Warum ich S/MIME für E-Mail-Verschlüsselung am liebsten boykottieren würde

Die Art Zertifikate, die man beim S/MIME-Standard verwendet, und die Praktiken bei deren Vergabe scheinen mir nicht wirklich geeignet, um Vertrauen und Sicherheit für E-Mails herzustellen, und ich würde am liebsten einen grossen Bogen um diesen ganzen Unsinn machen.


Basis der Verschlüsselung und des Signierens von E-Mail nach dem S/MIME-Standard sind Zertifikate. Nur bestimmte sogenannte Zertifizierungsstellen, die als vertrauenswürdig angenommen werden, können Zertifikate so ausstellen, dass wiederum E-Mail-Programme die Zertifikate ohne weiteres Zutun gleich als vertrauenswürdig einstufen.

Rein technisch kann jeder sich relativ einfach seine eigene Zertifizierungsstelle basteln (z.B. mit easy-ca) und sich ein Zertifikat ausstellen, aber wenn man dieses dann verwendet, sieht das beim Empfangen einer Mail etwa so aus:

Selbst ausgestelltes Zertifikat, ungültig

Selbst ausgestelltes Zertifikat, ungültig

Dagegen ist im Prinzip nichts zu sagen: Natürlich ist ein Zertifikat, das ich mir selbst ausstellt habe, nicht alleine dadurch schon vertrauenswürdig, dass ich das technisch gesehen korrekt gemacht habe und z.B. nicht einfach ein Bild mit dem Text „Das ist mein Zertifikat“ drauf (in einem seriös aussehenden Font natürlich) an die Mail gehängt habe: Wie sollen Sie wissen, was Sie von der Zertifizierungsstelle Megos AG CA halten sollen?

Als ich mir für meine Tests mit S/MIME bei Comodo (einer dieser vertrauenswürdigen Zertifizierungsstellen) hier ein kostenloses Zertifikat für den Privatgebrauch ausstellte, war ich zunächst mal ziemlich verblüfft, dass der Prozess vollautomatisch ablief. Über mich als Person wurde da überhaupt nichts geprüft: ob die E-Mail-Adresse wirklich mir gehört, ob ich so heisse, wie ich behaupte, ob es mich überhaupt gibt und nicht einfach ein Roboter ein Zertifikat für sich ausstellt – nada.

Was dieser Prozess de facto zertifiziert bzw. sicherstellt, ist nach meinem Verständnis lediglich, dass es die E-Mail-Adresse gibt, dass später die verschlüsselten und/oder signierten Mails tatsächlich von der E-Mail-Adresse aus verschickt werden, die im Zertifikat steht, und dass unterwegs niemand daran herumpfuschen und heimlich etwas ganz anderes reinschreiben kann.

Im Wikipedia-Artikel zum Thema S/MIME hier und auch auf Angebots-Seiten von Zertifizierungsstellen wie z.B. von GlobalSign hier ist die Rede von 3 Klassen von Zertifikaten, wobei nur bei den (natürlich teureren) Klasse-2- und Klasse-3-Zertifikaten tatsächlich Dinge über Personen und Firmen überprüft werden, z.B. anhand von Scans von Ausweisdokumenten und Handelsregister-Auszügen.

Etwas naiv, wie ich halt manchmal bin, nahm ich an, diese Klassen-Geschichte sei Bestandteil der betreffenden Norm für Zertifikate, und versuchte herauszufinden, wie man sich in Thunderbird anzeigen lassen kann, von welcher Klasse ein bestimmtes Zertifikat ist, und dachte mir, schön wäre doch auch eine Option in jenem Programm, mit der ich sagen kann, dass mir persönlich Klasse-1-Zertifikate zuwenig sind und ich damit signierte Mails nicht als „vertrauenswürdig“ angezeigt haben möchte.

Als ich herausfand, dass das nicht so ist, war ich dann echt verblüfft: Klassen sind bei Zertikaten nur eine gewisse Konvention. Zertifizierungsstellen können ihre Zertifikate irgendwie nennen, z.B. Silver und Gold bei SwissSign (siehe hier), und nachschauen oder filtern kann man schon gar nichts auf einfache Weise in E-Mail-Programmen.

