädchnnamen?“ wird wohl niemand direkt beantworten, schon keinem Fremden. Das geht aber auch anders herum in einem Unverfänglichen Gespräch konnte dann schonmal folgender Dialog zustande kommen: „Hieß ihre Oma Müller?“ „Nein, Meier, aber ohne Ypsilon!“

Das hat sich heutzutage der Technik und Regulierungen sei Dank geändert. Neben dem recht unsicheren Passwort, werden bei Mailprovidern und anderen Onlinediensten beispielsweise Handynummern hinterlegt, die beim Login einen Code zugesandt bekommen, der zusätzlich eingegeben werden muss, wobei die SMS TAN auch wegen der Unsicherheiten mit Sim-Karten und im Handynetz zurückgedrängt werden.

Bei Banken setzt es sich immer mehr durch, den sowieso schon vorhandenen TAN-Generator und eine EC-Karte zu Nutzen um für den Login eine zusätzliche TAN zu generieren – als Ausweis sozusagen. Auch immer mehr Apps wurden als zweiter Faktor für Überweisungen und den Login bei der Bank entwickelt und sollen laut Banken recht sicher sein.

Viele Dienste bieten mitterweile auch an, die zumeist 6-stelligen Codes für die Zwei-Faktor-Authentification per App auf dem Smartphone oder Tablet zu generieren. Das sind meist zufällige Ziffernfolgen, mit recht begrenzter Haltbarkeit (meist 1 Minute). Bei den meisten Diensten ist die Einrichtung recht einfach. Die meisten solcher Authentificator-Apps liefern einen QR-Code-Scanner, mit dem man einen solchen Code ins Gerät einliest. Mit diesem werden nach einem bestimmten Zufallsprinzip diese Ziffernfolgen generiert.

Fazit

Es bedeutet schon einen Mehraufwand alle Accounts mit sicheren Passwörtern und einem zweiten Faktor auszustaffieren. Der Sinn dahinter ist es, die Masse an Hackern mit etwas Mehraufwand zu verschrecken. Die suchen sich meist die leichteren Opfer aus, die mit wenig Aufwand zu knacken sind. Geheimdienste sind schon eine andere Nummer, aber die größte Gefahr geht immer noch von den Allerweltskriminellen aus, die mit euren Daten Geld verdienen wollen oder euch irgendwie Schaden wollen. Der geringe Mehraufwand, einen Code oder eine TAN einzutippseln lohnt sich allerdings.

E-Mail Verschlüsselung mit Thunderbird – Ein How To

Thunderbird Logo
Thunderbird Logo

Der neue Mailer von Mozilla ist draußen. Thunderbird mit der Versionsnummer 78. Und er bringt eine integrierte Ende-zu-Ende-Verschlüsselung mit – durch die enge Integration sehr vereinfacht und intuitiv. Um was es genau geht, erfahrt ihr hier.

Was ist Ende-zu-Ende-Verschlüsselung?

In der Regel sind E-Mails nichts anderes als ganz einfache Postkarten, die man im Urlaub mit besten Wünschen versieht und an den einen oder anderen daheimgebliebenen Empfänger verschickt. Eine Postkarte kann ein Postmitarbeiter beim Leeren des Posteinwurfkastens lesen oder im Verteilerzentrum oder der Postbote, der die Karte im heimischen Briefkasten versenkt.

E-Mails funktionieren ähnlich. Geschrieben werden diese am heimischen PC, der die fertige Mail dann dem Server des eigenen Mailproviders übergibt. Von dort aus wandern die Mails zum Postkasten des Empfängers (auf den Servern eines anderen Mailproviders). Auf eben jenen Servern ist die geschriebene Mail noch für jeden, der Zugriff auf die Server hat (sei es ein Mitarbeiter des Mailproviders oder ein fieser Hacker) lesbar. Das nennt man Klartext.

Ende-zu-Ende-Verschlüsselung setzt jetzt auf den PCs von Sender und Empfänger an. Im einfachsten Fall chiffiriert (neudeutsch für verschlüsselt) der Computer des Senders automatisch und ohne weiteres Zutun die Mail während des Sendevorganges. Das geht mit der heutigen Technik schon recht fix und der Sender merkt vom Chiffirieren nichts. Genau das Selbe passiert beim Empfänger in Gegenrichtung. Er ruft die Mail ab und der Computer entschlüssselt diese während des Ladevorganges und der Empfänger kann die Mail in Ruhe lesen.

Dieser ganze Vorgang passiert im Idealfall auf den heimischen Endgeräten, sei es der PC oder Laptop, aber auch das Smartphone oder Tablet. Doch die Praxis sieht auch hier ganz anders aus.

Was bringt diese Verschlüsselung eigentlich?

Fakt ist – jede Verschlüsselung kann mit mehr oder weniger (Zeit)Aufwand geknackt werden. Allerdings ist dieser Aufwand schon eine Hürde und schreckt die meisten, die fieses im Sinn haben, ab. Der Sinn hinter der ganzen Aktion ist ein Sicherheitsgewinn, der eigentlich mit wenigen Handgriffen installiert sein sollte. Private und geschäftlche Kommunikation geht im Prinzip niemanden etwas an, gerade weil da auch viel persönliches (oder geschäftliches) versendet wird, was im Zweifel nur der Empfänger lesen darf. Aber keine Angst, mit dem neuen Thunderbird ab Version 78, bekommt man schon alle Tools an die Hand und die Verschlüsselung ist schnell eingerichtet. Aber vorher noch etwas zu den Grundlagfgen.

Wie funktioniert die Ende-zu-Ende-Verschlüsselung eigentlich?

In früheren Artikeln über Verschlüsselung, habe ich das Problem schon erklärt, aber es passt hier auch wieder wunderbar zum Thema und deswegen kommt das auch hier wieder rein. Wem das zuviel ist, kann ja diesen Absatz überspringen.

