Identitätsdiebstahl: Stellungnahme des Bundesamts für Sicherheit in der Informationstechnik
von caschy | 15 Kommentare
Wieder einmal gibt es einen großen Datenskandal. Auch das Bundesamt für Sicherheit in der Informationstechnik hat eine Aussage zur aktuellen Thematik parat. So prüfe man derzeit mit Hochdruck zusammen mit den zuständigen deutschen und amerikanischen Behörden, ob deutsche Internetnutzer und Online-Anbieter von dem Vorfall betroffen sind.
Leichte Rechnung – bei der Anzahl von angeblichen Datensätzen müsste es mit dem Teufel zugehen, wenn keine deutschen Nutzer oder Dienste betroffen sind. Allerdings gibt es derzeit für Nutzer keine Möglichkeit festzustellen, ob sie von dem Vorfall betroffen sind.
Das Bundesamt für Sicherheit in der Informationstechnik gibt auch noch Anbietern von Online-Diensten einen guten Ratschlag mit auf den Weg. Sie sollen dafür sorgen, mehr für die Sicherheit ihrer Systeme und die Sicherheit der Daten zu tun, die ihnen ihre Kunden anvertrauen. Beispielsweise sollten Daten und Datenbanken durchgängig verschlüsselt vorgehalten werden. Bekannt gewordene Schwachstellen in IT-Systemen und Software müssen rasch geschlossen werden.
Klare Aussage – im Falle von Heartbleed hat man ja gesehen, dass es manchmal anders kommt, als man denkt. Ansonsten können zumindest wir, die Nutzer versuchen, etwas für unsere Sicherheit zu tun – dazu gehört auch die Zwei-Faktor-Authentifizierung, die es mittlerweile für einige Dienste gibt.
Ich bin gespannt, welche konkreten Aussagen es zu diesem Fall gibt, wie alles passiert ist, welche Dienste betroffen sind und und und…
Wird geladen ...
Es ist ein Unding, dass Amazon keine Zwei-Faktor-Authentifizierung hat. Der Dienst hat die Kreditkartendaten der halben Weltbevölkerung und ist unsicherer als ein Schrebergartenblog.
Es ist sowieso ein Wunder, dass Amazon bislang noch nicht betoffen war. Aber vielleicht ändert sich das ja gerade.
Meinst du Paypal ist besser?? Deren 2FA ist genaus unverschämt wie gar keine, das gesamte mobile bezahlen ist damit unmöglich geworden!! Absolute Frechheit!
Ja ich bin auch gespannt, dennoch werde ich gleichmal bei einigen die Passwörter abändern. Rein zur Vorsorge.
@Lars: Das stimmt, das ist einfach zum kotzen. Es geht bei mir schon so weit, dass ich regelmäßig meine hinterlegten Zahlungsarten entferne und erste wieder eintrage, wenn ich dort was bestelle.
Nichts gegen Schrebergartenblogs. 😉
Die von euch hochglobte Zweifaktorauthentifizierung ist doch ein Graus! Ich habs bei Google mal versucht einzurichten. Obwohl ich mich als halbwegs technikaffin bezeichnen würde, war mir dies schon bei Durchlesen des Anmeldevorgangs derart verlitten, dass ich es nicht aktiviert habe. Also für mich ist das eindeutig zu unpraktikabel.
@Lars/Dink: Ich stimme zwar zu, jedoch kann man bei Amazon weder die kompletten Daten einsehen, noch an eine neue Adresse versenden, ohne die Zahlungsdaten komplett neu einzugeben. Somit ist der Schaden, der angerichtet werden kann, doch eher überschaubar.
@Ben: Ernsthaft? Wer das nicht hinbekommt und sich als „technikaffin“ bezeichnet, sollte grundsätzlich einiges überdenken…
@Ben: technikaffin != technikversiert. Aber wer Zwei-Faktor nicht da einsetzt, wo es möglich ist, sollte auch nochmal darüber nachdenken, ob er denn zumindest sicherheitsaffin ist.
@ Josef Türk
Irgendwelche Passwörter jetzt abzuändern, obwohl man nicht weiß was und wer betroffen ist und von wann die jeweiligen Datensätze sind, ist aktuell meiner Meinung nach unsinnig. Den wenn man danach ginge, müsste man sogar jeden Tag alles abändern. 😉
@Hauser: Das wäre in der heutigen Zeit auch nicht das Schlechteste. Mittlerweile machen PW-Manager einem diesen Vorgang auch relativ einfach, daher Daumen hoch @Josef! Unsinnig ist dem Motto „Willkommen in Paranoia“, Paranoidität vorzuwerfen.
Oh, Cashy hat heute wieder seinen Sicherheitstag 😉 Das Thema ist aber durchaus auch immer interessant.
@Josef Türk: In der FAZ steht, dass ein ändern der Passwörter nichts bringt, da von Seiten der Hacker direkter Zugriff auf die Server besteht und somit geänderte PWs ebenfalls ausgelesen werden können.
– Sicherlich wäre eine Zwei-Faktor-Authenzifierung besser. Allerdings möchte ich die Dienste die sie tatsächlich zur Zeit anbieten nicht nutzen.
@El Chingón: Ja, das stimmt. Trotzdem wäre es mir lieber, wenn Amazon das endlich einmal einführte. Es reicht ja, wie das jeder macht, optional anzubieten. Man muss ja nicht die breite Masse damit vergraulen, aber man sollte es denjenigen anbieten, die sich davon etwas versprechen, und sei es nur ein Gefühl von mehr Sicherheit und Kontrolle.
Weiß eigentlich jemand, ob die Daten bei Amazon auf den Servern gesalzen sind? Wo wir grade dabei sind.
bücher kaufe ich beim laden um die ecke, die kennen mich und brauchen keine authentifizierung (blöd natürlich wenn der nächste buchladen zu weit weg ist..) und die streben auch nicht nach der „merkantilen weltherrschaft“ (vom amazon-chef selbst verlautbart)
nur ein beispiel, aber was damit ausgedrückt werden soll: wenn alle immer „fauler“ werden, bezahlen sie indirekt eben anderswo..
– würde mich übrigens extrem wundern wenn die daten bei amazon (ersetzbar durch >90% der restlichen dienste..) versalzen wären…
2FA ist auch nicht wirklich „sicher“, weil es prinzipiell keine 100% sicherheit geben kann, aber es erhöht ein bißchen die hürde und darum geht es u.a.
ansonsten muß ich in letzter zeit immer wieder (bittersüß) grinsen, wenn ich dran denke wie noch gar nicht so lang in der vergangenheit alle „paranoid!“ riefen, wenn jemand solche themen angesprochen hat, geschweige denn gar vom „abgehört/mitgelesen“ phantasierte..
das wird sich auch wohl in zukunft nicht mehr wesentlich ändern lassen, fürchte ich..