Wenn Sie wirklich wissen wollen, was vor dem Ausstellen eines SwissSign Silver-Zertifikats wie genau geprüft wird, müssen Sie z.B. in Thunderbird – halten Sie sich fest – folgendes tun: Sie klicken auf das vertrauenswürdig aussehende „Brief mit Siegel“-Icon, öffnen dann mit einem Klick auf einen Button die Anzeige der Zertifikats-Eigenschaften, kämpfen sich in den Details durch bis zur Anzeige der Vergabe-Politik, kopieren den da vorhandenen Namen eines PDF-Files in Ihren Browser, laden das PDF, und versuchen in den 64 Seiten die Stellen zu lesen, die festhalten, was genau geprüft wird – auf Englisch natürlich, denn sonst wäre es zu einfach!

Vergabe-Kriterien für SwissSign-Zertifikat

Vergabe-Kriterien für SwissSign-Zertifikat

Ach wie schön wäre es doch gewesen, eine „gescheite“ Norm zu definieren, und dann basierend darauf in Thunderbird zwei Icons, eines mit einem kleinen roten Siegel für minimalistische und nur mässig vertrauenswürdige Klasse-1-Zertifikate und eines mit einem fetten, dicken Siegel für Zertifikate, wo ein Mensch wenigstens kurz nachgeschaut hat, mit wem er es überhaupt zu tun hat.

Verstehen Sie nun, warum ich, anstatt Geld zu zahlen an irgendwelche Zertifizierungsstellen (und zwar jedes Jahr wieder neu), diesen ganzen Unsinn am liebsten boykottieren würde?

Es lebe OpenPGP!

Zwei Tricks für Software Restriction Policies

Werbung für den Einsatz von software restriction policies als zusätzlichen Schutz gegen Trojaner, und zwei vielleicht nützliche Tricks (für technisch etwas versiertere Leute), wie man schlecht programmierte Windows-Applikationen mit solchen Policies aktiv trotzdem zum Laufen kriegen kann


Windows macht es Trojanern nicht gerade schwer: Irgendein bösartiges Programm muss es nur irgendwie auf Ihr System schaffen, dann hat es schon fast gewonnen, denn Windows wird seine Ausführung nicht verbieten. Es gibt bei Windows im üblichen Grundzustand keinerlei Regeln, nach denen irgendeine „Installation“ nötig wäre, bevor ein Programm laufen darf, oder nach denen nur Programme starten dürfen, die Windows irgendwie „kennt“, nein, jedes File mit Code drin darf munter durchstarten.

Mehr oder weniger das schlimmste, was vorher noch passieren kann, ist eine UAC-Nachfrage von Windows, ob man diesem Programm erlauben möchte, das System zu verändern, aber wer nimmt schon solche Dialogboxen ernst und klickt sie nicht einfach nach 0.1 Sekunden reflexartig weg…

Natürlich hat Microsoft schon vor Jahren gemerkt, dass man professionellen Anwendern etwas bieten muss, womit man diese Freizügigkeit einschränken kann, und stellt hierfür den Mechanismus der sogenannten Softwareeinschränkungsrichtlinien bzw. Englisch software restriction policies (abgekürzt SRP) zur Verfügung.

Damit kann man z.B. regeln, in welchen Verzeichnissen im System Code überhaupt ausgeführt werden darf. Weil im momentanen Evolutions-Stand die meisten Trojaner stets im Windows-Temporär-Verzeichnis landen, wenn man z.B. leichtsinnigerweise den im Mail-Anhang enthaltenen Downloader angeklickt hat, und man dieses Verzeichnis darum natürlich gerade nicht in die Liste der erlaubten aufnimmt, kommt hier die Infektion bereits knirschend zum Stillstand, noch bevor überhaupt etwas Schlimmes passiert.

Ich möchte hier SRP nicht im Detail erklären, sondern hinweisen auf die momentan aktuelle c’t (Nr. 10 vom 29.04.2017), wo dies passiert in zwei ausführlichen Artikeln hier und hier. Sie können das Heft oder online die beiden Artikel für rund 5 Euro kaufen.

