DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

E‑Mails ver­raten ihre Leser

eMails Feuchter

Mail-Pro­­­vider lassen es zu, dass ihre Kunden beim Lesen ihrer E‑Mail beob­achtet werden. Ein­ge­bettete Pixel-Bilder ermög­lichen dies.

 

 

 

Auch wenn einen nach den Aus­spä­hungen gerade der USA, Groß­bri­tan­niens und auch Deutsch­lands eigentlich nichts mehr wundern darf, ist das Tracking und Veri­fi­zieren von E‑Mail-Adressen ein Vor­gehen, das so – also ohne Zustimmung des Nutzers — nicht einfach hin­ge­nommen werden darf: Bereits das Anzeigen einer E‑Mail infor­miert den Absender darüber, ob die E‑Mail gelesen wurde und wer die E‑Mail gelesen hat. Cookies waren gestern!?

Das sich die Wer­be­trei­benden Mög­lich­keiten über­legen, ihren Erfolg zu mehren ist legitim. Ebenso, wenn dies mit dem Wissen der Betrof­fenen erfolgt, v. a. wenn die Betrof­fenen hier­durch eben­falls Vor­teile haben.

Einen bit­teren Bei­geschmack bekommt dieses Ver­halten jedoch, wenn es ohne Wissen und Zutun der Betrof­fenen erfolgt. Und diese Infor­ma­tionen auch noch für teuer Geld ver­kauft werden – nicht nur an staat­liche Institutionen.

Das Grund­recht der infor­ma­tio­nellen Selbst­be­stimmung hat einen realen Hin­ter­grund. Niemand sollte so viel Wissen und Macht über ein­zelne besitzen, dass diese in ihrer Hand­lungs­freiheit ein­ge­schränkt — oder gar mani­pu­liert bzw. mundtot gemacht werden können. Ganz nebenbei: Genau dies wäre aber bei einem soge­nannten „Super­grund­recht“ Sicherheit möglich. Was ich hier skiz­ziere, gilt auch für das Stöbern im Internet oder auch für das E‑Business.

In medias res

Wer kennt nicht die Unmengen an E‑Mails, genannt Spam, die täglich das E‑Mail-System belasten und beim Aus­sor­tieren auch noch Zeit und Geld kosten. Gerne wird von dem ein oder anderen doch ein Blick auf den Inhalt geworfen, gerade wenn der Absender evtl. doch bekannt ist oder der Betreff zum Unter­nehmen passt. Der ein oder andere hat wohl auch schon von der ein­ge­bauten Lese­be­stä­tigung des E‑Mail-Pro­­­gramms gehört, die abge­schaltet werden kann. Aber selbst das Abschalten der­selben und das Löschen von E‑Mails nützt mit­unter wenig: Wussten Sie schon, dass allein das Anzeigen der E‑Mails einer Lese­be­stä­tigung und damit der Veri­fi­kation Ihrer E‑Mail-Adresse gleichkommt?

Für den Fall, dass Sie der Über­mittlung nicht zustimmen, haben findige Men­schen einen Mecha­nismus ent­wi­ckelt, wie indirekt fest­ge­stellt werden kann, wer eine E‑Mail liest: Bilder! Dabei ist es nicht erfor­derlich, dass Sie diese als solche auch wahr­nehmen können, es genügen bereits ein­zelne Bildpunkte.

Vor­aus­setzung ist lediglich, dass die Bilder von einem eigen­stän­digen Server des Absenders bereit­ge­stellt werden. Wird also eine E‑Mail mit Bildern ver­sendet, kann über die Lade­funktion der Bilder fest­ge­stellt werden, wann die E‑Mail gelesen wird – und über die ver­wendete E‑Mail-Adresse auch, von wem.

Und auch, wenn aktuell wieder groß darüber berichtet wird: Deutsche Mail-Pro­­­vider lassen tracken. Im Zuge von Prism, Tempora und Co. ist die Wahr­nehmung für Aus­spä­hungen wieder einmal geschärft – ist dieses Vor­gehen ein alter Bekannter: Wie bei eine Mode­er­scheinung ist es schon fast 14 Jahre her, dass groß darüber berichtet wurde. Und auch damals waren die großen Software-Her­steller mit der NSA in Ver­bindung gebracht worden.

Lässt sich das Tracken von E‑Mails abstellen?

Ja und Nein. Vor allem kommt es darauf an, ob Sie eine Kon­fi­gu­ra­ti­ons­mög­lichkeit haben und Herr darüber sind. Bietet ein Web-Mailer (E‑Mails im Browser lesen) oder ein lokales E‑Mail-Pro­­­gramm in den Ein­stel­lungen an, das Laden von Bildern abzu­stellen, ist damit ein Tracking über Bildpunkte/Webbugs nicht mehr möglich.


Glaubt man dem Bericht auf heise.de, dann bieten „Die Mit­glieder der Aktion “E‑Mail made in Germany” T‑Online, GMX, Web.de und Freenet nicht einmal eine Option, das abzu­schalten, ver­senden aber teil­weise selber E‑Mails mit Tracking-Bildern.“

Und nun wird es spannend: Welche End­geräte sind in Ihrem Unter­nehmen zuge­lassen, über welche Pro­gramme bzw. Browser werden E‑Mails benutzt  — und können Sie eine Richt­linie (Policy) zum Umgang mit E‑Mails nicht nur erlassen, sondern auch durchsetzen?

Spä­testens jetzt wird klar, warum IT-Fach­­leute seit Jahren Bauch­schmerzen bekommen, wenn jeder sein eigenes Gerät mit­bringen darf, Cloud-Dienste nutzt und es keinen ein­heit­lichen Standard zum Umgang mit ITK (Infor­­ma­­tions- und Kom­mu­ni­ka­ti­ons­technik) gibt. Je bunter der Blu­men­strauß, desto schwie­riger bis unmöglich ist dessen Kontrolle.

Fazit

Für meinen Teil habe ich das Angebot auf heise.de ange­nommen und den c’t‑Email­check durch­ge­führt. Die erhaltene E‑Mail habe ich mit meinen unter­schied­lichen E‑Mail-Pro­­­grammen abge­rufen und geprüft: Bilder wurden nicht mehr geladen. Damit wären auf­wän­digere Maß­nahmen, bei­spiels­weise Kon­fi­gu­ration der Firewall nicht not­wendig. Also wieder ein Bau­stein mehr gegen über­triebene Über­wa­chung und Miss­brauch meiner Daten. Zumindest wird mit Webbugs kein Tracking meines Post­ein­ganges mehr erfolgen.

Bild:  © Ste­phanie Hof­schlaeger / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.