Bei E-Mails gibt es immer mindesten 2 Leute, die an einer Korrespondenz beteiligt sind. Im Prinzip müssen sich alle (Sender und Empfänger) einig sein, eine Verschlüsselung einzusetzen. Denn Verschlüssselung heißt, daß jeder ein eigenes Schlüsselpaar, bestehend aus öffentlichem und geheimen Schlüssel, besitzen muss, mit dem zu sendende E-Mails chiffriert und empfangene dechiffriert werden. Das besagt prinzipiell schon alles.

Der Öffentliche Schlüssel wird öffentlich gemacht, beispielsweie über Schlüsselserver, oder als Anhang einer E-Mail. Der geheime Schlüssel wird daheim auf dem eigenen PC verwahrt.

Bob will nun seinem Freund Anton eine E-Mail schreiben, beide wollen in Zukunft auf die sichere Verschlüsselung setzen. Nun generieren beide ein Schlüsselpaar. Anton schickt seinen öffentlichen Schlüssel dem Bob zu und Bob macht das selbe mit seinem öffentlichen Schlüssel.

Jetzt schreibt Bob seine E-Mail und verschlüsselt die mit dem öffentlichen Schlüssel Antons und seinem (Bobs) geheimen Schlüssel. Anton empfängt jetzt erst einmal unleserliches Kauderwelsch. Doch in Kombination mit seinem eigenen geheimen Schlüssel und Bobs öffentlichen wird die Mail lesbar.

Was benötigt man nun zum Verschlüsseln von E-Mails?

Einfach gesagt: Nur noch Thunderbird ab Version 78. Der Mailclient liefert schon alles von Haus aus mit. Man braucht keine komplexen Installationen mit OpenPGP, Enigmail und Schlüsselverwaltung mehr. Der aktuelle Donnervogel vereint das alles für den PC (Linux, Mac und Windows) unter einer Haube.

Die Erstellung eigener Schlüssel ist hier nun sehr einfach. Man klickt einfach auf die Mailadresse, die gesichert werden soll und dann auf Ende-zu-Ende-Verschlüsselung. Im nächsten Menü auf Schlüssel erstellen.

 

Verschlüsseln mit Thunderbird
Verschlüsseln mit Thunderbird

 

Hat man sich für die Ende-zuEnde-Verschlüsselung entschieden, kann man bereits vorhandene Schlüssel einsehen oder einen neuen Schlüsseln Generieren.

Verschlüsselung Schritt 2
Verschlüsselung Schritt 2
Verschlüsselung Schritt 3
Verschlüsselung Schritt 3

Hier hat man nun die Wahl zwischen RSA und einer eliptischen Kurve. Beides sind verschiedene Kryptografieverfahren. Da ich jetzt nicht zu Tief in der Materie drin stecke, kann ich jetzt auch nicht beurteilen, welches Verfahren das sicherere und zukunftsträchtigere ist. Fakt ist jedenfalls, daß man die Schlüssellänge so lang wie möglich wählen sollte, denn das erhöht den Zeitaufwand beim Entschlüsseln enorm. Selbst mit einem Verfallsdatum kann man, wenn man möchte, das eigene Schlüsselpaar ausstaffieren.

Verschluesselung Schritt 4
Verschluesselung Schritt 4

 

Wo liegen die Vor- und Nachteile?

Thunderbird bringt schon alles fürs sichere Mailen am PC mit – Kryptografietool und eine Schlüsselverwaltung. Generell macht es der Mailer auch Anfängern einfacher, sicher zu kommunizieren. Im Falle eines Daten-GAUs durch Trojaner oder einfach nur, weil ein neuer PC her soll, kann man die Schlüssel samt Einstellungen mit dem Profil-Ordner Umziehen oder sichern. Das habe ich bereits in anderen Artikeln beschrieben.

Nicht so einfach und trivial wird das Portieren des eigenen Schlüsselpaares und der gesammelten öffentlichen Schlüssel (Schlüsselbund) von Kommunikationspartnern auf ein Smartphone oder Tablet sein. Auf absehbare Zeit wird es kein Thunderbird für Android oder iOS geben, in den man einfach den Profil-Ordner vom PC packen kann. Damit wird man, es sei denn man hat ein Workaround gefunden, seine verschlüsselten Mails nicht lesen und bearbeiten können.

Fazit

Die Integration der beschriebenen Verschlüsselungstools in den beliebten Mailclient Thunderbird, ist schon ein Schritt in die richtige Richtung. So wird das Verschlüsseln eigener E-Mails zugänglicher und leichter, ohne die zusätzliche Installation von Software, die das erledigt. Jetzt müssen plattformübergreifend weitere beliebte Mailclients nachziehen und insgesamt den Austausch der eigenen Schlüsselpaare vereinfachen. Das was Mozilla mit Thundrbird macht, ist vorbildlich. Bleibt zu hoffen, daß unser Donnervogel in Zukunft zum Mailen, geschäftlich wie privat eingesetzt wird. So braucht man für verschlüsseltes und sicheres Mailen kein komplexes Workaround mehr, weil man schon alles aus einem Guss hat.

Weiterführende Artikel

  1. Wie man Firefox und Thunderbird wieder herstellt
  2. Firefox und Thunderbird ganz mobil

Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen

Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel.

Nachdem nun die Details zum Angriff auf die heute veröffentlichten Sicherheitslücken in PGP und S/MIME bekannt geworden sind, bleiben viele Anwender verunsichert und fragen sich, was sie tun müssen, um nach wie vor sicher verschlüsselte Mails versenden zu können. Wir wissen, dass Angreifer unter Umständen verschlüsselte Mails abfangen und manipulieren können, um an den entschlüsselten Inhalt der Mails – oder zumindest Teile davon – zu gelangen. Die als Efail bekannt gewordene Schwachstelle betrifft dabei die meisten gängigen Mail-Programme, die HTML-E-Mails empfangen und darstellen können wenigstens in Teilen. Um sich und seine Geheimnisse zu schützen, gibt es mehrere Möglichkeiten.

