BSI: Millionenfacher Identitätsdiebstahl von E-Mail-Adressen

Hacker haben offenbar 16 Millionen deutsche E-Mail-Adressen samt Kennwörtern erbeutet und können so die Identität der Besitzer annehmen. Das Bundesamt für Sicherheit (BSI) reagiert in einer aktuellen Meldung auf diesen Identitätsdiebstahl und bietet eine Prüfung an, ob man davon betroffen ist.


Anzeige

Botnetz erbeutet 16 Millionen Kontendaten samt Kennwörtern

Viele Details über den Identitätsdiebstahl gibt es in der BSI-Meldung nicht – aber heise.de berichtet hier, dass die E-Mail-Adressen über ein Botnetz erbeutet wurden. Das BSI schreibt, dass im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden rund 16 Millionen kompromittierte Benutzerkonten entdeckt wurden. Diese bestehen in der Regel aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort.

Identitätsdiebstahl gehört zu den Top-Gefährdungen im Internet

Identitätsdiebstahl ist eines der größten Risiken bei der Internetnutzung. Anwendungen wie E-Mail- oder Messenger-Dienste, Online-Shops oder Soziale Netzwerke erfordern die Anmeldung durch die jeweiligen Benutzer. Zur Authentisierung wird in der Regel eine Kombination aus Benutzername und Passwort genutzt. Geraten diese Daten in die falschen Hände, können sie für Identitätsmissbrauch verwendet werden.

Meist geschieht dies durch eine Schadsoftware-Infektion des genutzten Internet-Rechners. Die Schadprogramme werden unbemerkt auf den Rechnern der Anwender platziert, um beispielsweise Tastatureingaben und Anmeldevorgänge zu protokollieren oder Transaktionen direkt zu manipulieren. Die protokollierten Daten werden dann vom Nutzer unbemerkt an speziell vom Angreifer dafür präparierte Rechner im Internet („Dropzones“) gesendet, von wo sie von den Tätern heruntergeladen und missbraucht werden können.

Gelingt es, den Kriminellen, die digitalen Identitäten von Internetnutzern zu  stehlen, können sie in deren Namen auftreten, um E-Mails zu versenden, auf fremde Kosten in einem Online-Shop einzukaufen oder sich auf andere Weise zu bereichern oder den Betroffenen zu schaden.

Bin ich betroffen? Mach den Test

Auf der vom BSI eingerichteten Webseite (Link tot) kann man überprüfen, ab man von diesem Identitätsdiebstahl mit seinen eigenen E-Mail-Konten betroffen ist. Die Webseite enthält das nachfolgend gezeigte Formular, in dem sich die zu überprüfende E-Mail-Adresse überprüfen lässt.

BSI01

Die eingegebene Adresse wird dann in einem technischen Verfahren vom BSI mit den Daten aus den Botnetzen abgeglichen. Ist die Adresse und damit auch die Digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Diese Antwort-Mail enthält auch Empfehlungen zu erforderlichen Schutzmaßnahmen. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Das ist natürlich alles andere als optimal. So ist es mir heute nur einmal kurz gelungen, auf die Seite zu gelangen – der betreffende Server ist von der Zahl der Anfragen momentan hoffnungslos überlastet. Bei Anwahl der Schaltfläche Überprüfung starten hat der Server schlapp gemacht – und ich hatte das Kontrollkästchen zur Zustimmung der Verarbeitung personenbezogener Daten wohl nicht markiert. Die ausbleibende E-Mail kann also einer fehlenden Übertragung oder einer fehlenden Übereinstimmung mit den Botnetz-Daten geschuldet sein. Daher ggf. heute Nacht oder in den folgenden Tagen immer mal wieder versuchen, ob die E-Mail-Adressen überprüft werden können. 


