Identitätsdiebstahl: BSI informiert Betroffene, Selbsttest online

7. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert nach einem bekannt gewordenen Identitätsdiebstahl betroffene Nutzer in Deutschland.  Die Staatsanwaltschaft Verden  hat dem Bundesamt für Sicherheit in der Informationstechnik  einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt.

Datenschutz Tastatur finger

Nach der Analyse des Bundesamtes für Sicherheit in der Informationstechnik verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen. Die Inhaber der E-Mail-Adressen werden vom BSI in Zusammenarbeit mit den Online-Dienstleistern Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de informiert.

Zudem stellt das BSI wieder einen webbasierten Sicherheitstest zur Verfügung. Die Identitäten hatte man im Rahmen eines Ermittlungserfahren gefunden, die Accounts sollen hierbei zum Aufbau eines Netzes genutzt werden, welches Spam-Mails verschickt.

Das Botnetz ist noch in Betrieb, wie man seitens des Bundesamtes für Sicherheit in der Informationstechnik verlauten lässt, die gestohlenen Identitäten werden aktiv ausgenutzt. Es ist davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt – sofern ihr hier und dort das identische Passwort verwendet, was heutzutage nicht mehr gemacht werden sollte.

Aufgrund der aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de, wie man weiterhin mitteilt.

Das Bundesamt für Sicherheit in der Informationstechnik hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese ihre Kunden informieren. Hierbei soll es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken handeln, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können.

Nutzer, die einen E-Mail-Account bei einem anderen als den oben genannten Provider haben oder einen eigenen Webserver betreiben, sind aufgefordert, mithilfe des vom BSI bereitgestellten webbasierten Sicherheitstests zu überprüfen, ob sie von dem erneuten Identitätsdiebstahl betroffen sind.

Zur Arbeitsweise: Der neue Datensatz wurde in den seit Januar bestehenden Sicherheitstest eingepflegt. Die eingegebene Adresse wird in einem technischen Verfahren vom BSI mit den Daten abgeglichen, die die Staatsanwaltschaft Verden zur Verfügung gestellt hat. Ist die Adresse und damit auch die digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Vielleicht zum Anreiz: Mein Artikel zum digitalen Frühjahrsputz, in dem es auch um Sicherheit geht – denn eine Mail-Adresse und ein Passwort müssen einem Angreifer nicht zwingend Zugriff auf ein Konto geben. Nutzt bei verschiedenen Diensten unterschiedliche Passwörter, sofern machbar, setzt auf die Zwei-Faktor-Authentifizierung. Nutzt eventuell Passwort-Manager, die euch sichere Passwörter generieren. Lösungen wie KeePass und Co sind einfach zu bedienen und zudem kostenlos.



Quelle: bsi |
Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22143 Artikel geschrieben.

31 Kommentare

Felix 7. April 2014 um 09:45 Uhr

Hach ich warte auf den Tag, an dem Lastpass geknackt wird. Da steigt dann der Umsatz bei Amazon um 150% innerhalb von Stunden!!!

Thorsten 7. April 2014 um 10:27 Uhr

@Felix

Albtraum! 🙁

Marzel 7. April 2014 um 10:33 Uhr

Beim ersten Datensatz war meine Mailadresse für alle möglichen unwichtigen Konten noch nicht dabei Jetzt ist sie es. Ohne das Passwort ziemlich witzlos das ganze.

Harald 7. April 2014 um 10:46 Uhr

Hm, wie werden denn „deutsche Mail“ definiert? Deutsche Provider? .de-Domains?

3rain3ug 7. April 2014 um 10:49 Uhr

Ja ich verstehe es auch nicht warum die nicht einfach zumindest einen Sha1 Hash des verwendeten Passworts mit senden… dann könnte man es wenigstens gefahrlos checken…

Fips von Fups 7. April 2014 um 10:52 Uhr

Und wie sieht es mit Gmails „Unteradressen“ aus? Ab und an benutze ich die doch ganz gerne: meineadresse+nichtganzsovertrauenswuerdigeseite@gmail.com
Wenn ich in dem BSI-Test nur meineadresse@gmail.com angebe, werden dann auch die Subpatterns erkannt? Eher nicht…

Herr Hauser 7. April 2014 um 11:18 Uhr

Ist doch wieder das selbe Theater wie bereits letztes Mal.. Man soll eine Mailadresse angeben und dann kommt wieder das entweder bekommt man eine Mail oder nicht. Wenn nicht, ist man nicht betroffen.

