Neues vom BSI

Aktuelles, IT, Meinung

Es ist wieder passiert: Wie man in Funk, Fernsehen und den neuen Medien erfahren kann, sind diversen deutschen E-Mail-Providern wieder einige Millionen E-Mailadressen mit Passwörtern abhanden gekommen. Das BSI hat, wie vor ein paar Monaten auch schon, wieder dazu aufgerufen, das gleiche System zu benutzen, wie damals. Nur hat diese ganze tolle Sache, dieses ganze tolle vom BSI erdachte System einen gravierenden Haken:

WARUM soll ich eine E-Mailadresse in ein Feld eintragen und dann hoffen, dass (k)eine Antwortmail kommt?

Um meinen Ärger zu verstehen erkläre ich kurz die Prozedur des E-Mail-Validierens beim BSI:

  1. Der Benutzer surft auf ein Webformular des BSI
  2. Der Benutzer gibt auf der erscheinenden Seite seine Mailadresse ein
  3. Der Benutzer muss sich einen Code merken, den er in der in Schritt 4 erzeugten E-Mail im Betreff lesen kann
  4. Der Benutzer bekommt eine E-Mail – oder eben nicht und muss den Betreff mit dem zuvor notierten Wert vergleichen.

Schritt 3 ist meiner Meinung nach der Schwachpunkt der ganzen Aktion – warum tut es nicht einfach eine Abfrageseite, ob die E-Mailadresse in der Liste ist oder nicht? Einfach ein Formular aufsetzen das mit https gesichert ist und dann erscheint ein grünes Häckchen wenn die Adresse sauber ist oder ein rotes Kreuz wenn die Adresse in der Liste ist.

Warum macht man es und den Benutzern so schwer? Klar, die Datenbank hat Millionen von Einträgen aber erzeugt die Generierung und das Versenden einer Validierungsmail, die der Benutzer am Ende bekommt (oder eben nicht) eine unnötige Systemlast?

Zusätzlich dazu reden wir hier von E-Mails und nicht von E-Post-Briefen, DE-Mails oder Einschreiben. Normale E-Mails können gerne auch mal verschwinden oder wesentlich verspätet ankommen. Ob das BSI sich dessen bewusst ist? Dazu kommen noch Spamfilter, die gerne E-Mails „fressen“, die vermehrt bei einem Provider ankommen.

Mein persönliches Fazit hierzu:

Es wird den Benutzern schon wieder unnötig schwer gemacht, ihre Mailadressen zu überprüfen. Statt einfach eine Datenabfrage zu machen wird gleich ein Fass mit Antwortmail und Betreffcode aufgemacht. Das ist meiner Meinung nach unnötig und auch gefährlich, eine nicht erhaltene E-Mail ist nur bedingt ein Garant dafür, dass die E-Mail nicht auf der neuen oder auch auf der alten beschlagnahmten Liste ist. Der Benutzer könnte sich so in falscher Sicherheit glauben.

Eine Verbesserung gab es allerdings zum letzten Mal: Die Provider sind angehalten, die Kunden zu informieren sollte sich ihre Mailadresse auf der neuen Liste befinden. Problematisch ist es allerdings, wenn man Providermails generell als Spam eingestellt hat und diese garnicht bekommt – kommt bei web.de- und gmx.de-Kunden gelegentlich mal vor.