Mangelhafte Security bei E-Mail an „WAZLeaks“

Die WAZ-Gruppe ist heute mit einer guten Idee gestartet. Sie will nach dem Vorbild von Wikileaks anonyme Informanten anlocken, die in Besitz von brisanten Informationen sind. Doch einen kurzen Sicherheitstest von ZDNet besteht das Portal nicht.

Es wäre sicherlich falsch, der WAZ etwa Böses unterstellen zu wollen. Die Rechercheabteilung des Essener Verlagshauses will ihre Informanten genau so gut schützen wie Wikileaks auch. Die persönliche Integrität der Mitarbeiter setze ich voraus. Allerdings halten nicht alle Übertragungswege, was das Portal verspricht. Die angegebene E-Mail-Adresse recherche@waz.de bietet nämlich keinerlei Verschlüsselung.

Ein Telnet an den SMTPS-Port 465 führt zu keinem Verbindungsaufbau. Das ist nicht weiter schlimm, da diese Methode ohnehin als veraltet gilt. Allerdings sollte der SMTP-Server der WAZ auf Port 25 das STARTTLS-Verfahren anbieten. Doch ein Verbindungsprotokoll von ZDNet zeigt, dass das nicht der Fall ist.

Die Auswertung der MX-Records ergibt folgendes:

host -vt mx waz.de
Trying "waz.de"
;; ->>HEADER

Das bedeutet, dass E-Mail für die Domain waz.de zunächst an mail01.waz-mediengruppe.de zuzustellen ist. Wenn das fehlschlägt, soll der SMTP-Server des Absenders mail02.waz-mediengruppe.de benutzen.

Eine Telnet-Sitzung an TCP-Port 25 von mail01.waz-mediengruppe.de erweckt jedoch wenig Vertauen:

telnet mail01.waz-mediengruppe.de 25
Trying 62.159.119.23...
Connected to mail01.waz-mediengruppe.de.
Escape character is '^]'.
220 intern.waz.de
ehlo ich.will.nicht.erkannt.werden
250-xosmgw04.waz.de Hello vz3.hochstaetter.de [83.169.18.51], pleased to meet you
250-PIPELINING
250-SIZE 100000000
250-8BITMIME
250 HELP
starttls
454 TLS not available due to temporary reason
quit
221 Bye
Connection closed by foreign host.

Als ich den Server mit dem Befehl ehlo ich.will.nicht.erkannt.werden begrüße, löst er als erstes per Reverse-DNS meinen vollständigen Namen (vz3.hochstaetter.de) auf. Für einen SMTP-Server, der für anonyme Informanten gedacht ist, ist das ganz schön neugierig.

Es kann natürlich theoretisch sein, dass der Server diese Daten nicht speichert und gleich wieder vergisst. Allerdings ist das unwahrscheinlich, denn über die Domain waz.de läuft ja auch die offizielle Geschäftskorrespondenz des Konzerns und da gibt es ja Aufbewahrungs- und Dokumentationspflichten (Compliance-Anforderungen). Für eine anonyme Mailbox muss natürlich eine eigene Domain mit eigenem SMTP-Server her, der nichts mitloggt und nur den reinen Inhalt der E-Mail speichert oder weiterleitet.

In der Antwort zur EHLO-Begrüßung fällt ebenfalls auf, dass der Server keine Verschlüsselung anbietet. Dazu hätte das Wort "STARTTLS" in der Liste der unterstützten Kommandos auftauchen müssen. Ist das nicht der Fall, unternimmt der sendende SMTP-Server keinen Versuch zur Verschlüsselung. Dass auf meine Eingabe von starttls die Fehlermeldung "454 TLS not available due to temporary reason" erscheint, ist unerheblich. Ein echter SMTP-Server versucht nicht zu verschlüsseln, wenn ihm zuvor mitgeteilt wurde, dass das nicht möglich ist.