Hauptsache man sammelt wieder zig Adressen.

Mario 7. April 2014 um 11:22 Uhr

Und ich kann das bei dem Test gar nicht mehr überprüfen mit dem Code, da ich nicht mehr in mein Postfach rein komme. Und die halsabschneiderische web. de Hotline mit den utopischen Preisen mag ich auch nicht anrufen.

Hansi 7. April 2014 um 11:33 Uhr

Also die Leute die mit ihrem paranoidem Adresssammeln hier ankommen, ihr werdet nicht dazu gezwungen ;). Jeder normale Internetshop kriegt eure ach so wichtige Email Adresse.

Wixxer 7. April 2014 um 11:42 Uhr

Wer gibt dem BSI den freiwillig seine E-Mail Adresse???

Bin ie dän Plöt?

Bei dem ganzen Trubel, den das BSI macht, hätten die doch einfach eine Hash-Liste der E-Mail Adressen herausgeben können. Dann kann jeder für sich still und unbeobachtet prüfen, ob … oder ob nicht.

Zudem ist das Opt-??In/Out? eine absolut dämliche Sache: Wer garantiert denn dafür, dass die Bestätigungse-mail: „sie sind betroffen“ nicht abgefangen wird – und oder sie überhaupt ankommt?

Das BSI macht sich, aus meiner Sicht, abermals lächerlich.

gRml 7. April 2014 um 11:44 Uhr

Klar, eine Hash-Liste veröffentlichen und „jeder“ kann das prüfen. Wie viel Prozent der Bundesbürger wären denn tatsächlich dazu in der Lage?

Wixxer 7. April 2014 um 11:45 Uhr

@Hansi: gut das Du weißt, was ich den Internetshops für Adressen angeben. Sagt dir Bielefeld etwas?

Zudem:
Wieso sollte man etwas dämlich machen, wenn es auch intelligent funktioniert? – So etwas verstehe ich bis heute nicht …

@gRml:
In der Lage … ziemlich viele.
Das richtige Gegenargument wäre gewesen: wie viele wären zu faul, um dies zu tun? Und ebenfalls richtig wäre: eine ganze Menge.

Aber wie schon gesagt, kann man eine Sache auf zweierlei Art erledigen: richtig oder faul.

Und he: was würde eine „zusätzliche“ Hashliste ändern??? Die Faulen (/ Dummen) könnten immer noch ihre Adresse dem BSI geben.

Thomas 7. April 2014 um 11:49 Uhr

Ja der Gedanke ist gut, der Arbeitsansatz natürlich Müll. Über die Jahre gibt es natürlich hunderte von Anmeldungen, vorbildlich mit verschiedenen Passwörtern. Ohne das Passwort ist der Betroffene nun in der Not überall alles zu ändern. Das dort ein Betroffener alles ändern, die Kombi erwischt oder sich überhaupt den Aufwand macht halte ich für Zweifelhaft.

Namenlos, weil Cookies gelöscht... 7. April 2014 um 12:14 Uhr

„Das Bundesamt für Sicherheit in der Informationstechnik hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese ihre Kunden informieren.“

Und wer weiss noch was für Informationen zugespielt….
Schön, dass das Bundesamt für Sicherheit nun die Daten selbst an die Wirtschaft verteilt. Bestimmt noch kostenlos.

Jo 7. April 2014 um 12:45 Uhr

Der gleiche schwachsinnige Ansatz wurde ja schon bei der letzten BSI-Aktion scharf kritisiert:

Wenn man keine Mail vom BSI zurück bekommt,

ist man ENTWEDER nicht betroffen,
ODER die Mail wurde abgefangen,
ODER von einem Spamfilter verschluckt,
ODER beim BSI hat der Versand nicht geklappt.

