Identitätsdiebstahl: BSI informiert Betroffene, Selbsttest online
von caschy | 31 Kommentare
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert nach einem bekannt gewordenen Identitätsdiebstahl betroffene Nutzer in Deutschland. Die Staatsanwaltschaft Verden hat dem Bundesamt für Sicherheit in der Informationstechnik einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt.
Nach der Analyse des Bundesamtes für Sicherheit in der Informationstechnik verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen. Die Inhaber der E-Mail-Adressen werden vom BSI in Zusammenarbeit mit den Online-Dienstleistern Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de informiert.
Zudem stellt das BSI wieder einen webbasierten Sicherheitstest zur Verfügung. Die Identitäten hatte man im Rahmen eines Ermittlungserfahren gefunden, die Accounts sollen hierbei zum Aufbau eines Netzes genutzt werden, welches Spam-Mails verschickt.
Das Botnetz ist noch in Betrieb, wie man seitens des Bundesamtes für Sicherheit in der Informationstechnik verlauten lässt, die gestohlenen Identitäten werden aktiv ausgenutzt. Es ist davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt – sofern ihr hier und dort das identische Passwort verwendet, was heutzutage nicht mehr gemacht werden sollte.
Aufgrund der aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de, wie man weiterhin mitteilt.
Das Bundesamt für Sicherheit in der Informationstechnik hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese ihre Kunden informieren. Hierbei soll es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken handeln, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können.
Nutzer, die einen E-Mail-Account bei einem anderen als den oben genannten Provider haben oder einen eigenen Webserver betreiben, sind aufgefordert, mithilfe des vom BSI bereitgestellten webbasierten Sicherheitstests zu überprüfen, ob sie von dem erneuten Identitätsdiebstahl betroffen sind.
Zur Arbeitsweise: Der neue Datensatz wurde in den seit Januar bestehenden Sicherheitstest eingepflegt. Die eingegebene Adresse wird in einem technischen Verfahren vom BSI mit den Daten abgeglichen, die die Staatsanwaltschaft Verden zur Verfügung gestellt hat. Ist die Adresse und damit auch die digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.
Vielleicht zum Anreiz: Mein Artikel zum digitalen Frühjahrsputz, in dem es auch um Sicherheit geht – denn eine Mail-Adresse und ein Passwort müssen einem Angreifer nicht zwingend Zugriff auf ein Konto geben. Nutzt bei verschiedenen Diensten unterschiedliche Passwörter, sofern machbar, setzt auf die Zwei-Faktor-Authentifizierung. Nutzt eventuell Passwort-Manager, die euch sichere Passwörter generieren. Lösungen wie KeePass und Co sind einfach zu bedienen und zudem kostenlos.
Wird geladen ...
Hach ich warte auf den Tag, an dem Lastpass geknackt wird. Da steigt dann der Umsatz bei Amazon um 150% innerhalb von Stunden!!!
@Felix
Albtraum! 🙁
Beim ersten Datensatz war meine Mailadresse für alle möglichen unwichtigen Konten noch nicht dabei Jetzt ist sie es. Ohne das Passwort ziemlich witzlos das ganze.
Hm, wie werden denn „deutsche Mail“ definiert? Deutsche Provider? .de-Domains?
Ja ich verstehe es auch nicht warum die nicht einfach zumindest einen Sha1 Hash des verwendeten Passworts mit senden… dann könnte man es wenigstens gefahrlos checken…
Und wie sieht es mit Gmails „Unteradressen“ aus? Ab und an benutze ich die doch ganz gerne: meineadresse+nichtganzsovertrauenswuerdigeseite@gmail.com
Wenn ich in dem BSI-Test nur meineadresse@gmail.com angebe, werden dann auch die Subpatterns erkannt? Eher nicht…
Ist doch wieder das selbe Theater wie bereits letztes Mal.. Man soll eine Mailadresse angeben und dann kommt wieder das entweder bekommt man eine Mail oder nicht. Wenn nicht, ist man nicht betroffen.
Hauptsache man sammelt wieder zig Adressen.
Und ich kann das bei dem Test gar nicht mehr überprüfen mit dem Code, da ich nicht mehr in mein Postfach rein komme. Und die halsabschneiderische web. de Hotline mit den utopischen Preisen mag ich auch nicht anrufen.
Also die Leute die mit ihrem paranoidem Adresssammeln hier ankommen, ihr werdet nicht dazu gezwungen ;). Jeder normale Internetshop kriegt eure ach so wichtige Email Adresse.
Wer gibt dem BSI den freiwillig seine E-Mail Adresse???
Bin ie dän Plöt?
Bei dem ganzen Trubel, den das BSI macht, hätten die doch einfach eine Hash-Liste der E-Mail Adressen herausgeben können. Dann kann jeder für sich still und unbeobachtet prüfen, ob … oder ob nicht.
