Der E-Mail-Dienst für PC-Profis, Ausgabe vom 2. Dezember 2005

Warum die BKA-Mail nicht vom BKA kommen kann

Von Dr. Giesbert Damaschke, München

Liebe Leser,

Sober und kein Ende – nach wie vor verbreitet sich die aktuelle Wurminfektion im Internet. Besonders hartnäckig sind dabei die angeblichen E-Mails vom BKA, in denen strafrechtliche Schritte wegen illegaler Downloads angekündigt werden.

Die enorme Verbreitung gerade dieser Mail ist ein Beleg dafür, dass viele Empfänger sich von der Fälschung täuschen lassen. Es kann also nicht schaden, sich vor Augen zu führen, was an dieser E-Mail alles nicht stimmt und warum sie auf keinen Fall echt sein kann.

Nachdem an dieser Stelle bereits einmal die in der Mail genannte IP-Adresse überprüft wurde, um zu zeigen, dass diese Mail nicht vom BKA stammen kann (s. dazu "Business-PC Daily" vom 23. November), soll es diesmal um einige sprachliche und formale Aspekte der E-Mail selbst gehen. Denn auch ohne technische Hintergründe lässt sich bereits an der Form der Mail erkennen, dass es sich um eine Fälschung handelt.

Zuvor soll zur Erinnerung die angebliche Mail vom BKA noch einmal kurz zitiert werden:

Die angebliche BKA-Mail

From: Downloads@bka.bund.de

To: e-user@lists.damaschke.de

Date: Mon, 21 Nov 2005 22:52:14 UTC

Subject: Sie besitzen Raubkopien

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 241.152.151.187 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.

Aktenzeichen NR.:#3092 (siehe Anhang)

Der Fehler steckt im Detail

Diese Mail mag auf den ersten, flüchtigen Blick – vielleicht auch in Kombination mit einem schlechten Gewissen – überzeugend genug wirken, um auf den Anhang zu klicken.

Doch man lasse sich nicht ins Bockshorn jagen. Ein nüchterner Blick genügt, um die Mail als Fälschung zu entlarven.

Gehen wir die angebliche BKA-Mail einfach mal der Reihe nach durch.

From: Downloads@bka.bund.de

Als Absender nur eine nackte, generische E-Mail-Adresse ohne Klartextname des Absenders? Sehr verdächtig.

To: e-user@lists.damaschke.de

Hier handelt es sich natürlich um ein individuelles Detail der Mail an mich, aber ich bin mir sicher, dass es bei anderen Empfängern ähnlich aussieht.

Diese Adresse gibt es bei "damaschke.de" nicht, das heißt diese Mail hätte mich nie erreichen dürfen. Dass sie es dennoch tat, ist ein Zeichen dafür, dass bei der Adressierung der Mail getrickst wurde. Nun mag man dem BKA ja vieles zutrauen – aber dass man dort E-Mail-Adressen fälscht, doch wohl eher nicht.

Date: Mon, 21 Nov 2005 22:52:14 UTC

"UTC" ist die Abkürzung für "Universal Time Coordinated" und hat in einem E-Mail-Datum eigentlich nichts zu suchen. Noch seltsamer ist freilich, dass ein deutscher Absender mit englischem Datum und nicht aus der Zeitzone "CET" (Central European Time) bzw. "MEZ" (Mitteleuropäische Zeit) mailen sollte. Das ist schließlich die Zeitzone, in der er sich befindet.

Subject: Sie besitzen Raubkopien

Ich weiß ja nicht, wie es anderen geht – aber ich glaube nicht, dass das BKA solche Betreffzeilen schreiben würde. Das ist natürlich kein strenger Beweis, aber in meinen Ohren klingt die Betreffzeile viel zu "unbehördlich", als dass ich sie für echt halten könnte.

Sehr geehrte Dame, sehr geehrter Herr,

Preisfrage: Wer hat in der letzten Zeit eine E-Mail oder einen Brief bekommen, in dem die Begrüßung "Sehr geehrte Dame" lautete? Das ist schlicht keine korrekte deutsche Anrede. Die müsste nämlich lauten: "Sehr geehrte Frau", oder "Sehr geehrter Herr" (jeweils gefolgt vom Namen, versteht sich).

Will man beide Nennungen zusammen haben, bleibt nur die unpersönliche Anrede – und die lautet entweder "Sehr geehrte Damen, sehr geehrte Herren" oder "Sehr geehrte Damen und Herren" – aber auch das kann natürlich nicht sein. Wenn es um eine angeblich konkrete Anzeige geht, kann man nicht eine unpersönliche Anrede wählen.

Käme diese Mail tatsächlich vom BKA, dann stünde da vermutlich: "Sehr geehrter Herr Dr. Damaschke". Und weil das nicht so ist, liegt die Schlussfolgerung, dass der Autor der Mail kein kompetenter Teilnehmer der deutschen Sprachgemeinschaft ist, sehr nahe.

Anders gesagt: vermutlich stammt die Mail von jemanden, für den Deutsch eine Fremdsprache ist – und damit wohl nicht vom BKA.

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.

Das ist so pauschal natürlich falsch, sonst wäre z. B. Apples Music Store schon längst aus dem Netz geklagt worden. Und warum sollte es verboten sein, selbstgedrehte Urlaubsfilme oder selbstproduzierte Musikstücke aus dem Netz zu laden? Auch die Behauptung, etwas sei illegal und somit strafbar ist mehr als verdächtigt, schließlich gibt es Fälle, in denen ein illegales, aber nicht strafbewehrtes Verhalten vorliegt (mitlesende Juristen mögen mich bitte korrigieren, falls ich mich hier irre).