Das Tool dazu, den Restric’tor, gibt es gratis (Download-Link am Ende dieser Erläuterungen); bei einem Kurztest schien mir das Tool ordentlich gemacht und recht nützlich. Allerdings ist es wie mit den verschlüsselten Mails, über die ich kürzlich geschrieben habe: Wenn man die Sache auf konzeptioneller Ebene nicht versteht, wird man sich bei diesem Tool wahrscheinlich einen verwirrten Kopf holen.

Auch mit einem guten Tool bewaffnet wie diesem sind SRP leider nicht unbedingt pflegeleicht. Das liegt hauptsächlich daran, dass eine ganze Reihe von Windows-Applikationen Dinge tun, die gegen gängige Windows-Konventionen und „best practices“ der Programmierung verstossen, darunter leider auch weit verbreitete. Diese laufen dann mit SRP aktiv nicht ohne weiteres, und man muss ihnen Extrawürste braten.

Ich habe bei meinem Einsatz von SRP konkret mit 2 Programmen Mühe gehabt (dem Mail-Klassifizierer POPFile und der Bitcoin-Wallet Electrum), welche als Teil ihres ganz normalen Programmstarts irgendwelchen Code ausgerechnet in das Windows-Temporär-Verzeichnis schreiben und ihn dort ausführen wollen.

Und dabei bin ich auf folgende zwei Tricks gekommen, die ich hiermit weitergeben möchte an Leute, die auf ähnliche Probleme stossen:

Trick 1: Eine Pfad-Regel muss nicht zwangsweise ein Verzeichnis-Name enthalten. Es klappt auch, wenn man lediglich den reinen Namen einer DLL angibt, wie z.B. im Falle von POPFile UserInfo.dll. Diese kann dann geladen werden, egal wo sie liegt. (Der nächste Trojaner, der sich UserInfo.dll nennt, wird mich vielleicht erwischen, aber mit diesem Risiko kann ich leben.)

Trick 2: Wenn einzelne solche DLL-„Pfad“-Regeln nicht helfen, wie im Falle von Electrum, welches eine ganze Python-Laufzeitumgebung auszubreiten scheint in %TEMP%, bei jedem Programmstart wieder neu (krasses Software Engineering…), kommen Sie mit einem temporär geänderten Windows-Temporär-Verzeichnis trotzdem durch.

Also Programm nicht direkt starten, sondern ein kleines Batch-File schreiben, welches zuerst die Umgebungs-Variable TEMP umsetzt auf ein Verzeichnis, in dem Code-Ausführung mit Hilfe einer Pfad-Regel ausnahmsweise erlaubt ist, und dann mit einer zweiten Zeile im Batch-File das Programm starten.

Wenn es darum geht, herauszufinden, woran es überhaupt scheitert bei solchen Sorgenkindern, hat sich bei mir Process Monitor bewährt.

Alles ist zu kompliziert, wenn man nicht will

E-Mail-Verschlüsselung scheitert nicht an zu komplex, zu umständlich oder Programme nicht gut genug, sondern daran, dass die Leute sich überhaupt nicht dafür interessieren und darum unter anderem den Aufwand scheuen, sich in die Konzepte dahinter einzuarbeiten. Mit derselben Haltung wäre sogar die ganz normale E-Mail nie ein Erfolg geworden.


Es ist eine interessante intellektuelle Übung, etwas mit den Augen eines Unwissenden versuchen anzuschauen, das man selbst schon lange und gut kennt.

Versuchen Sie mal sich vorzustellen, Sie hätten noch nie etwas von E-Mail gehört und müssten jetzt von Grund auf lernen, per E-Mail zu kommunizieren. Oder, wenn Sie so wollen, versetzen Sie sich in Ihr jüngeres Ich zurück, das ja zu irgendeinem Zeitpunkt in der Vergangenheit tatsächlich noch nichts über E-Mails wusste.

Wenn ich das mache, staune ich vor allem darüber, was man da alles lernen muss, bis man „fliessend E-Mail spricht“. Dabei geht es mir nicht mal so sehr um die Bedienung irgendwelcher Mail-Programme oder Webmail-Websites im Detail, sondern um die ganzen Konzepte, um das Verständnis, worum es geht und wie die Dinge zusammenhängen bei E-Mail.