Ein guter Anfang ist damit gemacht, das Anzeigen externer Bilder in Mails zu unterbinden. Das ist sowieso zum Schutz der Privatsphäre, auch bei unverschlüsselten Mails, immer empfehlenswert. Wer damit Leben kann, Mails als Plaintext ohne HTML angezeigt zu bekommen, sollte das Anzeigen von HTML in Mails deaktivieren und ist damit nach aktuellem Kenntnisstand erst mal sicher.
Mail-Programme und Plug-ins aktualisieren

Laut der Veröffentlichungen der Efail-Entdecker ist S/MIME weitaus angeschlagener als PGP. Eigentlich sind alle von ihnen getesteten Programme, die HTML und S/MIME unterstützen, betroffen. Beim Einsatz von PGP sind vor allem Thunderbird (mit Enigmail), Outlook 2007, Apple Mail und Airmail betroffen.

Anwender sollten jetzt vor allem ihre Mailprogramme und Verschlüsselungs-Plug-ins aktualisieren. Die Enigmail-Entwickler empfahlen auf Nachfrage von heise online, mindestens auf Version 2.0 des Plug-ins zu aktualisieren, in dem die Efail-Lücken bereits geschlossen wurden. Nutzer mit aktuellen Thunderbird- und GPG-Versionen sollten dieses Update über die automatische Update-Funktion des Plug-ins bereits erhalten haben. Thunderbird hat mit Version 52.7 fast alle der Sicherheitslücken geschlossen, Version 52.8 verspricht weitere Fixes. Bis dahin empfehlen die Entwickler, Mails nur als Plaintext anzuzeigen.

Sichere PGP-Clients

Die PGP-fähigen Mailprogramme K-9 Mail und Delta.chat für Android waren nicht von den Lücken betroffen. Das teilten deren Entwickler auf der Mailingliste des PGP-Werkzeugs autocrypt mit. Man beobachte die Situation allerdings aufmerksam und werde auch diese Apps updaten, falls das in Zukunft nötig wird. Die Entwickler wollen also nicht ausschließen, dass nicht doch noch Wege entdeckt werden, wie man die Efail-Schwachstellen mit ihren Apps ausnutzen kann.

Die Programme des pEp-Projektes sind ebenfalls nicht angreifbar, da sie aus Sicherheitsgründen das Nachladen von externen Bildern deaktiviert haben. Wie uns die Entwickler mitteilten, konnten sie Angriffe auf Efail-Angriffe auf pEp for Outlook nicht reproduzieren.

Grundsätzlich lassen sich alle Risiken nur mit Veränderungen an den zugrundeliegenden Protokollen für PGP und S/MIME ausräumen. Die Protokolle müssen besser die Integrität der verschlüsselten Mails sicherstellen, damit Angreifer diese nicht auf dem Weg zum Empfänger manipulieren können. Bis solche grundlegenden Änderungen greifen, wird allerdings noch einige Zeit ins Land gehen.

Mails extern entschlüsseln, HTML abschalten

Am sichersten ist es, verschlüsselte Mails nicht im Mail-Client zu entschlüsseln. Die Entdecker der Efail-Lücke empfehlen, den verschlüsselten Ciphertext aus der Mail zu exportieren und in einem eigenständigen Programm (etwa der Kommandozeilen-Ausgabe von GPG) zu entschlüsseln. Auf diesem Wege kann ein eventuell anfälliges Mailprogramm oder dessen Plug-Ins den geheimen Inhalt der Nachricht nicht an den Angreifer im Web verraten. Allerdings ist das ein sehr umständlicher und für die meisten Endbenutzer wohl unakzeptabler Ansatz.

Wer seine Mails trotzdem im Mailprogramm entschlüsseln will oder muss, der schaltet am besten den Empfang von HTML-Mails ab und lässt alle Nachrichten als Plaintext darstellen. Das stopft zwar nicht alle möglichen Schwachstellen, sollte momentan allerdings so gut wie alle praktischen Angriffe verhindern. Entsprechend sind auch Plaintext-Only-Clients wie Claws oder Mutt nicht betroffen.

Auch die meisten Web-Apps scheinen sicher zu sein. Eine Ausnahme bildet Gmail mit S/MIME und auch der Mailer Horde ist für GPG-Angriffe und, falls der Nutzer mithilft, für die S/MIME-Schwachstellen verwundbar. Roundcube scheint unter bestimmten Umständen für PGP-Lücken anfällig zu sein. Es bleibt zu hoffen, dass die Anbieter die verbliebenen Lücken bald schließen. Admins von Webmail-Systemen sollten hier auf jeden Fall ein wachsames Auge auf Updates halten und diese zeitnah einspielen.

 

Quelle: heise.de

Autor: Fabian A. Scherschel

Erpressungstrojaner als Word-Dokument getarnt

VorsichtWir leben wieder einmal in Zeiten, in denen man allgemein den Dateianeghängen in den Mails mißtrauen sollte. In letzter Zeit häufen sich die Vorfälle, in denen präparierte Word-Dateien Computer infizieren. Die aktuelle Welle ist sogar bis ins Innenministerium von NRW vorgedrungen.

 

Bei Dateianhängen der neuesten Mails sollte man besonders vorsichtig sein, auch wenn die Absendeadresse von einem Bekannten stammt. Aktuell rollt eine Viren-Welle durch das Internet, bei der die Schädlinge – in erster Linie Verschlüsselungstrojaner – mit auf den ersten Blick harmlosen Word-Dokumenten (.doc) oder Zip-Dateien (.zip) daherkommen.

Die Word-Dateien weisen gefährliche Makros auf und die Archive enthalten bösartige ausführbare Dateien (.exe) oder JavaScript (.js). Auf JavaScript setzen die Angreifer, da dieses von vielen Mailservern nicht blockiert wird. Von der Viren-Welle sind in erster Linie Windows-Nutzer betroffen.

