Schlagwort-Archiv: GMX

GMX-Dead-Vintage

Wenn es nervt, dann verlasse es – Kundenservice mit Füßen abstrafen

  • Sechzehn Jahre und 165 Tage bin ich nun bei GMX.
  • Vierzehn Jahre und 186 Tage habe ich bei GMX ein Profi-Account.
  • Zehn Jahre und 329 Tage bin ich TopMail Kunde bei GMX.

Und nun wird eine Ära für mich zu Ende gehen. United Internet / GMX wird es nicht kratzen. Ich bin eine Nummer unter vielen, zwar ein Zahler aber was soll es. Das Geld was ich bezahle wird lieber in Werbung gepumpt die mir eintrichtern soll, dass ich tollen Service bei dem Unternehmen habe, anstatt mir tatsächlich Service zu bieten.

GMX war mal ein aufstrebendes kleines Unternehmen, was neben einer kurzen Mail-Adresse mir am Anfang die Möglichkeit gab damals vom nervenden AOL wegzukommen. Inzwischen ist aber GMX zu dem geworden, was ich damals an AOL gehasst hatte. Die arrogante Art allumfassend aufzutreten, alles anbieten zu wollen, Dienste zu integrieren die ich bezahlen aber nicht nutzen mochte und andere Dinge rauszuwerfen, die ich dringend brauchte.

Nerv-Liste

Hier mal eine lockere Zusammenstellung, was alles an GMX mich zur Weißglut bringt:

  • Wenn ich den WebMailer benutze, dann nervt mich das superumständliche Portal. Es sieht inzwischen mehr nach AOL-Hochglanzmagazin aus, als nach einem Online-Postfach
  • Damit ich mich anmelden kann, muss ich mich erst durch JavaScript gepuzzelte Animationen wühlen
    • Außer man kennt die “geheime” Hintertür des eigentlich nicht mehr unterstützten Logins: https://service.gmx.net/login
  • Extrem langsamer Zugriff auf MediaCenter
    • Den ich nicht nutze, auch nicht das Fotoalbum, nicht den WebSpace
  • Ich nutze auch die Frei-SMS nicht
  • Die alte “Web-Mailer” Oberfläche ist alt. Die neue Web-Mailer-Oberfläche ist eine Katastrophe an Bedienung.
  • Premium-Angebote im Mail-Account
  • Die alte Blacklist von GMX konnte ganze TLD killen. So konnte ich jegliche Mails auf *.br aus meinem Spam raushalten. Das funktioniert nicht mehr. 90% meines Spam-Aufkommens kommt aus *.br Domains.
  • Die Web-Oberfläche kann nicht nach Mail-Adressen sortieren. Man kann nicht mal die Mail-Adresse anzeigen. Es wird nur der Absender-Name (Frank Mustermann) angezeigt.
  • Die Lüge der sicheren Deutschland-Mail
  • Die nervende Aufforderung bis zur Nötigung zu De-Mail und gleichzeitig mir keine Möglichkeit der Authentifizierung zu geben
  • Die nötigenden FUD-Meldungen im Browser, um mich vor Ad-Blockern zu warnen (Hey, GMX: ICH ZAHLE FÜR DEN SERVICE!)
  • Die Sperrung meines Accounts, weil meine E-Mail-Adressen angeblich im BSI-Datenpool liegen. Ohne zu informieren, welche Mail-Adresse das sein soll.
  • HTML-Mails von GMX ohne eingebettete Bilder (Umfragen, Newsletter, usw)

Ich bezahle 4,99€ pro Monat, also 29,94€ für meine Halbjahresrechnungen was knapp 60€ im Jahr sind. Für jede Menge, was mich nervt, was ich nicht nutze. Für die Bevormundungen, die nicht mal korrekt erklärt werden. Ich werde mit Pseudo-Newsdiensten zugeballert, die auf unterstem Bild-Niveau agieren und werde auch noch angepampt, wenn ich eine AdBlocker verwende. Das mit ziemlich dreisten Lügen.