Solange man dieses Verständnis nicht hat, gibt es Unmengen möglicher Fragen, die verwirren und auf deren Antworten man nicht einfach so kommt.

Ich brauche also eine E-Mail-Adresse für mich. Wie komme ich zu einer solchen, wer vergibt mir eine? Kann ich mir selbst eine geben? Muss ich aufpassen, dass ich nicht eine nehme, die schon vergeben ist? Funktioniert meine E-Mail-Adresse weltweit oder nur in meinem Land?

Was passiert, wenn ich mich vertippe bei der Adresse eines Empfängers?

Werde ich wissen, ob und wann meine Mails gelesen werden? Muss ich aufpassen, Mails nicht zu lange liegenzulassen, weil sie sonst verfallen? Kosten Mails etwas? Wieviele darf ich schreiben pro Tag? Warum schreiben mir plötzlich Leute Mails, von denen ich noch nie etwas gehört habe? Kann ich das denen verbieten? Warum kann ich nicht sicher sein, von wem eine E-Mail wirklich kommt?

Das alles hat sehr wenig damit zu tun, ob ein bestimmtes E-Mail-Programm verständlich, benutzerfreundlich und mit den nötigen Funktionen ausgestattet ist oder nicht: Wenn ich erstmalig eine Mail an einen bestimmten Empfänger schreibe und auf dem Eingabefeld für die Empfänger-Adresse stehe, muss ich konzeptionell verstanden haben, dass mir das Programm nicht helfen kann, die Adresse zu ermitteln, sondern dass es mein Job ist, diese irgendwie in Erfahrung zu bringen, sonst geht es schon hier nicht weiter.

Warum erzähle ich Ihnen das alles?

Weil ich mich in den letzten Tagen in die Thematik Mail-Verschlüsselung eingearbeitet und mich dabei ziemlich genau beobachtet habe. Ich habe immer wieder davon gelesen, dass der Umgang mit verschlüsselten Mails schwierig und kompliziert sein soll, und ich wollte wissen, ob das so ist, und wenn ja warum.

Und genau das ist der Punkt: Der Hauptanteil meiner Einarbeitung bestand darin, gewisse Konzepte zu lernen. Was für Schlüssel brauche ich? Wie komme ich zu solchen? Was sind öffentliche und geheime Schlüssel? Wie komme ich zum öffentlichen Schlüssel meines Adressaten? Kann ich irgendwie falsche Schlüssel erwischen, und wenn ja, wie kann ich das möglichst verhindern? Muss ich aufpassen, dass Anhänge mit-verschlüsselt werden? Wozu ist das Signieren von Mails gut? Kann ich unabhängig voneinander verschlüsseln und/oder signieren? Macht eine nur signierte, aber nicht verschlüsselte Mail überhaupt Sinn? Und so weiter, und so fort.

Das Mail-Programm Thunderbird und dessen Erweiterung Enigmail, die ich für meine Versuche verwendet habe, funktionierten fast tadellos. Was hier schwierig und kompliziert sein soll, kann ich nicht nachvollziehen, ausser man macht sich nicht die Mühe, das ganze auf konzeptioneller Ebene zu verstehen und wundert sich dann, dass man nicht durchkommt.

Wie ich anfangs sorgfältig versucht habe zu erklären, ist selbst E-Mail alles andere als „einfach“. Versuchen Sie sich vorzustellen, E-Mail gäbe es noch nicht, jemand würde es erfinden und der Welt vorstellen: Dieser neue Dienst würde wohl umgehend als „viel zu kompliziert für eine breite Anwendung“ taxiert.

Ich bin für mich zum Schluss gekommen, dass auf der technischen Seite mehr oder weniger alles bereit ist für eine breite Einführung von Mail-Verschlüsselung, aber dass die Sache einfach nirgens hinkommt, weil sich die Leute nicht dafür interessieren. Würden sie es tun, würden sie den Aufwand einer Einarbeitung auf sich nehmen und es schaffen. Die paar Ecken und Kanten, die da noch sind in den jeweiligen Programmen, wären auch schnell ausgebügelt.