Anzeige

Hilfe, ich bin betroffen

Falls ihr eine Benachrichtigung vom BSI bekommt, dass ihr betroffen seid, enthält die E-Mail Hinweise, wie vorzugehen ist. Das BSI empfiehlt, dass betroffene Internetnutzer in jedem Falle folgende Maßnahmen ergreifen sollten:

  • Der eigene Rechner ebenso wie andere genutzte Rechner sollten auf Befall mit Schadsoftware überprüft werden. In den Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt, die hierfür genutzt werden können.
  • Anwender sollten alle Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzwerken, Online-Shops, E-Mail-Accounts und anderen Online-Diensten nutzen. Es sollten auch diejenigen Passwörter geändert werden, die nicht zusammen mit der betroffenen E-Mail-Adresse als Login genutzt werden.

Der letzte Punkt ist auch deshalb empfehlenswert, weil im Falle einer Betroffenheit die Möglichkeit besteht, dass ein benutzter Rechner mit einer Schadsoftware infiziert ist. Diese kann neben den in den Botnetzen aufgetauchten Benutzerkennungen auch andere Zugangsdaten, Passwörter oder sonstige Informationen des Nutzers ausgespäht haben.

Wer bei Benutzerkonten anderer Internetdienste, Online-Shops oder Sozialer Netzwerke die gleichen Zugangsdaten (E-Mail-Adresse und Kennwort) verwendet, sollte diese vorsorglich ändern. Hinweise zur Nutzung sicherer Passwörter erhalten Anwender unter https://www.bsi-fuer-buerger.de/Passwoerter.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit E-Mail, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu BSI: Millionenfacher Identitätsdiebstahl von E-Mail-Adressen

  1. Günter Born sagt:

    Nachtrag: Passt zwar nicht ganz zum Blog, aber gut zum Thema. Die Gunst der Stunde nutzen andere Kriminelle, um unter dem Deckmantel SEPA-Umstellungen Bankkunden über Pishing-Ansätze TAN-Codes und Zugangsdaten von Bankkonten abzuluchsen. Spiegel Online hat hier einen Artikel zum Thema veröffentlicht.

    Und noch was gibt es nachzutragen. Spiegel Online hat den Artikel etwas ergänzt und befasst sich hier mit der Prüfseite des BSI. Eine Nutzer haben wohl das Problem, dass sie meinen, die E-Mail-Adresse würde gespeichert und missbraucht, wenn man sie ins Formular eingibt. Muss jeder selbst wissen, wie er verfährt – aber ich schätze, die Betroffenen haben jetzt ein viel größeres Problem als den Umstand, dass die E-Mail-Adresse beim BSI gespeichert werden könnte.

  2. Rainer Friedrich sagt:

    Solange das BSI nichts näheres sagt, könnte es auch sein dass im Netz Logins entwendet wurden, bspw. beim Adobehack und daher die Daten kommen. Dann muss eine positive Meldung nicht heißen, dass der eigene Rechner infiziert ist. Passwort ändern macht dann aber trotzdem Sinn ;-)

  3. Helmut sagt:

    Ich finde die Geheimniskrämerei um den Ursprung auch kritisch.
    Warum kann man es nicht einfach sagen, „Hallo, wir wurden gehackt“.
    Das passiert alle Nase mal, und praktisch kann jeder Dienst irgendwann auf die Nase fallen. Aber wie er damit umgeht, ist das entscheidende. So ists schon blöd, find ich…

    Das Passwort wäre schnell geändert, wenn man wüßte wo, anstelle jetzt darauf zu hoffen, das diese Überprüfung beim BSI funktioniert…

    Und wie Rainer Friedrich schon meinte… so weiß man nicht mal wie der Angriff gelaufen ist, oder ob überhaupt über den PC… gibt ja mittlerweile auch andere Internetfähige Geräte in entsprechender Menge…

    Oder ob es überhaupt durch einen Angriff angeregt ist, sondern nur eine Aufarbeitung der großen Dinger der letzten Zeiten…?