Bis zur Inbfektion sind allerdings mehrere Handgriffe notwendig. Beim Empfang einer Mail mit entsprechendem Anhang passiert ersteinmal gar nichts. Öffnet der Empfänger den Anhang, kann dieser eine bösartige ausführbarde Datei starten, die sich im System einnistet. Versteckt sich der Schadcode in einem Zip-Archiv, muß man dieses erst öffnen und die entpackte Datei ausführen. Es sind also mehrere Schritte nötig um die Infektion einzuleiten.

Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Da die Ganoven ihre Malware anscheinend regelmäßig warten, kommen die Anbieter von Antiviren-Anwendungen nicht hinterher, denn Leser von heise online berichten, dass ihre Virenscanner oft nicht anspringen.

Mittlerweile häufen sich die Berichte, daß Nutzer mittlerweile auch von Verwandten und Bekannten Mails mit schädlichem Dateianhang bekommen haben. Den Anhang sollte man bei bekanntem Absender nicht abnicken, sondern vorher ersteinmal nachfragen, ob der von der Mail auch etwas weis. Denn oft genug nutzen kriminelle Elemente gekaperte Mail-Accounts für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounst gleich mit.

Erschreckend dabei ist, daß sich die Angreifer immer plausiblere Formulierungen einfallen lassen, damit der Empfänger den infizierten Dateianhang öffnet.

Wenn von einer bekannten Adresse Dateien versendet werden, fragt einfach beim Versender nach, was das ist. Weiß er nichts von der Mail, dann ist definitiv ein Trojaner drin. In dem Fall, sollte der Bekannte sein Passwort zu seinem Mailaccount sofort ändern.

Vorsicht vor extrem gut gemachten Phishing-E-Mails
Auch aktuelle Phishing-E-Mails werden immer perfider und selbst versierte und skeptische Internet-Anwender können auf die vermeintliche PayPal-Buchungen oder Amazon-Warnungen vor „ungewöhnlichen Logins“ hereinfallen.

In diesem Fall sollte man immer die URL, zu dem der Link aus einer Phishing-E-Mail führt, untersuchen, denn etwa

sicherheitscenter-9830.amazon-daten-updates.ru

gehört nicht zur Amazon-Domain.

Verschlüsselungstrojaner im Innenministerium

Im Zug der aktuellen Viren-Welle sorgen vor allem Verschlüsselungstrojaner für Frust. So einen hat sich auch das nordrhein-westfälische Innenministerium Mitte dieser Woche eingefangen und verschiedene Computer in der Verwaltung vorsorglich abgeschaltet. Sicherheitsrelevante Systeme, etwa von der Polizei, sind aber nicht betroffen, berichtet der WDR.

schaedlich
schaedlich

Pflicht zur End-to-End-Verschlüsselung

Das deutsche Verbraucherschutzministerium will sich in Brüssel für die Verschlüsselung von Nutzerdaten bei Internetdienstanbietern stark machen. Wenn es nach den Staatssekretären geht, so soll eine Ende-zu-Ende-Verschlüsselung in der Grundverordnung für Datenschutz feststehen. Wenn ein Nutzer explizit auf Kryptographie verzichten will, soll auf diese Sicherheitsstandards verzichtet werden.

Bisher bieten nur wenige Anbieter eine komplette Verschlüsselung der Nutzerdaten an. DE-Mail und Mail Made in Germany sind nicht ausreichend geschützt, da die Nutzerdaten nur auf den Transportwegen verschlüsselt sind und auf den Servern ungesichert vorliegen.

Geht es nach den deutschen Verbraucherschützern, muß eine End-to-End-Verschlüsselung gesetzlich festgelegt sein und von Haus aus standardmäßig aktiviert sein. Nur wenn „der wissende Kunde“ auf eine verlässliche Variante der Verschlüsselung verzichten will, so soll das Datenschutzzniveau abgesenkt werden.

Weiterhin soll eine stärkere Überwachung der in Europa agierenden Konzerne festgeschrieben werden. Das soll heißen, daß beispielsweise Datenschutzbehörden sich die Verfahren zur Kryptografie der Banken und anderen Unternehmen wissenschaftlich fundiert und sicher sind.

Fazit

Bleibt abzuwarten, wie die gesetzlichen Regelungen genau aussehen werden und wie diese dann von den einzelnen Unternehmen umgesetzt werden. Open-Source Software bietet durch das Viele-Augen-Prinzip eine erhöhte Sicherheit. Aber in wie fern solche Software eingesetzt wird, steht noch in den Sternen. Eine Ende-zu-Ende-Verschlüsselung funktioniert nur, wenn jeder Nutzer ein Schlüsselpaar aus langen und zufällig generierten Schlüsseln besitzt – einem öffentlichen Schlüssel und einen privaten Schlüssel – wobei der öffentliche Schlüssel zum Verschlüsseln der Mails getauscht wird. Sicher bleibt das ganze nur, wenn jeder Nutzer nur selbst Zugriff auf seinen eigenen geheimen Schlüssel hat, der nicht öffentlich zugänglich auf fremden Servern herumliegt.

Sicherheitsnotiz – Trügerische Mail made in Germany

Mail made in Germany
Mail made in Germany
Zum heutigen Tag soll die Initiative Mail made in Germany der Mail-Provider abgeschlossen sein. Alle Nutzer der deutschen Mail-Dienste Web.de, GMX, Telekom und Freenet versendenihre E-Mails über verschlüsselte Transportwege. Kurzum bedeutet das in der Theorie für die Nutzer folgendes: Die Verbindung zwischen den Computer des Nutzers und einem der oben genannten Provider ist via TLS/SSL verschlüsselt. Weiterhin verschlüsseln die genannten Dienste die Transportwegen zwischen ihren Servern auch via TLS/SSL. Ob andere Mailanbieter eine Verschlüsselung des Transportweges auch annehmen, ist ersteinmal etwas Fragwürdig.

Was bedeutet das für den Kunden? Eine versendete E-Mail kann jetzt nur noch direkt am Server der Provider oder am Computer des Kunden abgefangen und gegebenenfals verändert werden. Die Wege zwischen den einzelnen Stationen sind gesichert. Aber das ganze ist immer noch eine trügerische Sicherheit. Auf den Computern von Sender und Empfänger, aber auch auf den Servern der Mail-Providern (also in den Postämtern) liegen die Mails unverschlüsselt. Bei einem Datenabriff durch kriminelle Elemente oder Geheimdienste sind diese E-Mails immer noch lesbar. Um dem abhilfe zu schaffen, sollten Sender und Empfänger die Mail an ihren Rechnern direkt ver- und Entschlüsseln. Weiterhin können Angreifer die Sende- und Empfängerserver durch Fluten des DNS Caches mit falschen Antworten über eigen Server umleiten. Der Sender hält wegen der falschen DNS-Antwort den Server des Angreifers für das Ziel und gibt ihm Mails preis, die nicht für ihn bestimmt sind.

E-Mail Made in Germany – SSL-Zwang startet in Kürze

Ab 31. März 2014, also in gut einer Woche, startet die Initiative E-Mail Made in Germany der deutschen Internetprovider GMX, Freenet, Web.de und Telekom. Das geht einher mit dem Zwang zur SSL verschlüsselten Verbindung zu den IMAP, POP3 und SMTP Konten. Konkret heißt das, daß die Verbindung zwischen eigenem Computer, oder auch Smartphone und Tablet und dem Server des jeweiligen Mailproviders prinzipiell verschlüsselt ist. Somit hat es ein Angreifer schwerer, auf dem Weg zwischen den einzelnen Vermittlungsstellen (Computer des Senders, Sendeserver – Empfängerserver, Empfängercomputer) Mails mitzuschneiden. Allerdings ersetzt das keine Ende-zu-Ende-Verschlüsselung via PGP oder S/MIME. Durch die Transportverschlüsselung werden nur die Wege zwischen den einzelnen Stellen verschlüsselt, allerdings nicht die E-Mail an sich selbst.

Wer sich nun ab dem 31. März 2014 via Mailclient vom Computer (beispielsweise Thunderbird oder Outlook) oder App vom Smartphon bzw vom Tablet ohne SSL-Verbindung einloggen möchte, bekommt nur noch eine oftmals recht kryptische Fehlermeldung. Die Nutzer der Weboberflächen der Provider betrifft die Änderung nicht direkt. Dort wird gleich auf SSL gesetzt. Daher sollte in den genannten Mailclients die entsprechenden Einstellungen vorgenommen werden. Was genau geändert werden muß, steht weiter unten in der Tabelle. Die notwendigen Einstellungen lassen sich mit wenigen Mausklicks am Computer und Wischgesten am Smartphone einstellen. Einen Mehrwert bringt derZwang zu SSL Verbidungen gerade an öffentlichen W-LAN Hostspots. Dort ergibt sich durch die aktive Transportverschlüsselung von Mails und Passwörtern ein Vorteil.

ProviderIMAPPOP3SMTP
Freenetmx.freenet.de:143 (STARTTLS)mx.freenet.de:110 (STARTTLS)mx.freenet.de:587 (STARTTLS)
GMXimap.gmx.net:993 (SSL)pop.gmx.net:995 (SSL)mail.gmx.net:587 (STARTTLS)
mail.gmx.net:465 (SSL)
Telekomimap.t-online.de:993 (SSL)
imapmail.t-online.de:993 (SSL)
secureimap.t-online.de: 993 (SSL) (2)
popmail.t-online.de:995 (SSL)
securepop.t-online.de: 995 (SSL) (2)
smtpmai.t-online.de: 446 (SSL)
securesmtp.t-online.de: 465 (SSL)
Web.deimap.web.de:993 (SSL) (1)pop3.web.de:995 (SSL)smtp.web.de:587 (STARTTLS)
(1) Nur für Web.de Clubmitglieder verfügbar, sonst POP3
(2) Keine Umstellung erforderlich, da SSL bereits aktiviert

Die vier genannten Mailprovider, Telekom, GMX, WEB.de und Freenet haben ausführliche Hilfetexte, mit Bildern und Screenshots zu gängigen Mailclients und Smartphone/Tablet Apps auf ihren Hilfeseiten zusammengestellt. Links zu diesen Hilfeseiten finden Sie wieder ganz unten unter den Links zum Artikel.

Links

  1. Hilfeseite Freenet
  2. Hilfeseite GMX
  3. Hilfeseite Telekom
  4. Hilfeseite Web.de

Weitere Artikel zum Thema

  1. Sicherheitsnotiz – Telekom und der verschlüsselte Mailtransport
  2. Mail Made in Germany – Mailprovider in Deutschland werben um Vertrauen

Sicherheitsnotiz – Telekom und der verschlüsselte Mailtransport

Nach United Internet (GMX und Web.de) zieht die Telekom mit der Verschlüsselung der Transportwege für Mails nach. Nun sollen die Mails auf dem Transport vom Kunden zum Telekom eigenen Mailserver und zwischen den Mailservern der Telekom und anderen Mail-Providern künftig per SSL verschlüsselt werden. Bis zum 31. März will die Telekom ihre Mailserver entsprechend umgestellt haben.

Nutzer, die ihre Mails über das Webfrontend der Telekom verschicken und empfangen, werden den Wechsel nicht zu spüren bekommen. All Jene, die einen Mailclient (beispielsweise MS Outlook oder Thunderbird) nutzen, müssen ihr Programm mit wenigen Schritten auf das neue Verfahren einrichten. Wie das geht, beschreibt die Telekom auf dem unten genannten Link. Ein tutorial für sämtliche Mailclients zu erstellen, würde hier den Rahmen sprengen. Die Telekom hat diese Arbeit schon recht gut und bebildert erledigt.