Zudem ist das Opt-??In/Out? eine absolut dämliche Sache: Wer garantiert denn dafür, dass die Bestätigungse-mail: „sie sind betroffen“ nicht abgefangen wird – und oder sie überhaupt ankommt?
Das BSI macht sich, aus meiner Sicht, abermals lächerlich.
Klar, eine Hash-Liste veröffentlichen und „jeder“ kann das prüfen. Wie viel Prozent der Bundesbürger wären denn tatsächlich dazu in der Lage?
@Hansi: gut das Du weißt, was ich den Internetshops für Adressen angeben. Sagt dir Bielefeld etwas?
Zudem:
Wieso sollte man etwas dämlich machen, wenn es auch intelligent funktioniert? – So etwas verstehe ich bis heute nicht …
@gRml:
In der Lage … ziemlich viele.
Das richtige Gegenargument wäre gewesen: wie viele wären zu faul, um dies zu tun? Und ebenfalls richtig wäre: eine ganze Menge.
Aber wie schon gesagt, kann man eine Sache auf zweierlei Art erledigen: richtig oder faul.
Und he: was würde eine „zusätzliche“ Hashliste ändern??? Die Faulen (/ Dummen) könnten immer noch ihre Adresse dem BSI geben.
Ja der Gedanke ist gut, der Arbeitsansatz natürlich Müll. Über die Jahre gibt es natürlich hunderte von Anmeldungen, vorbildlich mit verschiedenen Passwörtern. Ohne das Passwort ist der Betroffene nun in der Not überall alles zu ändern. Das dort ein Betroffener alles ändern, die Kombi erwischt oder sich überhaupt den Aufwand macht halte ich für Zweifelhaft.
„Das Bundesamt für Sicherheit in der Informationstechnik hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese ihre Kunden informieren.“
Und wer weiss noch was für Informationen zugespielt….
Schön, dass das Bundesamt für Sicherheit nun die Daten selbst an die Wirtschaft verteilt. Bestimmt noch kostenlos.
Der gleiche schwachsinnige Ansatz wurde ja schon bei der letzten BSI-Aktion scharf kritisiert:
Wenn man keine Mail vom BSI zurück bekommt,
ist man ENTWEDER nicht betroffen,
ODER die Mail wurde abgefangen,
ODER von einem Spamfilter verschluckt,
ODER beim BSI hat der Versand nicht geklappt.
Mit anderen Worten: Die Aktion ist völlig ungeeignet, die Nutzer zu informieren.
Dabei wäre es so einfach gewesen: Einfach in jedem Fall eine Mail schicken, entweder mit einer positiven oder einer negativen Antwort.
Na klasse, diesmal bin ich wohl auch dabei.
Wahrscheinlich betrifft das irgendeine Seite, ein Forum, oder irgendwas, wo ich mich vor 100 Jahren mal angemeldet habe, mit einem Passwort, dass ich auch seit 100 Jahren nicht mehr verwende.
Ohne weitere Infos des BSI lässt sich das aber nicht herausfinden und ich darf jetzt wieder alle meine Passwörter ändern 🙁
EIN BISSCHEN MEHR INFOS BITTE, liebes BSI!
Also wenn ich so manche Schlauberger lese. 🙂
Nehmen wir mal keine Mail.
Die kann dann echt nicht betroffen sein oder nicht angekommen.
Kommt eine, dann kann Sie aber auch nicht ankommen. LOL
Oder noch besser es kommen Fake Mails mit „Sie sind betroffen“.
Oder der wo zugriff hat, hat sie eben schnell gelöscht.
Das ist also auch nix.
Dann die BSI test Paranoiker. Das geht also auch nicht.
Die meisten sind eben Free Adressen. Anrufen, Brief schicken ist also auch nix.
Wie man es macht, macht man es falsch.
Besonders bescheuert: ich soll also MÖGLICHERWEISE eine Mail auf meinen vermeintlich kompromitierten Account kriegen. Das ist ja super, kann der Passwort-Dieb gleich mal die Mail löschen bevor ich sie überhaupt zu sehen bekäme (Fail!).
So hab nun auf eine Adresse den richtigen Code gesendet bekommen…
Aber was nun? Rechner ist sauber, getestet und sonst wären auch andere Accounts betroffen.
Also was soll ich nun tun???
@Zelda Passwörter der Accounts ändern, wo deine Mail verwendet wurde.
Und vorher Lastpass installieren und „echte“ Passwörter machen lassen. Mind. 24 Zeichen inkl. Sonderzeichen, Groß, Klein, Zahlen. Die volle Dröhnung. Musst Du eh nie mehr auswendig lernen oder abschreiben. 😉