BSI warnt vor Identitätsdiebstahl: 16 Millionen E-Mail-Adressen gefährdet
+++Update 24. Januar, 10:00 Uhr+++ Bis gestern 12:00 Uhr sind gemäß offiziellen Angaben insgesamt nun schon über 22 Millionen Sicherheitstests durchgeführt wurden. Vom Diebstahl betroffen waren ca. 1,3 Millionen.
- Laut Aussagen des BSI sind nur E-Mail-Konten betroffen, die als Benutzernamen bei Online-Diensten verwendet wurden. Ob auch Benutzernamen, die nicht aus E-Mail-Adressen bestehen, mitsamt den Passwörtern ausspioniert wurden, ist ungewiss.
- Die Rückmeldung des Sicherheitstests des BSI geschieht nur bei Betroffenen. Der Erhalt einer solchen Nachricht kann wenige Minuten oder bis zu zwei Tage dauern.
+++Update 23. Januar, 10:40 Uhr+++ Die Anzahl der durchgeführten Sicherheitstests liegt aktuell bei 14 Millionen Anfragen. Bereits 933.000 betroffene User konnten vom BSI benachrichtigt werden.
+++Update 23. Januar, 08:30 Uhr+++ Aufgrund der hohen Nachfrage hat das BSI als zusätzlichen Service jetzt eine Liste der am häufigsten gestellten Fragen sowie deren Antworten veröffentlicht.
- Nach der Umprogrammierung des Sicherheitstests und regelmäßigen Aufstockungen hat die Seite des BSI dem Ansturm bereits gestern Nachmittag wesentlich besser standhalten können.
+++Update 22. Januar, 14:10 Uhr+++ Laut Angaben des BSI werden pro Stunde momentan ca. 200.000 Anfragen bearbeitet. Die Zahl ist dadurch bereits auf 12,6 Millionen durchgeführte Sicherheitstests gestiegen.
- Über den tatsächlichen Diebstahl der E-Mail-Konten und der dazugehörigen Passwörter sind schon 884.000 User informiert worden. Zudem ist im Moment noch unklar, wie und wo die Daten genau abgefangen wurden.
- Das BSI geht davon aus, dass zu den 16 Millionen Betroffenen ca. 8 Millionen deutsche User zählen.
+++Update 22. Januar, 11:30 Uhr+++ Die aktuellen Zahlen des Datendiebstahls: Mittlerweile erhielt der Sicherheitstest des BSI insgesamt nun schon 8,5 Millionen Anfragen, von denen 750.000 Konten betroffen sind.
+++Update 22. Januar, 09:30 Uhr+++ Der große Ansturm auf den Sicherheitstest des BSI legte in den vergangenen Stunden mehrfach die gesamte Seite lahm. Wer sein E-Mail-Konto testen möchte, muss also etwas Geduld mitbringen. Das BSI arbeitet daran, die Kapazität des Servers zu erhöhen. Außerdem versicherte Griese, der Sprecher des BSI, dass die im Test eingegebenen Daten nicht gespeichert werden.
- Währenddessen wurde offiziell von Michael Hange, der Präsident des BSI, bestätigt, dass der Datendiebstahl schon im Dezember festgestellt werden konnte. Grund für die spätere Bekanntgabe sei die notwendige, datenschutzgerechte Vorbereitung des Verfahrens sowie das Einstellen auf den enormen Ansturm gewesen.
- Bereits 120.000 Nutzer, von über eine Million Anfragen, konnten bis Dienstagabend um 18:00 Uhr mittels des Sicherheitstestes darüber in Kenntnis gesetzt werden, dass ihr E-Mail-Adressen und Passwörter zu den gestohlenen gehören.
Analyse von Botnets deckt E-Mail-Missbrauch auf
Gemeinsam haben Strafverfolger und Forscher Botnets untersucht und einen enormen Diebstahl von E-Mail-Konten feststellen können. Der Umfang erstreckt sich auf ca. 16 Millionen Zugangsdaten, die es den Betrügern ermöglichen, sich die Identität des jeweiligen Kontos anzueignen. Die Betroffenen werden vom BSI selbst kontaktiert und über den Diebstahl unterrichtet.