Wie der Titel dieses Eintrags schon sagt: Alles ist zu kompliziert, wenn man nicht will.

Windows Script Host Super-Deaktivator!

Falls Sie das noch nicht getan haben, deaktivieren Sie noch heute den Windows Script Host auf Ihrem PC. Sie brauchen dieses Teil höchstwahrscheinlich nicht, und es wartet nur darauf, Ihnen ins Bein beissen zu können.


Sie wissen es vielleicht schon: Die meisten Trojaner kommen heutzutage nicht mehr direkt als Anhang einer Mail zu Ihnen; als Anhänge würden sie wahrscheinlich zu oft als Malware erkannt, und die Mails würden auch auffällig gross. Was Sie meistens bekommen, sind kleine Programme, sogenannte Skripte, geschrieben entweder in JavaScript oder in VBScript, die vom Windows Script Host (abgekürzt WSH) ausgeführt werden, wenn Sie sie doppelklicken, und es sind dann diese Skripte, welche erst den Trojaner aus dem Internet nachladen.

Könnte man nicht diese Gefahr eliminieren, indem man diesen WSH deaktiviert? Doch, könnte man. Hätte das Nebenwirkungen oder Nachteile? Nun ja, es könnte sein, dass danach gewisse Programme nicht mehr laufen, weil sie den WSH verwenden. Ist das wahrscheinlich? Wohl eher nicht: Ich z.B. habe als Programmierer auf meinem PC (mit WSH deaktiviert) jede Menge Software am Laufen, und keine davon hat sich je beschwert.

Es ist für mich eines der vielen Geheimnisse von Microsoft, wieso selbst bei Windows 10 der WSH immer noch standardmässig aktiviert ist.

Also die gute Tat für heute: Deaktivieren Sie den WSH auf Ihrem PC, falls Sie das noch nicht gemacht haben.

Es gibt schon eine Menge Anleitungen im Netz, wie man das macht, z.B. hier, hier und hier, aber irgendwie lustig: Während es sonst für jeden Unsinn eine kleine App gibt, schicken Sie diese Anleitungen los und lassen Sie mit RegEdit hantieren, was nicht ganz ungefährlich ist.

Ich habe mir gedacht, hier kann ich etwas beitragen. Sie finden in diesem ZIP hier meinen Windows Script Host Super-Deaktivator!, eigentlich nur ein sogenanntes .reg-File, mit dem man das Setzen der beiden Werte in der Registry für das Lahmlegen des WSH automatisieren kann: Einfach dieses .reg-File doppelklicken und die Sicherheitsabfragen beantworten, ob man wirklich einer Änderung der Registry zustimmt.

Windows Registry Editor Version 5.00

; Windows Script Host deaktivieren
; Megos AG, BR, 25.04.2017
; Siehe https://megosec.wordpress.com/2017/04/25/windows-script-host-super-deaktivator

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
„Enabled“=“0“

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
„Enabled“=“0“

Wenn Sie damit nicht durchkommen, weil irgendein Antiviren-Programm zwar mit Schwung die viel gefährlicheren .js und .vbs durchwinkt, aber bei .reg bockt, oder wenn Sie diesem Brunner da nicht einfach so trauen wollen, gibt es ein Tool namens NoScript von Symantec (direkter Download-Link), welches ebenso dafür sorgt, dass bei einem Klick auf ein Skript-File dieses nicht startet. Zudem kann man damit bei Bedarf WSH auch wieder aktivieren.

Aber Vorsicht: Das Tool, das bereits viele Jahre auf dem Buckel hat, läuft auf einem modernen Windows nur mit Elevation, d.h. wenn Sie es als Administrator ausführen. Alternativ können Sie es als kleinen Trick auch unter einem Filenamen wie NoScriptSetup.exe statt NoScript.exe abspeichern, denn dann wird es Windows als Installationsprogramm taxieren und selbst nach erweiterten Rechten fragen beim Start (ist Windows nicht herrlich?).