Mit anderen Worten: Die Aktion ist völlig ungeeignet, die Nutzer zu informieren.

Dabei wäre es so einfach gewesen: Einfach in jedem Fall eine Mail schicken, entweder mit einer positiven oder einer negativen Antwort.

Lassitter 7. April 2014 um 13:16 Uhr

Na klasse, diesmal bin ich wohl auch dabei.

Wahrscheinlich betrifft das irgendeine Seite, ein Forum, oder irgendwas, wo ich mich vor 100 Jahren mal angemeldet habe, mit einem Passwort, dass ich auch seit 100 Jahren nicht mehr verwende.

Ohne weitere Infos des BSI lässt sich das aber nicht herausfinden und ich darf jetzt wieder alle meine Passwörter ändern 🙁

EIN BISSCHEN MEHR INFOS BITTE, liebes BSI!

John 7. April 2014 um 13:25 Uhr

Also wenn ich so manche Schlauberger lese. 🙂

Nehmen wir mal keine Mail.

Die kann dann echt nicht betroffen sein oder nicht angekommen.

Kommt eine, dann kann Sie aber auch nicht ankommen. LOL
Oder noch besser es kommen Fake Mails mit „Sie sind betroffen“.

Oder der wo zugriff hat, hat sie eben schnell gelöscht.

Das ist also auch nix.

Dann die BSI test Paranoiker. Das geht also auch nicht.

Die meisten sind eben Free Adressen. Anrufen, Brief schicken ist also auch nix.

Wie man es macht, macht man es falsch.

Link 7. April 2014 um 13:25 Uhr

Besonders bescheuert: ich soll also MÖGLICHERWEISE eine Mail auf meinen vermeintlich kompromitierten Account kriegen. Das ist ja super, kann der Passwort-Dieb gleich mal die Mail löschen bevor ich sie überhaupt zu sehen bekäme (Fail!).

Zelda 7. April 2014 um 14:44 Uhr

So hab nun auf eine Adresse den richtigen Code gesendet bekommen…

Aber was nun? Rechner ist sauber, getestet und sonst wären auch andere Accounts betroffen.

Also was soll ich nun tun???

caschy 7. April 2014 um 14:46 Uhr

@Zelda Passwörter der Accounts ändern, wo deine Mail verwendet wurde.

    Felix 7. April 2014 um 14:51 Uhr

    Und vorher Lastpass installieren und „echte“ Passwörter machen lassen. Mind. 24 Zeichen inkl. Sonderzeichen, Groß, Klein, Zahlen. Die volle Dröhnung. Musst Du eh nie mehr auswendig lernen oder abschreiben. 😉

GrrrBrrr 7. April 2014 um 15:03 Uhr

Für jeden Account eine eigene E-Mail-Adresse anzulegen kann auch Nachteile haben. Jetzt darf ich rund 200 Wegwerf-Adressen prüfen, ob sie betroffen sind. 🙁

Zelda 7. April 2014 um 15:06 Uhr

@Caschy:
Danke, das ist schon über einen Linux Rechner erledigt worden.
Mich wundert es nur, wie mein Rechner sauber sein kann (gibt evtl. Empfehlungen welches Tool ich zur Überprüfung nochmal verwenden kann?) und ich trotzdem mit dabei bin?

Sean 7. April 2014 um 16:16 Uhr

Mhhh… meine primäre Mailadresse ist diesmal wohl auch dabei. Das Kennwort änder ich aber regelmäßig + 2 Faktorauthorisierung. Bin also in der Hinsicht safe. Hätte aber trotzdem gerne den Hash zu dem Passwort das wohl auch in der Datenbank steht, damit ich weiß welche anderen Accounts ich noch ändern muss…

Franz 7. April 2014 um 17:14 Uhr

das problem bei lastpass und co. ist doch wenn man an einem anderen rechnen sitzt wo man die datenbank gerade nicht zur verfügung hat man „ausgesperrt“ ist

Cindy 23. April 2014 um 22:08 Uhr

trotz alle dem ist das angebot ein absoluter scherz. wie soll ich denn an meine mail kommen, wenn ich nicht mal in meinen acc reinkomme? ein bischen sinnlos




Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.