Wo ich mich nicht daran stören kann (obwohl einmal mein Postfach verschwunden war und aus einem Backup gerettet werden musste) ist die Verfügbarkeit. Nur wenige Störungen gab es in den vielen Jahren. Mehr in der Anfangszeit. Aber es gab mal einen E-Mail-Service, der nun nicht mehr existiert. Zwar kann ich als TopMailer mit Premium-Account eine Festnetznummer anrufen, aber da liege ich ggf. mal 3 bis 20 Minuten in der Warteschleife. Darf man also nur mit Flatrate machen…

trenner

Fazit

Es ist an der Zeit sich zu verabschieden, GMX. Ich habe als Abschiedsgeschenk noch bei der aktuellen Zufriedenheitsumfrage mitgemacht. Aber auch da wird nur allgemeines BlaBla abgefragt und man kann gerade mal sich über die viele Werbung beschweren.

Ich werde meinen Bezahl-Account kündigen und auf FreeMail wechseln (zumindest ist jetzt endlich möglich darüber auch verschlüsselt zu arbeiten). Ich werde mir einen neuen Anbieter suchen, überall meine neuen Mail-Adressen verbreiten und die GMX-Adressen weiterleiten. Alle meine Mails seit 1997 lagern sowieso auf meinem Heim-PC (weil ich schon immer per POP abhole und IMAP faktisch nicht nutze), somit habe ich geringen Umzugsstress.

Einzig muss ich die GMX-Mails aktiv nutzen, bis ich in allen Foren und Shops, meine Accountdaten angepasst oder gelöscht habe. Denn das erfordert ja häufig eine Bestätigungsmail. Und vielleicht in ein paar Monaten werde ich die Adressen mit den umfangreichsten Black-List-Filtern versehen und den Spam-Ordner nach 3 Tagen löschen lassen. Ganz entfernen werde ich meine Adressen nicht, weil ich nicht will, dass diese irgendwann von jemanden anders verwendet werden können. Dafür war ich zu lange mit dieser “Identität” im Netz.

 

GMX BSI

Mail geklaut? Wir wissen es nicht. BSI und die Provider haben es verkackt.

Es bleibt kaum ein Monat aus, wo man Meldungen sieht, dass erneut E-Mail-Adressen in riesigen Dateien gefunden wurden, die aus irgendwelchen Quellen abgezogen wurden.

Diesmal hat wieder eine Staatsanwaltschaft auf einem Rechner eine solche Datei mit Mails und (irgendwelchen) Zugangsinformationen gefunden. Das BSI hat knapp eine Woche später den Adresspool in seine Datenbank eingepflegt und bietet den altbekannten Prüftest auf seiner Seite an.

Es gibt ein Update weiter unten…

Meine Prüfung

Auch ich habe erneut meine Mail-Adressen (trotz einiger Bedenken) dort eingegeben, weil nicht nur ich damit hantiere, sondern auch meine Familie. Dabei gilt aber bei uns, dass wir spezielle Adressen für Shops haben und auf keinen Fall die gleichen Kennwörter verwenden.

Wie schon im Januar konnte ich mich gestern glücklich schätzen, dass ich bei meinen knapp 25 verwendeten E-Mails keine Warnung vom BSI erhalten habe. Die Freude währte nicht lange. Um halb acht trudelte eine letzte Mail von GMX in meinen Client ein, dass mein Konto gesperrt würde und ich diesen mit einer Kennwortänderung wieder zugänglich machen könne.

Sicherheitssperre Ihres Postfachs

Lieber GMX Nutzer,

mit diesem Sicherheitshinweis möchten wir Sie über einen Fall von Identitätsdiebstahl informieren, von dem auch Sie betroffen sind. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden Zugangsdaten für Online-Dienste gekapert. Die Datensätze enthalten E-Mail-Adresse und Passwort, dies bedeutet jedoch nicht, dass lediglich E-Mail-Konten betroffen sind. Mithilfe des vom BSI eingerichteten Sicherheitstest unterhttps://www.sicherheitstest.bsi.de/, können Sie dies noch einmal verifizieren.