Aber Achtung: Die Verschlüsselung der Transportwegen zwischen den Mailserver und dem Kunden ist keine End-to-End Verschlüsselung. Die Mails liegen noch unverschlüsselt im Klartext auf den jeweiligen Mailservern. Die Verschlüsselung der Transportwege bringt nur den Vorteil, daß die Nachrichten auf dem Weg von einem zum anderen Empfänger nicht abgefangen und verändert werden können. Bricht jemand direkt auf Mailserver mit unverschlüsselten Mails ein, so kann er auf diesem Weg an den begerten Inhalt kommen.

Bei vielen anderen Mail-Providern ist eine Verschlüsselung der Transportwege via SSL Standard. Telekom und United Internet betreiben die Kampange Mail made in Germany seit bekannt werden der Lauschangriffe der NSA. Mit dieser Methode möchte man unerfahrene Nutzer in relativer (Un)Sicherheit wiegen.

Wer seine Mails wirklich komplett verschlüsseln will, sollte daher auf einen Mailclient setzen und auf seinem Rechner mit Verschlüsselungsprogrammen wie Pretty Good Privacy bestücken, die jeweils einen privaten und einen öffentlichen Schlüssel erzeugen. Wie das genaue Verfahren dazu abläuft, habe ich bereits im Artikel Privates verschlüsselt – Sicher Chatten mit Pidgin angerissen.

Wie man genau seine Mails sichert, beschreibt der Heise Zeitschriftenverlag in einem Sonderheft der c’t.

Links:

  1. Telekom SSL Verschlüssleung für den Mailclient
  2. c’t wissen Sichere E-Mail

Ähnliche Artikel zum Thema

E-Mail Hack und Identitätsdiebstahl

In dieser Woche hat eine Nachricht in Deutschland wieder einmal für Furore gesorgt. 16 Millionen E-Mail Postfächer wurden von einem Kriminellen Botnetz geknackt. E-Mailadressen und dazugehörige Passwörter wurden entwendet.

Was war passiert?

Ein sogenanntes Botnetz hat mehrere große Mail-Provider angegriffen und 16 Millionen Mail-Adressen samt Passwörter von den Servern der betroffenen Dienstanbieter gestohlen.

Was ist ein Botnetz?

Server von Diensteanbietern und Nutzercomputer sind über das Internet zu einem globalen Computernetzwerk zusammengeschaltet. Die Computer und Server tauschen Daten untereinander aus und kommunizieren so mit einander.

Jetzt werden die Rechner von beliebigen Internetnutzern mit Maleware (neudeutsch für Schadsoftware) infiziert. Die jeweiligen User bemerken davon natürlich ersteinmal nichts. Diese Schadsoftware stiehlt sich von den Rechnern, auf denen sie installiert ist, ein paar Systemressourcen, in dem Fall Rechenleistung und Netzwerktraffic. Pro Computer ist das recht wenig und der User kann ohne merkliche Einschränkungen seinen Rechner weiter nutzen. In einem Botnetz sind aber mehrere Hundert bis Tausend solcher Rechner aktiv und so kommt schon einiges an geklauter Leistung zusammen.

Kurz gesagt: Eine bestimmte Software, hier der Bot, wird über eine Hintertür oder eine Sicherheitslücke auf viele Computer verteilt und wird von einer Person, in dem oben geschilderten Fall von einem Kriminellen, ferngesteuert und damit auf große Diensteanbieter losgelassen. Unter geballter Rechenpower werden schnell Sicherheitslücken bei Diensten wie Mailprovider gefunden und diese dann zum Diebstahl von sensiblen Daten ausgenutzt.

Welche Gefahr birgt der Diebstahl von Mailadressen samt Passwort?

Nein, ich will hier nicht schwarzmalen, aber die Gefahr ist nicht zu unterschätzen. Die meisten Internetnutzer besitzen nur eine oder maximal zwei Mailadressen bei den unterschiedlichsten Mail-Anbietern. Neben dem Schreiben von E-Mails wird diese natürlich auch benötigt, um sich bei verschiedenen Shoppingseiten (beispielsweise Amazon) oder sozialen Netzwerken (Facebook, Google+, Twitter und co.) aber auch bei Zahldienstleistern wie Paypal anzumelden. Die aufgezählten Dienste haben alle eines gemeinsam: Ihre Mailadresse, mit der Sie sichd dort registriert haen.

Wenn man das so sieht, ist das ersteinmal nicht weiter schlimm. Sämtlicher Mailverkehr von genannten Diensten läuft zentral auf ein Postfach. Wird dieses gekapert, wie jetzt bekannt wurde, haben nun gewisse kriminelle Elemente Zugang zu den wichtigsten Diensten, die Sie nutzen und das geht recht einfach.

Viele Shoppingseiten, aber auch sozale Netzwerke haben eine Funktion, die unter Umständen recht nützlich ist. Passwort vergessen schickt schnell ein neu generiertes Passwort andie Mailadresse, oder eine E-Mail, die den Nutzer auf eine Seite weiterleitet, wo man sich ein neues Passwort für den jeweiligen Dienst eingeben kann.

Wurde die Mailadresse gekapert, werden nun systematisch große Dienste durchprobiert, wo man sich mit dieser Adresse registriert hat. Manch ein Mailnutzer macht es einfach und lässt Mails über Bestellungen gleich im Mail-Archiv oder der History liegen. Kriminelle können das nun gezielt durchforsten, um viel genutzte Dienste ausfindig zu machen.