Und fehlt da nicht etwas? Genau: Es fehlt die Angabe, nach welcher Rechtsvorschrift das angegebene Verhalten überhaupt strafbar sein soll.

Wir moechten

Nanu – eine deutsche Mail ohne Umlaute?

Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 241.152.151.187 erfasst wurde.

Hier sind mindeste drei Dinge seltsam bzw. falsch: "unter der IP" – da fehlt: "-Adresse". Die IP-Adresse gehört, wie eine Whois-Abfrage schnell zeigt, zu einem von der Iana für "special use" reservierten Bereich, kann also nicht zum Pool eines Providers gehören. Obendrein ist die Zuordnung von IP-Adresse zu einem konkreten Computer bei einem Dial-Up-Zugriff nur möglich, wenn der Provider die entsprechenden Daten rausrückt – was er so ohne weiteres nicht tut.

Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt

Wie, bitte schön, soll das denn gehen? Und selbst wenn es geheimnisvolle technische Möglichkeiten geben sollte, mit denen es möglich ist, den Inhalt meines Rechners gewissermaßen "abzusaugen", ohne dass ich davon etwas mitbekomme, wäre das wohl immer noch ein Eingriff in meine Privatsphäre und Datendiebstahl. Und ausgerechnet das BKA soll dergleichen treiben? Glaube ich nicht.

und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Tippfehler sind menschlich und unterlaufen wohl auch BKA-Beamten. Aber das "eingleitet" scheint mir dennoch ein weiteres Indiz dafür zu sein, dass für den Autor der Mail Deutsch eine Fremdsprache und diese Mail eine Fälschung ist.

Aktenzeichen NR.:#3092

Aktenzeichen sind ein gar nicht so triviales Thema für sich – aber selbst einem Laien sollte auffallen, dass die angegeben Nummer nicht stimmen kann. Nicht nur, weil "NR." und "#" doppelt gemoppelt ist, sondern auch, weil keine Registratur kommt mit einfachen, vierstelligen Zahlen aus.

Sie sehen, selbst dem ungeübten Auge sollte diese Mail bei genauerem Hinsehen als Fälschung erkennbar sein.

Also: Bange machen gilt nicht! Klicken Sie niemals auf einen Dateianhang, wenn Sie nicht sicher sind, was er enthält. Ganz gleich, was Ihnen der Absender erzählt.

Ihr

Dr. Giesbert Damaschke

Aus der Gerüchteküche: Microsoft plant Kleinanzeigen-Markt im Internet

Microsoft ist unverkennbar dabei, neue Tätigkeitsfelder und Geschäftsmöglichkeiten im Internet auszuloten. Jüngstes Beispiel ist "Fremont", der neuste Teil des "Live"-Projekts. Dabei soll es sich um einen Kleinanzeigen nach dem Beispiel von "Googles Base" handeln, das vor rund zwei Wochen online ging. Noch ist Freemont allerdings nicht öffentlich zugänglich, sondern nur für Microsoft-Mitarbeiter zu nutzen. Das soll sich im Laufe dieses Monats allerdings ändern. Benannt wurde "Freemont" vermutlich nach dem Kleinanzeigenmagazin "Freemont Sunday Market" aus Seattle.

Microsoft Freemont (nicht öffentliche Beta)

Vorsicht! Trojaner attackiert Internet Explorer

Vor einigen Tagen entpuppte sich eine bislang als eher lästig, aber harmlos eingeschätzte Lücke im Internet Explorer als potentiell gefährlich (s. dazu "Business-PC Daily" vom 23. November).

Diese Lücke ist schon seit etlichen Wochen bekannt, ein Patch liegt bislang aber nicht vor, das das Sicherheitsrisiko als gering eingestuft wurde.

Nun wurde aus dem theoretischen Szenario eine reale Bedrohung: Mit "Delf.DH" ist der erste Trojaner im Internet aufgetaucht, der sich diese Lücke gezielt zu Nutze macht. Besonders fatal: Bis auf "Windows Server 2003" sind alle Windows-Systeme betroffen.

Microsoft hat immer noch keine Lösung für dieses Problem bereit und empfiehlt als Workaround lediglich die Deaktivierung von Active Scripting.

Ob ein Rechner bereits infiziert ist, lässt sich laut dem Fachmagazin "c't" leicht feststellen. Auf befallenen Systemen findet sich im Autostart-Ordner eine Daten namens "KVG.exe" oder "keks.exe". Der Trojaner selbst taucht als "all.exe" im Windows-Verzeichnis auf.

Bis Microsoft eine Patch bereit gestellt hat, empfiehlt es sich, auf nicht befallene Browser wie Firefox oder Opera umzusteigen. Beide Browser sind kostenlos und dem Internet Explorer nicht nur unter Sicherheitsaspekten deutlich überlegen.

Firefox 1.5

Opera 8.51

Cebit 2006: Jetzt sagt auch Cisco ab

Als vor einiger Zeit Sony bekannt gab, dass man die Cebit 2006 nicht besuchen werde, wurde als Begründung genannt, die Messe sei zu geschäftsmäßig orientiert und man fände sein Publikum eher auf der Ifa in Berlin.

Nun sagt der Netzwerk-Spezialist Cisco aus genau umgekehrten Gründen seine Teilnahme ab. Die Cebit sei zu stark auf Endverbraucher ausgerichtet, als dass man eine Teilnahme für sinnvoll erachte. Statt der Cebit will Cisco lieber eigene Hausmessen organisieren. Der erste deutsche "Cisco Expo" soll im Mai statt finden.