Etwas fassungslos änderte ich mein Kennwort und versuchte erneut (diesmal nur von GMX) die Mail-Adressen beim BSI einzugeben. Ich habe erneut keine Antwort-Nachricht vom BSI bekommen, dass einer meiner Adressen im abgezogenen Datenpool existieren würde.

Die Unsicherheit

Damit ist für mich die gesamte Prüfung von den “Providern” wie auch vom BSI für die Katz. Wenn ich (vermeintliche?) False-Positive habe, die nur auf der Grundlage eines Zeichenkettenvergleichs von Mail-Adressen schon ausschlagen; wenn das für mich NICHT erkennbar ist bei wem das Problem sitzt, kann ich mich auf gar nichts verlassen.

Das BSI schickt keine Mails, wenn die E-Mail nicht betroffen ist und GMX informiert nicht, welche Adresse im Datenpool gefunden wurde. Das ist doch FUD vom feinsten.

Jetzt gibt eine Liste des Zweifels, was schief gelaufen sein kann:

  1. Das BSI hat ein Mailversendeproblem
  2. Das BSI kann die eigene Datenbank nicht korrekt prüfen
  3. GMX kann die von der BSI gestellten Daten nicht richtig prüfen
  4. GMX prüft gar nicht und verschickt Sperrmeldungen
  5. Ich habe auf mind. einer der Mailadressen ein Problem oder nicht
  6. GMX hat meine Kundennummer in der Datei gefunden (mit der man sich auch anmelden kann)
  7. GMX hat eine Mail im Pool gefunden, die ich schon bei GMX gelöscht habe.

Wenn Punkt 1 und 2 fehlgeschlagen sind, gibt es ein riesiges Problem. Denn nicht alle Mail-Provider erhalten Möglichkeit der separaten Prüfung. Wer also einen eigenen Mailserver betreibt oder bei einem kleineren Provider ist, würde nun anhand der fehlenden Bestätigung des BSI annehmen es würde kein Problem geben.

Bei Punkt 3, 4 und 5 hat man zumindest eine große Verunsicherung und wird natürlich (trotz Zweifel) sein Mailkonto mit neuem Kennwort versehen und die tausende von Empfehlungen durchackern. Ggf. nichts für wieder nichts.

Auf Punkt 6 wurde ich später Aufmerksam gemacht. Aber man kann kaum was dazu sagen, da nicht öffentlich bekannt ist wie die Daten aufgebaut sind. Zudem verwende ich die Kundennummer natürlich nicht als Benutzername in Online-Shops. Auch habe ich die Nummer nur zu Anfängen GMX mal genutzt – das ist schon wirklich mehr als 10 Jahre her. Das würde bedeuten, dass entweder GMX als Provider kompromittiert war oder einer meiner PCs (z.B. durch Auslesen meiner Mails, die ich von GMX erhalten hatte). Unabhängig davon, dass ich nie einen Trojaner oder Virus fand so lange ich bei GMX bin, spricht eines gegen diese Theorie: Meine anderen Mail-Accounts (über 10 an der Zahl) hätten ebenfalls (und das viel einfacher) abgezogen werden können. Nur zu denen bekam ich vom BSI ebenfalls keine Warnung (womit wir wieder beim Punkt 1 und 2 wären).

Punkt 7 wäre eventuell auch die Lösung zu dem Problem, dass das BSI mir nichts zustellt, zu dem ich nichts anfragen kann. Da GMX mir keine Info gibt, welche Adresse das ist, stehe ich da auf dem Schlauch.

UPDATE: Ich habe beim GMX Technik-Support angerufen und konnte bestätigen lassen, dass eine Adresse bei GMX als gelöscht markiert wurde. Diese Adresse habe ich am 10.12. letzten Jahres löschen lassen und wird damit 6 Monate zur Wiederverwendung gesperrt. Das Problem ist nur, dass ich diese beim BSI nicht testen kann…

trenner

Das eigentliche Problem ist die Geheimniskrämerei

Ich und vermutlich viele andere hängen nun in einem Informationsloch der Unwissenheit was nun wirklich passiert sein mag.

