Die meisten Computerbenutzer schauen bei einer eintreffenden E-Mail nicht zuerst auf den Betreff, sondern auf die Absenderkennung. Erscheint in der „Von“-Spalte eine bekannte E-Mail-Adresse, wird die E-Mail meist ohne Verzögerung geöffnet. Kein Wunder: Elektronische Post, die von einer bekannten Absenderadresse kommt, gilt automatisch als „vertrauenswürdig“. Niemand will Post von Freunden, Kollegen oder Verwandten verpassen – oder erwartet von bekannten Absendern unerfreuliche Inhalte.
Das ist immer häufiger ein Fehler. Denn die Absenderadresse lässt sich leicht fälschen. Sie kann genauso leicht mit beliebigen Inhalten versehen werden wie der Rest der E-Mail. Viele halten die Absenderadresse einer E-Mail irrtümlicherweise für eine Art offizielle Angabe. In Wahrheit kann der Absender aber selbst bestimmen, was im Absenderfeld stehen soll. Niemand überprüft die Angabe auf Authentizität.
Beschwerden beim vermeintlichen Absender zwecklos
Die mangelnde Glaubwürdigkeit ist ein immer größer werdendes Problem im internationalen E-Mail-Verkehr. Experten arbeiten bereits mit Hochdruck an einer Lösung, die es künftig verhindern soll, dass jeder jede Absenderadresse verwenden kann. Doch bis es so weit ist, bis sich ein Absender quasi offiziell „ausweisen“ muss, um eine E-Mail-Adresse verwenden zu können, sind Betrügereien weiterhin Tür und Tor geöffnet.
Häufig kursieren E-Mails mit seriösen Absenderadressen im Netz, auch vom Westdeutschen Rundfunk (WDR), die jedoch gar nicht von diesen Absendern kommen. Oft beschweren sich die Empfänger, sie hätten Spam, Würmer oder anderen ärgerlichen Inhalt bekommen. Doch eine Beschwerde ist sinnlos: Der Adressat weiß weder von der E-Mail, noch kommt die E-Mail von seinem Rechner oder dem Server seines Unternehmens. Traurig, aber wahr: Jeder kann eine E-Mail mit der Absenderadresse von Bill Gates, dem WDR oder einem anderen seriösen Unternehmen verschicken. Und niemand kann das verhindern, die vermeintlichen Absender am aller wenigsten.
Keinerlei Spezialkenntnisse nötig, um Absenderadresse zu fälschen
Es sind keinerlei Spezialkenntnisse nötig, um die Absenderadresse zu fälschen. Wer Zugang zu einem E-Mail-Server hat, kann auch beliebige E-Mails verschicken. PC-Benutzer können in ihrer E-Mail-Software nahezu jede beliebige Adresse als Absenderkennung eintragen: Die meisten Provider lassen im Grunde alles zu. Nur deshalb gelingt es Würmern und Spam-Versendern, Massensendungen mit gefälschten Absenderkennungen zu verschicken.
Computerwürmer und Spam-Versender, die sich längst derselben Methoden bedienen wie Computerwürmer, durchsuchen die Festplatte infizierter Rechner nach E-Mail-Adressen. Sie schauen dabei nicht nur in die Adressbücher, sondern überprüfen auch Textdateien oder auf der Festplatte gespeicherte Webseiten. Alle entdeckten E-Mail-Adressen werden sowohl als Empfänger wie als mögliche Absenderadresse verwendet. Es werden also real existierende Adressen benutzt – ohne dass jedoch ein echter Kontakt zwischen den Personen bestehen muss.
Experten können den „Header“ untersuchen
Experten und erfahrene Computerbenutzer können in den „Header“ einer E-Mail schauen. Ein jeder E-Mail vorangestellter Bereich mit Informationen über die E-Mail. Darin enthalten: Eine Art Protokoll, welchen Weg die E-Mail genommen hat (in Outlook „Ansicht > Optionen“ auswählen). Dort lässt sich nachschauen, von wo die E-Mail tatsächlich her kommt. Für Laien kommt das allerdings nicht in Frage. Sie können derzeit nur doppelt vorsichtig sein und darauf hoffen, dass möglichst bald flächendeckend Methoden eingeführt werden, die E-Mails sicherer machen.
Wer ganz sicher sein möchte, dass eine Absenderadresse nicht gefälscht wurde, muss E-Mails digital signieren – und darf nur digital signierte E-Mails akzeptieren. Das geht mit Spezialprogrammen wie Pretty Good Privay (PGP). Auch der E-Mail-Dienst Web.de bietet digitale Signaturen kann. Anhand der elektronischen Unterschrift lässt sich zweifelsfrei erkennen, ob eine E-Mail tatsächlich vom vorgegebenen Absender kommt. Das bedeutet mehr Aufwand – aber auch mehr Sicherheit. Ein Aufwand, der sich derzeit allerdings nur bei wenigen E-Mails lohnt, etwa im Geschäftsverkehr.