GMX: Hackerangriff durch fatales Schlupfloch

Für den Freemail-Service GMX und seine Kunden kommt es zurzeit knüppeldick: Nachdem der größte deutsche Anbieter kostenloser E-Mail-Adressen am Freitag, 14. Juli, versehentlich die Mails von 118.000 Kunden gelöscht hatte, wurde heute ein folgenschweres Sicherheitsloch des Dienstes bekannt. Nach bei c't eingegangenen Berichten von GMX-Nutzern verschickte ein Hacker E-Mails mit dem Betreff "Denk dran!" an GMX-Kunden. Öffneten sie diese Nachricht via Web-Frontend, so bekamen sie nur eine leeres Fenster zu sehen. Kurz danach war allerdings ihr Passwort geändert – sie konnten sich nicht mehr einloggen.

c't hat den Angriff analysiert: Die HTML-formatierte Mail enthielt ein Image-Tag, das auf ein Script eines fremden Servers verwies. Der Browser versuchte, das vermeintliche Bild zu laden und aktivierte so das Script. Dieses wertete die Referrer-URL aus, die eine gültige GMX-Session-ID enthielt, und änderte mit dieser ID das Passwort sowie die vorzugebende Antwort auf die geheime Frage der Accountinhaber. Mit ähnlichen Verfahren konnten Hacker erst kürzlich auch die Maildienste von Lycos und Web.de austricksen. Mittlerweile haben die GMX-Techniker das Loch gestopft, indem sie die Übergabe der Referrer-URL verhindern.

Am heutigen Dienstagnachmittag hat GMX die Hacker-Attacke bestätigt. Sie sei "erfolgreich abgewehrt" und es seien bereits Maßnahmen ergriffen worden, um eine Wiederholung auszuschließen. Laut GMX waren genau 1625 Accounts betroffen. Dem Hacker sei es nicht gelungen, Passwörter auszuspionieren, sondern "nur" zu ändern. Um Nachahmungsaktionen auszuschließen, wolle GMX keine Details zur Art des Angriffs bekanntgeben.

Derweil hat die Firma nach wie vor mit dem Daten-GAU vom vergangenen Freitag zu kämpfen. Viele Nutzer des kostenlosen Freemail-Dienstes bekommen ihre E-Mails nicht mehr zurück. Entgegen ersten GMX-Stellungnahmen scheint aber auch die Wiederherstellung der Ordner von manchen Kunden des kostenpflichtigen Promail-Services aus gleichem Hause nicht zu klappen. GMX verweigert zu dieser Problematik derzeit eine Stellungnahme. "Dazu machen wir keine Angaben mehr – wenn es etwas Neues gibt, erfahren es die Promail-Kunden zuerst", ließ Firmensprecherin Marion Schanzer wissen.

Nach wie vor wissen die Kunden also nicht, woran sie sind. In einer Mitteilung hat ihnen GMX lediglich mitgeteilt, dass die Firma die Panne "zutiefst bedauert". Weiter heisst es: "Unsere Techniker arbeiten an einem 'Retten was zu retten ist'-Programm. Alles setzen wir daran, dass sich dieser Vorfall nie wiederholen wird." In verschiedenen Diskussionsforen erwägen einige GMX-Mitglieder bereits, Schadenersatzansprüche geltend zu machen. "Bisher sind keine derartigen Forderungen bei uns eingetroffen", versicherte Schanzer heute nachmittag gegenüber c't.

Ob Schadenersatzklagen gegen GMX vor Gericht Erfolg versprechend sind, läßt sich schwer abschätzen. Onlinerecht-Experte Stefan Jaeger erläutert: "Wenn sich tatsächlich einige der durch die Panne geschädigten GMX-Freemail-Kunden zu einer Musterklage entschließen würden, müssten sie wahrscheinlich durch ein Gutachten eine grobe Fahrlässigkeit der Techniker nachweisen". Falls das gelänge, könnte sich GMX wohl auch durch die Haftungsbegrenzung in den allgemeinen Geschäftsbedingungen (AGB) nicht mehr schützen. Da GMX zur technischen Seite der Panne wohlweislich Stillschweigen wahrt, ist bisher unbekannt, ob und wie fahrlässig der Dienstleister tatsächlich gehandelt hat. (hob)