Weder die Staatsanwaltschaft in Verden, noch das BSI und auch nicht die großen Provider informieren wie die Struktur der Daten aufgebaut sind. Weder beispielsweise noch im tatsächlichen Fall der Kompromittierung. Wenn GMX nicht mal in dem Schreiben angibt, welche Mail-Adresse gefunden sein mag (oder meinetwegen die Kundennummer), dann habe ich persönlich keine Möglichkeit auch nur ansatzweise vernünftige Gegenmaßnahmen durchzuführen. Sogar die Änderung des Kennwortes ist nutzlos, wenn ich für den Mail-Abruf ein anderes verwende, als für irgendwelche Shop-Logins oder im Social Media.

Was alles passiert sein kann:

  1. Mail-Adresse mit Kennwort (Auth-Daten) wurden auf einer schlecht gehosteten Seite (Shop, Forum, Social Media, Mail-Provider) abgezogen
  2. Auth-Daten wurden von dubiosen Betreibern / Mitarbeitern verkauft/verschenkt
  3. Auth-Daten wurden per Brute-Force bei Diensten abgegriffen
  4. Auth-Daten wurden vom eigenen PC abgezogen (Trojaner, Logger, Browser-Hack, Mail-Client, Phishing)

Alle vier Punkte erfordern zunächst das Ändern der Authentifizierungsdaten, darauf hin aber sehr unterschiedliche Vorgehensweisen, um weitere Probleme zu verhindern. Gerade Punkt 4 kann noch viel schlimmeres bedeuten, als nur den illegalen Zugriff auf eigene Mail-Account-Daten. Ggf. ist noch viel mehr kompromittiert.

Bei Punkt 1 muss man wissen, wo das Problem aufgetaucht ist. Wenn man, wie ich, unterschiedliche Mailadressen für verschiedene Dienste und Personen nutzt, kann man so gezielt weitere Angriffe verhindern. Ist das vom BSI nicht gewollt?

Punkt 1 und 2 kann ja bei den Mail-Providern passiert sein. Diese erhalten nun vom BSI Zugriff auf die abgezogenen Mailadressen. Kann man erwarten, dass ein kommerziell geführtes Unternehmen seine Informationspolitik derart gestaltet, dass sie zugeben selbst die Ursache zu sein? Ich habe da meine großen Zweifel. Besonders wenn es um GMX oder Web.de geht, die in Vergangenheit selbst mit FUD-Mittel gearbeitet hatten.

trenner

Fazit

Das BSI geht mit den Mail-Providern eine unheilige Allianz der Sicherheitsexperten ein, die auf der Basis Security by Obscurity arbeiten. Denn sie versuchen den Bestand der abgezogenen Daten zu verheimlichen, um angeblich weiteren Missbrauch zu verhindern. Nur machen sie es damit schlimmer: Es wird eine schnelle Aufklärung der Quellen verhindert. Evtl. ursächliche Schuldige bei Mail-Hostern können verschleiern. Weitere vergangene Angriffe können nicht erkannt werden, weil man als Betroffener dumm gehalten wird.

Darüber hinaus scheint es ein massives handwerkliche Problem zu geben, wenn GMX die Konten seiner Nutzer auf einer Datenbasis sperrt, die angeblich auch das BSI hat. Nur erhält man unterschiedliche Ergebnisse, prüft man das selber.

UPDATE: Wenn es sich um meine einzige gelöschte Mail-Adresse handeln sollte, gibt es immer noch ein “handwerkliches” Problem. Denn diese lässt sich über die BSI Sicherheitsseite nicht testen, eine Warn-Mail würde bei mir nicht ankommen. GMX kann mir übrigens nicht mitteilen, welche Adresse tatsächlich der Trigger für die Sperre war. Laut Auskunft der Technik wird die problematische Adresse nicht gespeichert, nur der Hinweis weswegen gesperrt wurde: Der BSI-Datenpool. Soweit war ich auch schon.

Es bleibt ein sehr ungutes Gefühl, dass ein ganzes Sicherheitsministerium mit der Sache überfordert ist. Die Betroffenen (wenn sie es denn wissen) werden dabei allein gelassen.