| 20:58 Uhr

Alte E-Mail-Adressen in fremden Händen
Tote Briefkästen sind brandgefährlich

Wer keinen Überblick über nicht mehr genutzte E-Mail-Adressen hat, kann ein böses Erwachen erleben. Haben sich 
Betrüger Zugang zu den alten Konten verschafft, können schnell fremde Rechnungen ins Haus flattern.
Wer keinen Überblick über nicht mehr genutzte E-Mail-Adressen hat, kann ein böses Erwachen erleben. Haben sich Betrüger Zugang zu den alten Konten verschafft, können schnell fremde Rechnungen ins Haus flattern. FOTO: dpa-tmn / Christin Klose
Wachtberg. Wenn kostenfreie E-Mail-Konten nicht mehr genutzt werden, vergeben viele Anbieter die Adressen irgendwann neu. Das birgt ein großes Risikopotenzial. Von Peter Bylda
Peter Bylda

Die Deutschen haben zum Internet ein gespaltenes Verhältnis, zeigt eine Umfrage von Acatech, der Deutschen Akademie der Technikwissenschaften, mit über 2000 Teilnehmern. Zwar halten neun von zehn Deutschen den digitalen Fortschritt für nicht aufzuhalten, doch fast zwei Drittel fürchten, die Kontrolle über ihre Daten zu verlieren. Dass diese Furcht begründet ist, zeigt eine Untersuchung von Informatikern des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE), der Uni Bonn und der TU Graz. Sie warnen vor dem Recycling von Mail-Adressen, von dem kaum ein Internet-Nutzer wissen dürfte, der aber bei vielen großen Anbietern an der Tagesordnung sei. Er ermögliche Identitätsdiebstahl im großen Stil. Mit den so erbeuteten Adressen könnten Kriminelle in anderer Menschen Namen einkaufen oder in den sozialen Medien des Internets Beiträge veröffentlichen. Das Risiko, das von abgelegten und erneut vergebenen kostenlosen E-Mail-Adressen ausgeht, sei „enorm groß“.


Die Mail-Adresse hat für die meisten Internetnutzer die Funktion eines Internet-Ausweises. Sie dient zur Anmeldung in Onlineshops und sozialen Netzwerken. Wer sein Passwort vergessen hat, lässt sich ein neues an seine Mail-Adresse senden. Das ist bequem, aber riskant, warnt das Fraunhofer-Institut. Denn viele Menschen sammelten auf diese Weise im Laufe der Jahre eine Vielzahl von E-Mail-Adressen an, von denen sie eine Reihe bald nicht mehr nutzen – und sich am Ende nicht einmal mehr daran erinnern. Weil diese Adressen bei Nichtbenutzung verfallen und dann bei einer Reihe von Anbietern wiederverwendet werden, bestehe das Risiko, dass Kriminelle solche Konten kapern, warnen die Informatiker.

Bei den zehn großen Mail-Anbietern, die die Forscher untersuchten, schwankten die Zeiträume bis zum Verfall der Adressen extrem. Die kürzeste Frist habe 30 Tage betragen, die längste ein Jahr, erklärt der Informatiker Matthias Wübbeling vom Fraunhofer-Institut. Obwohl die Informationen in der Regel in den Vertragsbedingungen der Dienste zu finden seien, ist er überzeugt: „Die meisten Nutzer werden nicht wissen, dass das geschieht.“ Die meisten Freemail-Provider gäben nach einer Karenzzeit, die ebenfalls stark schwanken könne, eine einmal verfallene Adresse zur neuerlichen Verwendung frei.

Dieses Szenario biete Angreifern leichtes Spiel, um über die Mail-Adresse an sensible Daten der Vorbesitzer, zum Beispiel fürs Online-Banking, zu gelangen. An potenziell interessante Mail-Adressen für diese Form des Identitätsdiebstahls zu gelangen, sei über das Internet nicht sonderlich schwierig. Der Informatiker-Verbund hat bei einer Recherche im Datennetz drei Milliarden Mailadressen gefunden, die nach Datenlecks großer Internetdienste veröffentlicht wurden. Über 607 Millionen dieser Adressen stammten von Freemail-Anbietern, erklärt Wübbeling. „Welcher Nutzer hat schon einen vollständigen Überblick darüber, mit welchen Daten er über seine E-Mail-Adresse wo angemeldet ist? Und wer kann somit schon lückenlos Sorge dafür tragen, dass auch jeder jemals auf eine abgelegte E-Mail-Adresse angemeldete Webdienst auf die neue Adresse umgestellt oder gekündigt wird?“ Das Risiko, das ein Internet-Nutzer mit dem sorglosen Umgang mit Mail-Adressen eingeht, vergleicht er mit der Gefahr, die ein Hausbesitzer läuft, wenn er seinen Wohnungsschlüssel verleiht und danach vergisst, ihn zurückzuverlangen.

Das Informatiker-Team habe mittlerweile mit den zehn untersuchten Mail-Anbietern Kontakt aufgenommen, um auf diese Sicherheitslücke hinzuweisen. Die sicherste Methode, um einen Missbrauch abgelegter Adressen auszuschließen, bestehe darin, jede eingerichtete Adresse für immer zu sperren, erklärt Wübbeling. Diese Methode wende zum Beispiel Google an. Der Konzern vergebe Mail-Adressen grundsätzlich nur ein einziges Mal. Eine weitere effektive Schutzmaßnahme stelle die sogenannte Zwei-Faktor-Authentifizierung dar, die aber in der Praxis selten angewendet werde.



Und was kann der Internet-Nutzer selbst tun, um sich abzusichern? Bis zu einer wirklich sicheren technischen Lösung bleibe ihm nur ein Weg, so Wübbeling: Buch über alle verwendeten Mail-Adressen zu führen und sämtliche digitalen Identitäten regelmäßig zu pflegen.