20.000 Liebesgrüße eines Hackers

Die Schwächen der E-Mail

06. März 2014
Elektronische Kommunikation hat ihre Tücken. Drastisch hat das die Hochschule Karlsruhe erfahren.

So viel Liebe war nie an der Hochschule Karlsruhe: "Ich hab dich letztens auf dem Campus gesehen und musste dich einfach ewig ansehen" - so beginnt eine E-Mail, die mehr als 20.000 Mal verschickt wurde, an Studierende und Dozenten der Hochschule Karlsruhe (HsKA). Diese hat Anzeige gegen "Unbekannt" erstattet und eine bekannte Aktivistin des Chaos Computer Clubs (CCC), Constanze Kurz, von einem Vortrag ausgeladen - weil die E-Mails aus einem offenen Netzwerk verschickt wurden, das Ende Dezember 2013 für den Kongress des CCC in Hamburg eingerichtet wurde. Der Vorfall zeigt einmal mehr, wie leicht es ist, E-Mails zu manipulieren - und die Notwendigkeit, sich davor zu schützen.

"Eine E-Mail ist wie eine Postkarte", erklärt Martin Vietz vom CCC in Karlsruhe. "Was ich da als Absender drauf schreibe, kann auch niemand nachprüfen." Hinzu kam, dass der Mailserver der HsKA für den Versand von Mails innerhalb der Hochschule keine Passworteingabe verlangte - das ist nach dem E-Mail-Transportprotokoll SMTP durchaus möglich.

Die Karlsruher CCC-Gruppe, der Verein Entropia, kritisiert die Vorwürfe der Hochschule. Jeder habe das Netz zum Kongress 30C3 nutzen können, das Internet sei eben offen. Die Hochschule wollte unter Hinweis auf die laufenden Ermittlungen keine Informationen zu dem Vorfall geben.

Der oder die Absender der Liebesmail vom 29. Dezember schickten nach mehr als fünf Stunden eine weitere E-Mail, in der die Sache als Scherz aufgeklärt wurde. Darin schreiben sie zu den Motiven der Aktion: "Weil wirs können! Weil wir darauf hinweisen wollen wie unsicher die Hochschulinfrastruktur ist. Weil wir wollen, dass sich das ändert!" Beide Mails wurden vom Blog "blog.debuglevel.de" dokumentiert.

Ein CCC-Mitglied hätte sich in diesem Fall korrekterweise so verhalten, dass man den Admin, also den Verwalter des Hochschulnetzes, auf das Problem aufmerksam gemacht hätte, sagt der Informatiker Hannes Sowa im Vereinstreff von Entropia im Gespräch mit der Nachrichtenagentur dpa. Das massenhafte Ausnutzen des Fehlers sei nicht in Ordnung gewesen, stimmt Nicola Apicella zu. "Aber die Ausladung von Constanze Kurz war auch nicht richtig."

Die Hochschule hatte Kurz zu einem Vortrag zur "Langen Nacht der Mathematik" am 4. April eingeladen. Die Veranstaltung wurde inzwischen komplett abgesagt.

"Angeblich hat einer der über zehntausend 30C3-Besucher das dort bereitgestellte Internet genutzt, um ein offenbar seit Jahren bekanntes Konfigurationsproblem des Mailservers der Hochschule drastisch zu demonstrieren", erklärt CCC-Sprecher Michael Horn. Die Reaktion der Hochschule auf den Vorfall "erscheint uns wenig logisch oder zielführend, die eigenwilligen Aktionen der Hochschulleitung sprechen deutlich für sich".

Kurz wollte in Karlsruhe über "Kryptographie nach Snowden" sprechen - und damit ausgerechnet über die Wege, die der Hochschule Ärger erspart hätten. Die Verschlüsselung der Transportwege wie des E-Mail-Inhalts sind wesentliche Vorkehrungen für einen sicheren Mail-Verkehr. "Die Technik für sichere elektronische Kommunikation ist da", sagt Sowa. "Sie muss halt nur genutzt werden. Und da sind solche Beispiele eigentlich ganz lehrreich." (dpa/rs)