    „Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt.“

    Das kann ja auch um uralten Kram gehen… oder um z.B. den Gau bei Adobe neulich und Adobe hat, zumindest bei mir, direkt das Passwort zurückgesetzt, sprich es ist jetzt neu und unbekannt…

  4. Günter Born sagt:

    Nun, man sollte (nach den nun bekannt gewordenen Informationen) vordergründig davon ausgehen, dass der eigene Rechner von einem Botnetz betroffen war.

    Aber letztendlich ist das auch Jacke wie Hose: Checkt ein paar von euren E-Mail-Adressen über das verlinkte Formular. Man bekommt sofort einen ID-Code, der in der möglicherweise zugestellten Antwortmail zur Verifizierung im Betreff genannt wird (ich habe es gestern bei einigen Mail-Adressen von mir durchexerziert).

    Bekommt man eine E-Mail, empfiehlt sich, den Rechner mit einem Offline-Standalone-Virenscanner auf Virenbefall zu überprüfen – und bei Zweifeln neu aufzusetzen. Weiterhin sollte man die Kennwörter der Online-Konten wohl ändern.

  5. Rainer Friedrich sagt:

    Ich bekam auf meine Büromail eine positive Meldung (heute beim Versuch aber nicht…). Die wird aber nicht als Login verwendet, sondern ein Nutzername. Sieht also danach aus, als ob es ein anderes Login war, das im Netz abgegriffen wurde. Denn mit der Kombination logge ich mich ja nicht auf meine Mail ein.

    Setze den Rechner eh täglich aus dem Image neu auf und habe immer einen aktuellen Scanner (McAfee Enterprise) laufen.

  6. Helmut sagt:

    Aber Herr Born… ;)

    „Aber letztendlich ist das auch Jacke wie Hose“

    Grade der Tagesshow entnommen…

    14.000.000 Adressen durch das BSI überprüft,
    930.000 Treffer dabei festgestellt… sprich grade mal knapp 7%.
    Dafür haben aber letztlich 13.070.000 Überprüfungen sinnlos stattgefunden…

    Ob die geprüften Adressen überhaupt begründet überprüft wurden, steht in den Sternen, weil wichtige Informationen über die Herkunft der 16.000.000 im Botnetz gefundenen Datensätze fehlen, also war die Aktion in dieser Form nett formuliert „Sinnfrei“…

    Jacke wie Hose ist das also nicht wirklich

    Denn: 15.070.000 Adressen stehen Botnetzbetreibern immer noch zur Verfügung, wenn man den anfänglich genannten 16.000.000 denn glauben darf.
    Immer noch genug, für schlagkräftige Botnetze und immer noch genug Leute die vielleicht betroffen sind.

    Wie wäre es wohl gewesen, betroffene Adressen einfach dicht zu machen, Passwörter durch die entsprechenden Anbieter zurücksetzen zu lassen, etc? Möglichkeiten gibts genug und die gewählte war und ist Untauglich in dieser Form.
    Aber Medienwirksam… hat ja jeder drüber Berichtet ;)

    • Günter Born sagt:

      @Helmut: Als ziemlich schlichtes Gemüt setze ich darauf, dass die beim BSI sich vorab Gedanken über juristische und administrative Fragestellungen gemacht haben. Und nein, ich sehe keinen Weg. die betroffenen Adressen einfach dicht zu machen. Zum einen wegen für mich momentan nicht abschätzbarer juristischer Fragestellungen und zum anderen wegen technischer Hürden. Jeder Betreiber eines eigenen E-Mail-Servers müsste da aktiv werden. Halte ich für ein nicht zu stemmendes Unterfangen. Und das Provider in D-Land einfach mal so hingehen und alle E-Mail-Konten ihrer Kunden „dicht machen“, wird auch nicht gehen. Aber möglicherweise übersehe ich etwas. Zudem ist ja vieles spekulativ, da die Details nicht vorliegen. Von daher halte ich die breite Berichterstattung für die bessere Art – so bekommen die Leute es wenigstens mit einer gewissen Wahrscheinlichkeit mit.