Wer jedoch vorab selbst prüfen möchte, ob das eigene Konto gefährdet ist, kann dies mit dem Sicherheitstest des BSI tun. Nach der Eingabe der eigenen E-Mail-Adresse wird diese mit der Datenbank der Identitätsdiebstähle abgeglichen. Bei einer Übereinstimmung wird automatisch eine E-Mail an die betroffene Adresse geschickt. Diese Nachricht enthält auch Tipps des BSI, was man als Nächstes tun sollte, um sich zu schützen. Sollte die Adresse nicht zur gefährdeten Liste gehören, wird keine Benachrichtigung versandt.
- Achtung: Es dürfen nur E-Mail-Adressen überprüft werden, die persönliches Eigentum sind.
Erhöhtes Risiko durch gleiche Passwörter
Das BSI weist außerdem daraufhin, dass die Verwendung ein und desselben Passwortes für verschiedene Accounts die Gefahr eines großflächigen Diebstahls unnötig erhöht. Es wird daher ausdrücklich empfohlen, ab sofort generell unterschiedliche Passwörter zu verwenden und gleiche abzuändern. Dies trifft nicht nur auf E-Mail-Postfächer, sondern auch auf Zugänge zu Online-Shops, sozialen Netzwerken und auf alle anderen Online-Portale zu.
Was bereits Betroffene tun können
Der erste Schritt, um den Betrügern einen Strich durch die Rechnung zu machen, ist es, das Passwort des gestohlenen Accounts zu ändern. Bei dem neuen Zugang sollte auf ein sicheres Passwort geachtet werden. Die Sicherheit eines Passwortes erhöht sich nicht nur durch die Länge, sondern auch die Verwendung von Buchstaben, Zahlen und Sonderzeichen.
Zum anderen sollte der Computer anschließend unbedingt auf schädliche Programme kontrolliert werden. Sie sind schließlich dafür verantwortlich, dass die Zugangsdaten überhaupt erst ausspioniert und an Dritte versendet wurden.
Häufig wird die Schadsoftware durch einen falschen Klick in einer Spam-Mail, zum Beispiel ein weiterführender Link oder Start eines Downloads, vom Nutzer unbemerkt auf dem PC installiert. Anschließend sammeln die Programme Eingaben auf der Tastatur, unter anderem bei Anmeldungen und Transaktionen. Es lohnt sich also, beim Öffnen von E-Mails auf verdächtige Merkmale zu achten, so ist zum Beispiel der Versand von Rechnungen per E-Mail häufig gefälscht.
Was während und nach des Sicherheitstests zu beachten ist
Nach der erfolgreichen Eingabe der Daten in den Sicherheitstest des BSI erscheint jedem User die folgende Meldung:
„Vielen Dank – Ihre Eingabe wird nun geprüft. Sollte sich Ihre E-Mail-Adresse in den Botnet-Daten befinden, er halten Sie eine von uns per PGP signierte E-Mail mit dem folgenden Code: (vier Buchstaben).“
Diese vierstellige Buchstabenkombination sollte man sich unbedingt merken, denn eine E-Mail des BSI sollte nur dann geöffnet werden, wenn exakt dieser Code in der Betreffzeile auftaucht. Grund für diese Sicherheitsmaßnahme ist das Risiko, dass nun Betrüger E-Mails des BSI in Spam-E-Mails nachahmen. Damit könnten sie nicht nur schädliche Software versenden, sondern auch um Verifizierung von persönlichen Daten bitten, um sensible Informationen zu sammeln.
Pingback: Datenklau: Cyber-Diebe stehlen 18 Millionen Passwörter - Spam Info
Sind diese beide E-Mail-Adresse von dieser Aktion betroffen?
Bitte wie beschrieben beim BSI prüfen.