Im Falle von Shoppingseiten kann ein recht großer materieller Schaden entstehen. Beispiel Amazon: Hier hinterlegt man Kreditkartendaten oder Kontonummer, um bequem per Lastschrift zahlen zu können. Haben kriminelle Elemente sich über die Mailadresse zu Amazon Zugang verschaft, brauchen sie nur noch die Adresse zu ändern und lassen sich Waren und Produkte zuschicken, die Rechnung geht zu Lasten dem eigentlichen Kontoinhaber.

Bei Sozialen Netzwerken steht der materielle Schaden nicht ganz so im Vordergrund. Haben Kriminelle einmal Zugang dazu, wissen diese gleich wo der Profilinhaber arbeitet und wohnt, welche Kontakte er pflegt und so weiter. Das bietet kriminellen Elementen nun die Möglichkeit im Namen von Fremden Betrügereien einzufädeln oder den Ruf von Fremden zu schaden, was beispielsweise zur Kündigung im Betrieb führen kann.

Wie kann ich mich dagegen Schützen?

Es gibt hier leider kein Patentrezept, aber ein paar recht nützliche Tips, die man beherzigen sollte, auch wenn einige davon schon recht abgedroschen klingen mögen.

  1. Computer, Firewall und Virenscanner aktuell halten um nicht in den Genuss einer Schadsoftware zu kommen. Natürlich im Internet auch den gesunden Menschenverstand walten lassen.
  2. In gewissen Regelmäßigen Abständen die Passwörter bei genutzten Internetdiensten erneuern, das ist ganz wichtig bei den genutzten Mailadressen. Nicht genutzte Accounts bei Diensten einfach löschen
  3. Zum Anmelden bei verschiedenen Internetdiensten entweder mehrere Mailadressen nutzen oder sogenannte Wegwerfadressen (Google hilft hier weiter) nutzen. Diese Wegwerfadressen gelten beispielsweise für nur ein paar Minuten oder für einen oder mehrere Registrierungsvorgänge und werden dann gelöscht, wenn sie nicht mehr benötigt werden. So wird die Gefahr verringert, daß beim Kapern einer Mailadresse gleich sämtliche genutzten Dienste herausgefunden werden
  4. Jeder genutzte Dienst sollte ein anderes Passwort haben ansonsten machen sich kriminelle Elemente die Faulheit der Nutzer, die mit einem Passwort Zugang zu vielen Diensten haben, zu eigen.
  5. Passwörter können ruhig die maximale Zeichenanzahl haben und sollten in keinem Wörterbuch stehen. Das heißt, es sollte eine rein zufällige Ausdwahl von Klein- und Großbuchstabenm, Ziffern, Umlauten und Sonderzeichen sein. Je zufälliger das Passwort ist, desto größer ist auch der Aufwand dieses zu knacken.

Fazit:

Die E-Mail Adresse ist heutzutage noch das zentrale Element in der Kommunikation im Internet. Auch wenn so manch einer sagt, daß die E-Mail auf einem sinkenden Schiff ist, kommt keiner drum herum, sich mit dieser bei den verschiedensten Diensten anzumelden. Wurde die Mailadresse einmal von Fremden gekapert, kann man aus dieser schnell ausgesperrt werden und die eigene Identität geklaut werden. Was für Folgen das hat, dürfte jetzt nun klarer sein. Es ist daher von essentieller Wichtigkeit, seine Mailadresse und seinen Rechner gut vor den Gefahren aus dem Internet zu schützen.

Mail Made in Germany – Mailprovider in Deutschland werben um Vertrauen

Seit ein paar Tagen werben drei große Mailanbieter aus Deutschland mit sicheren Mailverschlüsselung unter dem Namen Mail Made in Germany. Doch was nützt dieses Verfahren dem Endkunden wirklich? Hilft es gegen die Spionage durch BND, NSA und andere Geheimdienste?

Erst einmal zu Mail Made in Germany. GMX, Web.de und die deutsche Telekom werben neuerdings mit einer Technologie, die seit gut 2 Jahrzehnten bekannt ist. Diese Technologie heißt SSL/TLS und soll den Mailverkehr zwischen dem Absender, dem Mailprovider (hier GMX, Web.de und Telekom) verschlüssen.

Was soll dabei passieren?

Der Absender einer E-Mail loggt sich mit seinem Mailprogramm, beispielsweise Outlook oder Thunderbird oder mit seinem Browser in sein Postfach bei einem der drei genannten Anbieter ein. Dieses Postfach liegt auf einem großen Server, der die abgesendeten E-Mails entgegennimmt und an die Empfänger ausliefert.

Vergleichen wir das ganze mit einem anderen Konzept, der deutschen Post. Vereinfacht dargestellt ist eine E-Mail eine Postkarte, jeder, der die Karte in der Hand hat, kann lesen was drauf steht. Diese Postkarte schafft der Absender zur Post, die diese entgegen nimmt und dann zum Empfänger ausliefert.

Hat sich der Briefeschreiber mit seinem Browser oder Mailprogramm bei seinem Postfach angemeldet kann er schon mit dem Schreiben seiner Mail loslegen. In der Regel geschieht das noch auf dem Rechner desjenigen, der die Mail verfasst.

Klickt er auf den Knopf mit der Aufschrift Versenden, wird die E-Mail, also unsere Urlaubspostkarte, dem Mailprovider, wie die Postkarte der Post, übergeben. Nun kann aber auf dem Weg zwischen dem Computer unseres Briefe schreibenden Absenders und dem Server des Mailproviders so allerhand passieren. Jemand kann die Mail abfangen, lesen und verändern, das geht aber bereits erst mit einigem technischen Aufwand. Und da greift jetzt SSL/TLS.

