Die Mail-Adresse hat für die meisten Internetnutzer die Funktion eines Internet-Ausweises. Sie dient zur Anmeldung in Onlineshops und sozialen Netzwerken. Wer sein Passwort vergessen hat, lässt sich ein neues an seine Mail-Adresse senden. Das ist bequem, aber riskant, warnt das Fraunhofer-Institut. Denn viele Menschen sammelten auf diese Weise im Laufe der Jahre eine Vielzahl von E-Mail-Adressen an, von denen sie eine Reihe bald nicht mehr nutzen – und sich am Ende nicht einmal mehr daran erinnern. Weil diese Adressen bei Nichtbenutzung verfallen und dann bei einer Reihe von Anbietern wiederverwendet werden, bestehe das Risiko, dass Kriminelle solche Konten kapern, warnen die Informatiker.

Bei den zehn großen Mail-Anbietern, die die Forscher untersuchten, schwankten die Zeiträume bis zum Verfall der Adressen extrem. Die kürzeste Frist habe 30 Tage betragen, die längste ein Jahr, erklärt der Informatiker Matthias Wübbeling vom Fraunhofer-Institut. Obwohl die Informationen in der Regel in den Vertragsbedingungen der Dienste zu finden seien, ist er überzeugt: „Die meisten Nutzer werden nicht wissen, dass das geschieht.“ Die meisten Freemail-Provider gäben nach einer Karenzzeit, die ebenfalls stark schwanken könne, eine einmal verfallene Adresse zur neuerlichen Verwendung frei.

Dieses Szenario biete Angreifern leichtes Spiel, um über die Mail-Adresse an sensible Daten der Vorbesitzer, zum Beispiel fürs Online-Banking, zu gelangen. An potenziell interessante Mail-Adressen für diese Form des Identitätsdiebstahls zu gelangen, sei über das Internet nicht sonderlich schwierig. Der Informatiker-Verbund hat bei einer Recherche im Datennetz drei Milliarden Mailadressen gefunden, die nach Datenlecks großer Internetdienste veröffentlicht wurden. Über 607 Millionen dieser Adressen stammten von Freemail-Anbietern, erklärt Wübbeling. „Welcher Nutzer hat schon einen vollständigen Überblick darüber, mit welchen Daten er über seine E-Mail-Adresse wo angemeldet ist? Und wer kann somit schon lückenlos Sorge dafür tragen, dass auch jeder jemals auf eine abgelegte E-Mail-Adresse angemeldete Webdienst auf die neue Adresse umgestellt oder gekündigt wird?“ Das Risiko, das ein Internet-Nutzer mit dem sorglosen Umgang mit Mail-Adressen eingeht, vergleicht er mit der Gefahr, die ein Hausbesitzer läuft, wenn er seinen Wohnungsschlüssel verleiht und danach vergisst, ihn zurückzuverlangen.

Das Informatiker-Team habe mittlerweile mit den zehn untersuchten Mail-Anbietern Kontakt aufgenommen, um auf diese Sicherheitslücke hinzuweisen. Die sicherste Methode, um einen Missbrauch abgelegter Adressen auszuschließen, bestehe darin, jede eingerichtete Adresse für immer zu sperren, erklärt Wübbeling. Diese Methode wende zum Beispiel Google an. Der Konzern vergebe Mail-Adressen grundsätzlich nur ein einziges Mal. Eine weitere effektive Schutzmaßnahme stelle die sogenannte Zwei-Faktor-Authentifizierung dar, die aber in der Praxis selten angewendet werde.

Und was kann der Internet-Nutzer selbst tun, um sich abzusichern? Bis zu einer wirklich sicheren technischen Lösung bleibe ihm nur ein Weg, so Wübbeling: Buch über alle verwendeten Mail-Adressen zu führen und sämtliche digitalen Identitäten regelmäßig zu pflegen.