Sollte die WAZ über ihren Provider Deutsche Telekom abgehört werden, weil der Staat befürchtet, dass dort brisante Informationen eingehen, die nicht veröffentlicht werden sollen, ist das leicht möglich. Die Informationen werden im Klartext übermittelt.

Der Übertragungsweg E-Mail bereitet natürlich noch andere Sicherheitsprobleme, die außerhalb des Einflussbereichs der WAZ liegen, etwa wie sich der E-Mail-Dienstleister des Absenders beim Logging und Herausgabe der Daten an Behörden verhält. Außerdem verschlüsseln viele Provider E-Mails auch dann nicht, wenn der SMTP-Servers des Empfängers das anbietet.

Die WAZ empfiehlt drei Anbieter von anonymer E-Mail. Zwei davon erlauben es gar nicht, eine Mail zu verschicken, sondern nur zu empfangen. Der Benutzer muss daher selbst eine Mail mit falschem Absender möglichst über einen anonymen Proxy im Ausland verschicken. Das erfordert jedoch ein erweitertes technisches Verständnis. Der dritte E-Mail-Dienst leitet eingehende Mails an die echte E-Mail-Adresse des Users weiter.

Das E-Mail-Konzept der WAZ für Informanten ist nicht gut durchdacht. Allerdings sollte man generell auf E-Mails als Kommunikationsweg verzichten, wenn man garantiert anonym bleiben möchte.

Einen besseren Job hat die WAZ bei ihrem Kontaktformular gemacht. Die Daten werden verschlüsselt gesendet. Die Website ist mit einem gültigen Zertifikat ausgestattet. Außerdem verspricht die WAZ, dass keine Verbindungsdaten, etwa die IP-Adresse mitgeloggt wird.

Auch der Dateiupload scheint hinreichend gesichert. Die Übertragung läuft ebenfalls via SSL/TLS mit gültigem Zertifikat. Zusätzlich werden die Dateien mit einem GnuPG-Public-Key verschlüsselt. Zum entsprechenden Private Key haben nur die Mitarbeiter der Recherche-Abteilung Zugang. Dass keine Logfiles angelegt werden, verspricht die WAZ an dieser Stelle nicht explizit, aber das sei einmal vorausgesetzt.

Zu bedenken ist allerdings, dass bei einer Abhörmaßnahme zwar verhindert wird, dass der Staat herausfindet, was hochgeladen wurde, aber nicht, wer, beziehungsweise welche IP-Adresse, etwas hochgeladen hat. Die WAZ hat hier zwar alles getan, was ihr möglich ist, dennoch muss ein Informant eigene Maßnahmen treffen. Konkret bedeutet das, dass er durch die IP-Adresse nicht identifiziert werden darf.

Ziemlich sicher ist die Nutzung eines Anonymisierungsnetzwerks wie Tor. Es gibt die Möglichkeit, dass einige Tor-Knoten eine modifizierte Software verwenden, mit der sich die IP-Adresse ermitteln lässt. Ähnlich sicher ist die Nutzung eines anonymen Proxys in einem Land, das mit der Bundesrepublik Deutschland auf dem Gebiet der IT-Sicherheit möglichst wenig zusammenarbeitet, etwa China oder die Ukraine.

Die beste Möglichkeit ist jedoch, es wie bei Wikileaks zu machen: Es nimmt Material derzeit nur über ein Postfach in Australien an. Wer der WAZ etwas mitzuteilen hat, schickt einfach einen USB-Stick mit seinem Material an die Recherche-Abteilung. Wenn die WAZ es ernst meint, vernichtet sie den Datenträger und das Verpackungsmaterial umgehend. Fingerabdrücke und Genspuren sollte man trotzdem vermeiden.

HIGHLIGHT

Themenschwerpunkt Wikileaks mit Umfrageergebnis

Wikileaks will mit der Veröffentlichung von vertraulichen Dokumenten mehr Transparenz schaffen. Das kommt nicht überall gut an. ZDNet bietet in diesem Special Nachrichten und Hintergrundberichte über die umstrittene Whistleblower-Plattform.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago