Mobile Webmail

Sicherheitslücke bei Web.de, GMX und 1&1 geschlossen

18.08.2015
Waren über eine Sicherheitslücke bei Webmail-Diensten persönliche Nutzerdaten in Gefahr, in die falschen Hände zu geraten? Die Lücke ist längst geschlossen. Anbieter 1&1 spricht von einem "Sturm im Wasserglas".

Das Magazin "Wired Germany" hat in mobilen Webmail-Angeboten von Web.de, GMX und 1&1 eine Sicherheitslücke entdeckt. Das Problem wurde inzwischen behoben. "Wir hatten keinen einzigen Hinweis darauf, dass die Lücke missbraucht worden ist", sagte ein Sprecher des Anbieters der Deutschen Presse-Agentur am Dienstag. Es habe sich ohnehin um einen recht theoretischen Fall gehandelt.

In Montabaur tut man den Bericht als 'Sturm im Wasserglas' ab...
In Montabaur tut man den Bericht als 'Sturm im Wasserglas' ab...
Foto: United Internet

Wie "Wired Germany" am Dienstag berichtete, hätten sich Unbefugte unter bestimmten Voraussetzungen Zugang zu den E-Mail-Postfächern von Nutzern verschaffen können. Der Kontoeigentümer hätte dafür im vermeintlich sicheren Protokoll HTTPS einen Link in der Mail eines potenziellen Angreifers anklicken müssen. Daraufhin habe der Angreifer in E-Mails enthaltene Informationen stehlen können.

Potenziell hätten 1,7 Millionen Accounts betroffen sein können, schrieb "Wired Germany". Dem widersprach der 1&1-Sprecher. Es handele sich eher um einen "Sturm im Wasserglas". Für einen tatsächlichen Angriff hätte eine ganze Reihe von Bedingungen zeitgleich erfüllt sein müssen. Die Schwachstelle sei seit dem 14. August geschlossen.

Wie auch "Wired Germany" schreibt, wären Nutzer gefährdet gewesen, die sich in einem ungeschützten Bereich etwa eines Internet-Cafés befanden und die Cookie-Einstellungen an ihrem mobilen Gerät deaktiviert hatten. Zudem hätte der Nutzer aktiv den Link anklicken müssen.

Als weitere Bedingung hätte ein Angreifer aber den Spamfilter überlisten müssen, fügte der 1&1-Sprecher hinzu. Zudem würde ein Logout den Angriff unmittelbar beendet haben. Nach internen Berechnungen hätte statistisch gesehen weniger als ein Nutzer des Webmail-Dienstes betroffen gewesen können, sagte er. "Uns liegen auch nach eingehender Analyse keine Indizien vor, dass dies geschehen ist". (dpa/tc)