Die Vielzahl von Online-Diensten, die heute ganz selbstverständlich von den Menschen genutzt werden, bringt es mit sich, dass Nutzer:innen fast täglich sogenannte Anmeldebenachrichtigungen in ihrem E-Mail-Postfach finden. „Das ist typischerweise eine E-Mail, die man nach dem Login bei einem Online-Dienst bekommt“, erklärt CISPA-Faculty Dr. Maximilian Golla. „Darin werden Nutzer:innen darüber informiert, dass gerade eine Anmeldung stattgefunden hat. Wenn sie sich tatsächlich eingeloggt haben, können sie die E-Mail ignorieren. Haben sie aber Zweifel, ob sie das tatsächlich waren, wird empfohlen, sein Passwort zu ändern. Um die Entscheidung zu erleichtern, gibt der Dienst in der E-Mail noch weitere Informationen, etwa von wo der Login stattgefunden hat und mit welchem Gerät.“ Die weite Verbreitung der Anmeldebenachrichtigungen im Nutzer:innen-Alltag hat Golla und seine Kolleg:innen dazu motiviert, dem Thema eine eigene Studie zu widmen um herauszufinden, wie nützlich die Benachrichtigungen in der Praxis sind und wie Nutzer:innen darauf reagieren.
Zu Beginn führten die Forschenden eine vergleichende Untersuchung der Anmeldebenachrichtigungen von 72 verschiedenen Websites durch, darunter so bekannte Dienste wie google.com oder facebook.com. Ziel war herauszufinden, was die konkreten Inhalte der E-Mails sind. „Aus den genutzten Inhalten haben wir die häufigsten und gängigsten Komponenten identifiziert. Dazu gehörten etwa Informationen wie Account-Name, benutzter Browser oder Betriebssystem. Daraus haben wir dann eine generische Anmeldebenachrichtigung ohne Branding erstellt und für unsere Studie verwendet“, erklärt Golla. Damit die Teilnehmer:innen unvoreingenommen reagieren konnten, haben die Forschenden die eigentliche Studie hinter einer anderen Studie verschleiert. Dabei handelte es sich um einen Test zur räumlichen Wahrnehmung aus der Psychologie, für den die Teilnehmer:innen sich auf einer Website registrieren mussten. Per Zufall in zwei Gruppen eingeteilt, bekamen sie nach der Durchführung des Tests entweder direkt eine E-Mail mit Informationen zu ihrem tatsächlichen Login oder nach ein paar Tagen mit einem vorgetäuschten Loginversuch. Im Anschluss wurden die 229 Teilnehmer:innen aus den USA nach ihren Erfahrungen befragt.
Anmeldebenachrichtigungen helfen Angriffe zu verhindern
„Ergebnis unserer Messung ist, das 20 Prozent der Nutzer:innen aus der Gruppe, die über einen potentiell gefährlichen Login informiert wurden, korrekterweise ihr Passwort geändert haben. Aus der Gruppe derjenigen, die nach ihrem tatsächlichen Login eine E-Mail bekommen haben, hat keiner sein Passwort geändert. Aber da bestand ja auch keine Notwendigkeit. Wir schlussfolgern daraus, dass die Leute verstehen, um was es bei den Anmeldebenachrichtigungen geht.“ Wichtig ist Golla, die 20 Prozent in Kontext zu setzen: „Das mag wenig klingen, aber die E-Mails ersetzen ja kein Passwort. Sie sind einfach nur ein weiterer Sicherheitsmechanismus zu allem, was man so kennt. Ein starkes Passwort wehrt bereits die meisten Angriffe ab. Dazu kommen dann die Anmeldebenachrichtigungen, die in 20% der Fälle, in denen das Passwort versagt, helfen können Schlimmeres zu verhindern. Wer noch mehr Schutz benötigt, setzt am besten auf eine Zwei-Faktor-Authentifizierung. Aufgrund all dieser Schutzmaßnahmen wird ein Angriff immer aufwendiger.“ Insofern lässt sich schlussfolgern, dass Anmeldebenachrichtigungen eine wertvolle Hilfe sein können, um die eigene Konto-Sicherheit zu erhöhen.
Empfehlungen für Unternehmen und die weitere Forschung
Für Golla ist das wichtigste Take-Away der Studie für die Praxis, dass Nutzer:innen sich zwar Anmeldebenachrichtigungen wünschen, jedoch bitte nicht bei jedem normalen Login, sondern nur bei verdächtigen Anmeldungen. Darüber hinaus sollten die Informationen in der E-Mail möglichst konkret sein und auch schon in der Betreffzeile auftauchen. „Auf jeden Fall erwähnt werden sollte der Account-Name, der Standort, die Uhrzeit und das eingesetzte Gerät“, erklärt Golla. Anhand dieser Daten können die Nutzer:innen abgleichen, ob sie sich selbst eingeloggt haben oder nicht. „Für die Forschung bleibt die Frage offen, wie eine ideale E-Mail-Benachrichtigung aussieht“, so der CISPA-Forscher abschließend. „Dafür müsste man verschiedene Varianten durchtesten. Darüber hinaus sind viele Anmeldebenachrichtigungen nicht ausreichend getestet. Insbesondere, wenn man in der deutsch-französischen Grenzregionen lebt und arbeitet, wie wir hier im Saarland, haben die Dienste Probleme mit dem Verarbeiten und Darstellen der Standortinformationen. Des Weiteren sind viele Hilfestellungen, die wir in den E-Mails gefunden haben, wie etwa auf https in der Adresszeile zu achten, fragwürdig und veraltet.“ Es bleibt also noch einiges zu tun in diesem Forschungsfeld.
