Sehr grosse Mängel bei der Sicherheit
Die beliebtesten Anbieter von Gratis-E-Mail-Adressen weisen im saldo-Test gravierende Sicherheitslücken auf. Und nicht alle haben einen Spam-Filter.
Inhalt
saldo 1/2004
21.01.2004
Martin Müller
Fast jeder hat eine Mail-Adresse am Arbeitsplatz - trotzdem gehört eine weitere, vom Arbeitgeber unabhängige Mail-Adresse heutzutage eigentlich zum Grundbedarf: Erstens, damit man auch private Mails verschicken kann, und zweitens, damit man beispielsweise bei einem Jobwechsel nicht allen Bekannten die neue Adresse mitteilen muss. Wer drittens auch noch weltweit von jedem Computer aus seine Mails lesen will, kommt um die Gratis-E-Mail-Provider kaum herum: Man surft auf die jeweilige Homepage, g...
Fast jeder hat eine Mail-Adresse am Arbeitsplatz - trotzdem gehört eine weitere, vom Arbeitgeber unabhängige Mail-Adresse heutzutage eigentlich zum Grundbedarf: Erstens, damit man auch private Mails verschicken kann, und zweitens, damit man beispielsweise bei einem Jobwechsel nicht allen Bekannten die neue Adresse mitteilen muss. Wer drittens auch noch weltweit von jedem Computer aus seine Mails lesen will, kommt um die Gratis-E-Mail-Provider kaum herum: Man surft auf die jeweilige Homepage, gibt Benutzername und Passwort ein und schon kann man seine elektronische Post lesen und versenden.
So praktisch solche Provider sind, so mangelhaft ist häufig ihre Dienstleistung: Die Experten des Zentrums für Informatiksicherheit (Zefis) in Gordola TI fanden gravierende Mängel. Im Auftrag von saldo nahmen sie acht der beliebtesten kostenlosen E-Mail-Anbieter unter die Lupe. Zu Testzwecken verschickten sie vier der in letzter Zeit verbreitetsten Computerviren (Sober.c, Sobig.f, Nachi und Lovsan) an acht zuvor extra dafür eröffnete Postfächer.
Freesurf, Hispeed: Keinerlei Antivirenschutz
Bei Freesurf (Sunrise) und Hispeed (Cablecom) kam die digitale Post mit dem verseuchten Anhang ohne Warnung an. Der gefährliche Anhang konnte auch problemlos an andere Empfänger weitergeleitet werden. Hotmail (Microsoft) überprüfte die Mail-Attachments erst auf Computerviren, als die Tester versuchten, das verseuchte Anhängsel auf der Festplatte abzuspeichern.
Besser hingegen Freemail: Hier wird vollautomatisch und gratis jede eingehende E-Mail auf Viren, Würmer und Trojaner untersucht; die vier verseuchten Test-Mails wurden sofort gelöscht. Bei GMX sowie Bluewin und Bluemail (beide Swisscom) blieben immerhin drei von vier Testviren im Filter hängen. Yahoo schliesslich erkannte zwar alle vier Viren, löschte sie jedoch nicht und liess auch das Weiterverschicken zu. «Das Ergebnis ist zwar besser als bei früheren ähnlichen Tests, als noch praktisch keine Viren herausgefiltert wurden, aber immer noch weit vom Idealzustand entfernt», kommentieren die Zefis-Experten André Stubenvoll und Piyarat Ruengsopa.
Sunrise-Sprecherin Monika Walser räumt ein, dass der fehlende Virenschutz ein Mangel sei. Bis Ende März soll das Loch gestopft werden; ausserdem soll ein Spam-Filter aufgeschaltet werden. Anders die Cablecom: Sie will auch in Zukunft lediglich Warnhinweise und Verhaltensregeln an die Kunden weitergeben. Es sei rechtlich nicht klar, ob und in welchem Umfang Kunden-Mails überhaupt auf Viren gescannt werden dürften, begründet Cablecom-Sprecher Stefan Hackh.
E-Mail-Adresse fälschen problemlos möglich
Die Sicherheitsprobleme beginnen bei den Gratis-Mail-Anbietern aber schon viel früher - bei der Anmeldung: Bei allen acht getesteten Angeboten gelang es, Mail-Konten mit fiktiven Namen zu eröffnen. «Das öffnet Tür und Tor für das Verschicken von Massen-Mails», sagt André Stubenvoll.