Zu guter Letzt als Bonus noch eine kurze Anleitung, wie Sie überprüfen können, ob das Deaktivieren geklappt hat: Speichern Sie folgende Zeile z.B. mit Hilfe von Notepad als Textfile mit der Endung .vbs ab, also z.B als WSH_Testen.vbs, und versuchen Sie, das File auszuführen: Wenn das wider Erwarten klappt und eine Dialogbox mit der entsprechenden Meldung erscheint, ist noch nicht gut:

WScript.Echo "Windows Script Host ist momentan aktiv"

Android-Sicherheitslücken: Der Himmel stürzt nicht ein

Kaum ein Tag vergeht, ohne dass ganz aufgeregt von irgendwelchen neuen Sicherheitslücken in Hunderten Millionen von Android-Smartphones berichtet wird. Bleiben Sie cool – die meisten Kriminellen haben offenbar anderes zu tun, als solche Lücken auszunutzen – und kümmern Sie sich mehr um dringende IT-Sicherheits-Probleme.


Android weist mittlerweile eine lange Geschichte von Sicherheitslücken auf, die zum Teil sogar lustige Namen wie Stagefright (Lampenfieber) oder QuadRooter (Vier-Wurzler?) haben. Eine Gesamt-Liste mit über 800 Einträgen findet man hier.

Selbst wenn man aus den Berichten über diese Lücken die Übertreibungen von Leuten „herausrechnet“, die etwas davon haben, Leuten Angst zu machen, bleibt Beunruhigendes übrig: Die Lücken sind real, die Android-Smartphones tatsächlich verwundbar, und zum Teil buchstäblich Hunderte von Millionen von Geräten betroffen.

Kommt noch dazu, dass viele davon bis an ihr „Lebensende“ verwundbar bleiben, weil die Hersteller längst nicht immer Updates liefern, welche die Lücken schliessen.

Wenn das bei PCs so wäre, hätten wir wohl längst chaotische Zustände, wo man gehackt würde, kaum hätte man sich mit dem Internet verbunden, Zustände schlimmer noch als damals mit der ersten Version von Windows XP (Infected in 20 Minutes).

Was passiert bei Android? Nun, ich verfolge News zu diesem Thema schon eine ganze Weile ziemlich aufmerksam, und ich kann mich nur an ganz wenige Fälle erinnern, wo Kriminelle in the wild tatsächlich versucht haben, solche Sicherheits-Lücken auszunutzen. Dinge wie das hier sind die absolute Ausnahme (technische Details dazu hier).

Sie müssen mir das nicht mal glauben. Nehmen Sie Ihre eigenen Erfahrungen: Sie kennen, das ist gar nicht zu vermeiden, eine Reihe von Leuten mit Android-Smartphones; Sie haben vielleicht selbst eines. Wurde irgendjemand davon je Opfer einer Hacker-Attacke? Eben.

Ich weiss nicht, wie es Ihnen geht, aber mich fasziniert es immer, wenn Dinge derart krass nicht zusammen zu passen scheinen. Da hat hierzulande wahrscheinlich mehr als jeder zweite ständig ein Gerät dabei, das man „hacken“ könnte, und es passiert … fast gar nichts?

Ich will diese Sicherheitslücken nicht verharmlosen: In dieser Zahl sind sie ein Skandal, und ich denke, für Spione und andere „Staats-Akteure“ sind sie ein gefundenes Fressen, wenn schon die normalen Kriminellen kaum etwas damit anfangen.

Und ja, ich finde, dass endlich etwas geschehen müsste, damit die Hersteller von Android-Geräten zeitnah Updates liefern, um Sicherheitslücken zu schliessen; Monthly Android Patchday oder so, und zwar für alle Geräte, unabhängig von Marke oder Alter.

Aber man sollte meiner Meinung nach auch aufhören, diesen Dingen soviel Aufmerksamkeit zu schenken. Android-Sicherheitslücken sind für Otto Normalverbraucher kein akutes Problem (auch wenn gar nicht so klar ist, warum eigentlich nicht). Kümmern wir uns um die vielen echten und dringenden Probleme auf dem Gebiet der IT-Sicherheit!

Aber haben Sie schon gehört: In Kürze wird man Hunderte Millionen Smartphones kapern können, in dem man ihnen einfach ein paar präparierte Datenpakete über WLAN zuschickt? Na, zittern Sie schon? Dieses Mal wird der Android-Himmel einstürzen. Ganz sicher.