      Und zum „jeder hat darüber berichtet“: Ob ich hier darüber berichte oder ein Sack Reis in China umfällt, ist jeweils ziemlich irrelevant. Von den Abrufzahlen taucht der Beitrag jedenfalls nicht in den Top 10 auf ;-).

      Was man möglicherweise kritisieren kann, ist die technische Handhabung des BSI. Aber das haben die Kollegen von heise.de hier getan.

  7. Helmut sagt:

    Hallo…

    „Und zum “jeder hat darüber berichtet”: Ob ich hier darüber berichte oder ein Sack Reis in China umfällt, ist jeweils ziemlich irrelevant.“

    War ja nicht als Kritik an sie selber gemünzt, sondern allgemein wurde dieses Thema medial ja sehr gepusht, aber eben mit fragwürdigem Ergebnis, wenn man darüber nachdenkt, wie eben die von ihnen genannten Kollegen von Heise.

    „Und das Provider in D-Land einfach mal so hingehen und alle E-Mail-Konten ihrer Kunden “dicht machen”, wird auch nicht gehen. “

    Nicht aller Kunden… aber die von kritischen Adressen, die auf solchen Listen zu finden sind… Warum nicht? Es entsteht kein Schaden mehr und die betreffenden Kunden können sich im Zweifel melden oder ihr Konto mit neuem Passwort versehen und wieder aktivieren.
    Gibt es überhaupt einen rechtlichen Anspruch auf die Email Adresse?
    Hatte nicht zum Beispiel Web.DE so was sogar direkt als Service im Angebot? Konto Sperren zum Kundenschutz bei Verdacht auf Phishing, Spam senden und Co? Also mir war so und wie andere das im Zweifel Handhaben, kann man in den AGBs nachlesen…
    Auch Google hat so seine Regeln, die eine breite Auslegung erlauben.

    https://support.google.com/mail/answer/43692?hl=de

    Punkt 3. ist da schon sehr spannend formuliert… Da kann man mal drüber nachdenken, wie schnell das Konto weg sein könnte, wenn Google denn wollte… und so was findet man bei jedem Anbieter und jeder stimmt diesen Regeln erst mal zu.
    Punkt 4. trifft dann auch mich mehrfach voll, sofern Tablet, Smartphone, Schleppi und Rechner laufen, auch wenn „Herr (Frau) Google“ in dem Falle selber nicht sehr weit gedacht hat…

    Bei Microsoft möchte ich dank Wahl des lokalen Kontos unter Win8.1 nun gar nicht erst nachschauen, oder sinnieren was eine Sperre dort bedeuten würde…

    Schönen Tag, trotzdem… und fühlen Sie sich bitte nicht angemeckert…

    • Günter Born sagt:

      @Helmut: Mit der automatischen Sperre hast Du Recht – und wenn Microsoft oder Google sperren, wird es für die Betroffenen bitter.

      Aber zum Thema „Hauptbetroffene“: Wenn ich bei Microsoft, Google, Web.de und T-Online dicht mache, habe ich eine Menge anderer Provider nicht erwischt. Ich selbst betreibe mehrere E-Mail-Konten über Web-Auftritte. Wäre fatal, wenn da irgend ein Administrator der Hoster da drüber geht und alles löscht (wobei mir nicht klar ist, ob die das überhaupt technische könnten). Bei Firmen ist es ähnlich. Ich bin kein Jurist, aber wenn ich mir vorstelle, das X kleine Firmen nicht mehr an ihre E-Mail-Adresse ran können, weil ein Dritter da eine Sperre gesetzt hat und nur ein externer Dienstleister das neu aufsetzen kann, dann dürfte das für sehr viel Ärger sorgen. Als BSI würde ich mir das nicht an’s Bein binden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.