Ausser bei Hispeed können zudem bei allen getesteten Providern über die im Windows-System integrierte Software Telnet Mails mit gefälschter Absenderadresse verschickt werden. So gelang es, Mails zu senden, die angeblich von bill. gates@microsoft.com oder support.microsoft@microsoft. com stammten. «Ein wachsendes Problem, denn dadurch erhält der Empfänger einen völlig falschen Eindruck», warnt Stubenvoll. Der Empfänger wird verleitet, etwa für ein angebliches Software-Update auf einen Link zu klicken, der in Wahrheit zu einem Dialer oder einem Werbeangebot führt.
Immerhin: Punkto Spam-Schutz haben (mit Ausnahme von Freesurf) alle Anbieter gut abgeschnitten: Überall werden die lästigen Werbemails relativ zuverlässig abgeblockt.
Der Sunrise-Dienst Freesurf (neuer Name: Freesurf plus) schnitt im saldo-Test auch deswegen so schlecht ab, weil diverse nützliche Dinge nicht angeboten werden oder nicht funktionierten. Zum Beispiel Secure-Socket-Layer (SSL): Es ist das am meisten eingesetzte Verschlüsselungsverfahren und dient dazu, den Datenverkehr zwischen Sender und Empfänger für Dritte unleserlich zu machen. Es soll ab Ende März auch bei Sunrise laufen. Abzug gab es ausserdem, weil es nur hier nicht möglich war, den Webmail-Dienst in das Mail-Programm des eigenen Computers (etwa Outlook oder Netscape Mail) zu integrieren (sogenannter POP-3-Client). Laut Sunrise sollte das problemlos gehen; bei den Zefis-Experten gelang es jedoch nicht.
Unterschiede gibt es auch punkto Komfort. Überall kann ein eigenes Adressbuch angelegt werden. Allerdings lassen sich bei GMX, Freesurf und Hispeed gespeicherte Adressen von anderen Quellen nicht importieren - bei Hispeed handelte es sich laut Cablecom indes bloss um ein vorübergehendes Software-Problem während des saldo-Tests. Hotmail bietet keine Abwesenheitsnotiz - eine praktische Sache, wenn man in die Ferien fährt oder aus sonst einem Grund für einige Zeit die Mails nicht abrufen kann: Wer einem eine Mail schickt, erfährt automatisch, bis wann man abwesend sein wird.
Hotmail: Nur 2 Megabyte Speicherplatz
Nützlich ist auch die Funktion «Weiterleitung an eine dritte Mail-Adresse»; auf diese Weise lassen sich die eingehenden Mails beispielsweise ins Büro umleiten, ohne dass man sich dauernd beim Gratis-Anbieter einloggen muss. Wichtig ist auch der Speicherplatz, den die Anbieter fürs Aufbewahren von Mails und Anhängen zur Verfügung stellen: Hotmail ist hier mit bloss 2 Megabyte am geizigsten. Hotmail-Kunden müssen im Übrigen daran denken, sich mindestens alle 30 Tage einmal einzuloggen, ansonsten wird das Konto gelöscht.
Bluemail und Bluewin fielen den Testern als besonders übersichtlich gestaltet und bedienerfreundlich auf. Freemail und GMX stellen zu viele unnötige Fragen bei der Kontoeröffnung.
Jeder kann vorbeugen
Der saldo-Test zeigt, dass die bei den Betreibern der Mail-Adressen installierten Virenschutzprogramme nur unzureichend funktionieren. Kostenlose Mail-Dienste sollten deshalb nur zusammen mit einer im eigenen Computer installierten Antiviren-Software verwendet werden, rät das Zentrum für Informatiksicherheit (Zefis). Dazu gehört auch ein mindestens wöchentliches Update.
Wer sich auf www.zefis. ch registriert, wird gratis umgehend vor böswilligen Attacken gewarnt - eine sinnvolle Ergänzung zum Antiviren-Programm. Verdächtige Dateien und Mails können ausserdem ans Zefis zur Analyse geleitet werden.