Betrugs-Psychologie

Haben Sie sich auch schon gefragt, warum seit Jahren immer und immer wieder Gaddafis Witwe Ihre Hilfe beim Transfer eines Millionen-Vermögens braucht? Die Betrüger hinter diesen Mails haben gute Gründe, stets dieselben dummen Geschichten aufzutischen – zum Glück für uns.


Ich betreibe für mich privat einen eigenen Mail-Server, für eine ziemlich alte Mail-Adresse, die weit in der Welt herumgekommen ist, und auf der deshalb jede Menge Spam hereinkommt. Darunter sind natürlich auch viele Nigeria-Spams – Sie kennen das sicher, Millionenvermögen, Mithilfe beim Retten bzw. Überweisen gesucht, grosszügiger Anteil als Lohn, und so weiter.

Mit der Zeit fiel mir auf, dass die Betrüger hinter diesen Mail stets dieselbe kleine Handvoll Geschichten verwendeten, über Jahre hinweg, mit nur wenig Abwandlungen. Häufig hiess sogar die betreffende Person wie etwa der Rechtsanwalt oder der Bankmitarbeiter, der mir da schrieb, immer wieder exakt gleich.

Etwas Kreatives wie der im All zurückgebliebene nigerianische Astronaut ist die absolute Ausnahme; meistens ist es doch nur zum x-ten Mal Gaddafis Witwe, die noch irgendwo ein paar Milliönchen rumliegen hat.

Für mich war das ein grosses Rätsel: Mit immer wieder denselben ollen Geschichten legt man doch am Schluss niemanden mehr herein! Noch dazu mit solch haarsträubend unwahrscheinlichen und darum leicht zu durchschauenden Geschichten. Diese Betrüger können doch unmöglich so dumm sein und das nicht wissen! Warum nur geben sie sich beim Verfassen der Mails nicht mehr Mühe und tischen mit der Zeit raffiniertere Märchen auf, um den Nachschub an Opfern sicherzustellen?

Auf die eigentlich naheliegende Antwort bin ich selbst nicht gekommen, aber als ich sie vor einiger Zeit irgendwo im Internet las, fiel es mir wie Schuppen von den Augen: Ist ja klar!

Die Betrüger haben nichts gewonnen, wenn sie es schaffen, Sie mit einer kreativ und perfekt gestalteten ersten Mail so neugierig bzw. so unsicher zu machen, dass Sie antworten und genauer nachfragen, was denn zu tun sei. Erfolg ist erst, wenn Sie ganz am Schluss tatsächlich ohne jegliche Leistung der Betrüger denen einen brauchbar grossen Geld-Betrag rüberschieben.

So „blöd“ sind nur wenige Leute. Und die sind eben auch so blöd, dass sie praktisch jeden Quatsch glauben, den man ihnen per Mail auftischt.

Oder anders herum: Ist die Geschichte zu gut, fallen zwar eine Menge Leute zunächst darauf rein, aber wenn es dann am Schluss hart auf hart kommt und man einfach mal so 1000 Euro nach Afrika überweisen soll, klappt es nicht mehr. Was ist das Resultat für die Betrüger? Nichts ausser einer Menge Arbeit, mit zahlreichen Leuten hin und her zu mailen, die man am Schluss doch nicht dazu bringt, etwas lockerzumachen. Ökonomisch gesehen also völliger Unsinn!

Ich finde das ausgesprochen befriedigend. Zugegeben, sie sind lästig, diese Nigeria-Spammer, und ja, es kommen Leute zu Schaden, aber nur wenige, und die Sache hat quasi die Bremse gleicht mit eingebaut, die ziemlich zuverlässig verhindert, dass es allzu sehr ausartet.

Was sagt mir das in Bezug auf IT-Sicherheit? Dass manches Horrorszenario, das technisch gesehen durchaus möglich ist, eben genau das bleibt – nur ein Szenario – weil niemand da ist, der genügend davon profitieren würde, es zu realisieren.