Auf dem Weg zwischen Absender und Mailprovider, bzw auf dem Weg zwischen Mailprovider und Empfänger wird unsere elektronische Postkarte verschlüsselt. Nun wird es schwieriger die Mail zwischen den einzelnen Stationen zu entführen und zu verändern oder auch nur zu lesen. Eine Mail gelangt meist über mehrere Stationen vom Absender zum Empfänger. Der Absender übergibt die Mail an einen Server seines Mailproviders. Der Absenderserver sucht in einem Register wo denn der Empfänger gemeldet ist und übergibt die Mail dann an den Server des Mailproviders wo der Empfänger eingetragen ist, also wo er sein Postfach hat. Dieser Server legt dann die Mail in das Postfach des Empfängers. Also kommen auf dem Weg der Mail vom Absender zum Empfänger mindestens noch zwei Stationen dazu, in der Praxis kann das aber noch mehr werden, wenn die Mail noch durch verschiedene Netze geroutet werden muss.

Was hat der Kunde von dieser Verschlüssselung?

Mit dieser Technologie werben jetzt Web.de, GMX und die Telekom. SSL/TLS ist schon fast zwanzig Jahre alt, wurde aber in den letzten Jahren, was die Kommunikation via E-Mail anbetrifft, nie wirklich genutzt. Jetzt führen genannte Provider diese Sicherheit ein und bewerben es für den Laien als die ultimative und neueste Sicherheit gegen Prism, Tempora und co.

Für den Endkunden bedeutet es nur, daß der Weg zwischen Absender und Mailserver beziehungsweise zwischen Mailserver und Empfänger und zwischen den einzelnen Mailservern gesichert ist. Ob die Mails selbst auf den Mailservern noch verschlüsselt sind, wird verschwiegen.

In den Enthüllungen von Edward Snowden wurde, laut verschiedensten Meldungen in den Medien, auch behauptet, daß diverse Diensteanbieter in der Kommunikationsbranche, vorrangig in England, dazu verdonnert wurden, an an ihren Servern sogenannte Abhörschnittstellen zu installieren. Ob und in wie weit soetwas in Deutschland passiert ist derzeit noch unklar. Durch solche Berichte wird jedenfals das Vertrauen in Diensteanbieter grundlegend erschüttert. Ob das auch noch andere Dienste betrifft, ist derzeit unklar.

Fazit

Die Ideen der deutschen Mailprovider sind ein schwacher Anfang in die richtige Richtung, klingen aber vor dem Hintergrund der Spähgaffäre insgesamt wie Hohn. In den letzten Jahren kam von keiner Stelle aus eine richtige Initiative, die dem Otto-Normal-Endkunden praktikable und verständliche Lösungen angeboten haben, seine Daten sicher und für andere unleserlich über das Internet zu versenden. Momentan muß jeder Endkunde sich vor Augen halten, daß eine E-Mail nichts anderes ist als eine Postkarte, die jeder lesen, verändern und kopieren kann. Von den Mailprovidern müssen langsam praktikable Lösungen für alle kommen, denn sonst bleibt Verschlüsselung nur denjenigen vorbehalten, die sich tiefer mit der Materie auskennen. Durch diesen Ansatz kann man den drei Mailprovidern Telekom, GMX und WEB.de nicht wirklich hundertprozentig vertrauen, denn eine Mail ist wirklich erst sicher, wenn man diese mit PGP oder S/Mime verschlüsselt versenden kann. Die alleinige verbarrikadierte Verbindungen zwischen den einzelnen Sendestationen reicht nicht aus, die Mails müssen auch weiterhin auf den Servern der Provider verschlüsselt bleiben das ist nur durch PGP erreichbar. Es muss also ein komplettes Umdenken in der Kommunikationsbranche her, sonst hat jeder Nerd seine eigene Insellösung und die restlichen 90 Prozent der breiten Masse mailen noch ungesichert und für jeden Geheimdienst gut mitlesbar. Zumindestens sind gut gesicherte Mails für einige Zeit vor unbefugtem Zugriff sicher, solang bis die Geheimdienste auf schiere Rechenpower und geknackte Schlüssel zurückgreifen können.

Tip

Jedes Jahr auf der CeBit in Hannover ist der Heise-Verlag vertreten und seit einigen Jahren kann sich jeder dort gegen Vorlage eines Ausweises und seinen Mailadressen Schlüssel und Zertifikate für das Versenden seiner Mails erstellen lassen.

Kurz gemeldet – Yahoo gibt inaktive Nutzernamen frei

Bis zum 15 Juli ändert Yahoo seine Geschäftsbedingungen. E-Mail Postfächer, die ein Jahr lang nicht genutzt wurden, oder dessen Besitzer sich in Jahresfrist dort einloggt, werden gelöscht, so daß die Nutzernamen frei werden. Stichtag ist der 15. Juli diesen Jahres.

Nach dieser Frist sollen alle inaktiven ID’s neu vergeben werden. Andere Nutzer können also eine Mailadresse mit lang geblocktem Namen ergattern. Yahoo begründet diese Masnahme mit der Knappheit an kurzen, einprägsamen oder einfachen Mailadressen.

Diese Löschaktion gilt für alle Dienste, die Yahoo anbietet. Nutzer müssen sich bis zum 14. Juli 23 Uhr 59 einmal bei einem Dienst von Yahoo einloggen. Dazu gehören Tumblr, Flickr oder Mail, aber auch der Messenger Dienst Yahoo-Messenger. Die IDs, die am 15. Juli dann freigegeben worden sind, werden schließlich verlost. Die Ergebnisse will Yahoo dann im August auf seiner Website bekannt geben. Anträge auf diese Verlusung können schon ab Mitte Juli bei Yahoo eingereicht werden.

Grundsätzlich betrifft dies alle Nutzer, die sich seit mindestens 12 Monaten nicht mehr mit ihrer Yahoo!-ID in ihren E-Mail-Account bzw. weiteren Yahoo!-Service eingeloggt haben. Davon ausgenommen sind lediglich zahlende Kunden von Yahoo! Mail Plus und Yahoo! Small Business,

schreibt Yahoo. Wer bislang einen Namen und eine Ziffernfolge dazu genutzt hat, kann durch diese Aktion auf seinen Wunschnamen hoffen.