Übrigens, betreffend nigerianischem Astronaut: Vielleicht glauben Sie mir nicht, aber Nigeria hat tatsächlich eine eigene Weltraum-Agentur

Erpressungs-Trojaner: Erst am Anfang der Evolution

Heute aktuelle Ransomware steht offenbar erst ziemlich am Anfang ihrer technischen Entwicklung, mit viel Potential einer Evolution hin zu noch „fieseren“ Programmen. Hoffen Sie deshalb nicht auf ein baldiges Abflauen der Erpressungs-Trojaner-Welle, sondern schützen Sie sich.


Ich habe in den letzten Tagen etwas mit einer aktuellen Variante des Cerber-Trojaners herumgespielt, einer sogenannten Ransomware, die Ihre Dateien verschlüsselt und erst gegen Zahlung eines Lösegelds wieder freigibt – natürlich mit der nötigen Vorsicht d.h. in einer entsprechend abgesicherten virtuellen Maschine und unter Beobachtung durch Tools wie Wireshark und ProcMon.

Die wichtigste Erkenntnis, die ich für mich bei der Analyse dieses Erpressungs-Trojaners gewonnen habe: Wenn man sich das Teil einfängt, ist man ohne Backups seiner Daten tatsächlich komplett „am Arsch“, aber technisch gesehen ist Cerber ein bemerkenswert harmloses und einfaches Programm.

Wenn ich das mit anderer, hochgerüsteter Malware vergleiche, die etwa Leute ausspionieren oder Botnets aufspannen soll, fällt vor allem auf, was das Programm in der aktuellen Version März 2017 alles nicht kann bzw. was es nicht tut:

  • Soweit ich gesehen habe, werden keine Windows-Sicherheitslücken ausgenutzt, um etwas zu tun, was eigentlich nicht zulässig sein dürfte.
  • Das Programm wendet bei mir keine psychologischen Tricks an wie z.B. als System-Meldungen getarnte Aufforderungen, um mich dazu zu bringen, ihm mehr Rechte einzuräumen.
  • Das Programm scheint keine Rootkit-ähnlichen Eigenschaften zu haben; es ist z.B. während der Verschlüsselung im Task Manager mit einem relativ auffälligen Namen sichtbar.
  • Es wehrt sich nicht dagegen, in einer virtuellen Maschine zu laufen, und lässt sich so relativ einfach analysieren.
  • Nach Ende der Verschlüsselung scheint es sich selbst vom PC zu entfernen; danach neu hingelegte Dokumente bleiben bei mir völlig unbehelligt.
  • Das EXE ist nur schlecht und recht geschützt gegen die Erkennung durch Viren-Scanner: Auf VirusTotal erkannten vorgestern 26 von 61 Analyse-Programme meine Datei-Variante als Malware und hätten sie wohl auf einem PC geblockt.
  • Ein von mir als „Köder“ hingelegter Backup im Windows Backup-Format bleibt komplett unbehelligt; offenbar reicht es als Schutz für Dateien gegen Cerber im Moment bereits, nicht zugreifbar zu sein mit den Rechten des aktiven Windows-Users.

Was ich damit sagen will: Technisch gesehen ist da noch jede Menge „Luft nach oben“, um das Programm aggressiver, schwerer zu entdecken und schwerer zu bekämpfen zu machen.

Daraus ziehe ich folgenden Schluss: Sollte Ransomware in Zukunft unter Druck kommen, so dass die Gewinne der Betreiber einzubrechen drohen, z.B. weil die PC-Anwender vermehrt dazu übergehen, Backups zu machen, dürfte es kein grosses Problem sein, die Programme entsprechend weiterzuentwickeln.

Das Ende der Fahnenstange ist in der Evolution der Erpressungs-Trojaner noch lange nicht erreicht: Cerber ist kein digitales Äquivalent eines multiresistenten Superbakteriums, sondern eher ein Tierchen, das schon mit ein wenig Penicillin tot umfällt (auch wenn es die Presse auch mal anders darstellt, siehe etwa Focus hier).

Das sagt mir, dass uns die Ransomware-Plage noch lange, lange Zeit erhalten bleiben wird. Die geht nicht einfach so wieder weg!

Also: Haben Sie Ihr Backup schon eingerichtet?