Kommentar zum Identitätsdiebstahl / BSI-Sicherheitstest

7. April 2014 Kategorie: Backup & Security, Internet, geschrieben von:

Wieder einmal gibt es einen großen Datenskandal. Dem Bundesamt für Sicherheit in der Informationstechnik liegen 21 Millionen E-Mail-Adressen und Passwörter vor. Nach eigenen Aussagen sind nach einer Analyse des ganzen Datensatzes 18 Millionen E-Mail-Adressen übrig, nebst den dazugehörigen Passwörtern.Frau ärgert sich über Computer

Drei Millionen dieser E-Mail-Adressen will man deutschen Benutzern zugeordnet haben, von denen 70 Prozent aus dem Bestand Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de stammen sollen. Auf einer speziellen Seite des Bundesamtes für Sicherheit in der Informationstechnik kann sich jeder selber testen, in meinem Umfeld gibt es Betroffene, die eine Informations-E-Mail bekommen haben. Doch das Ganze System ist meines Erachtens nicht schön gelöst, da einige Angaben fehlen und es einige Dinge gibt, die dem Prüfsystem Stöcke zwischen die Beine werfen.

Der Betroffene gibt seine E-Mail-Adresse ein und wird – wie beim letzten Datenleck Anfang des Jahres – nur informiert, sofern er betroffen ist. Was passiert, wenn der Mailserver des Bundesamtes für Sicherheit in der Informationstechnik nicht korrekt arbeitet und Nutzer keine Mail bekommen? Kann ja passieren, denn das BSI hat Daten an die Provider weitergegeben, die für ihren Teil eigenständig informieren.

Oder die Mail im Spam des Nutzers festhängt und dieser zu unbedarft ist? Oder wenn der Nutzer durch das Datenleck keinen Zugriff mehr auf das Konto hat, weil es gekapert wurde? Oder ein Angreifer parallel Zugriff hat und diese Informations-E-Mail-löscht? Hier hätte man ein System aufbauen können, welches den Benutzer auf jeden Fall informiert, ob er betroffen ist, oder nicht. Denn hierbei wartet der Nutzer gezielt auf eine Mail, er erwartet zwingend eine – was beim jetzigen Ist-Zustand nicht der Fall ist.

Die weitere Frage, die man sich stellen kann: liegen die Passwörter im Klartext – also entschlüsselt – vor? Oder handelt es sich um eine Kombination aus E-Mail-Adresse und verschlüsseltem Passwort, welches die Angreifer vielleicht noch gar nicht entschlüsselt haben?

Woher stammen diese Daten eigentlich? Ist dies nicht bekannt, oder wurde es einfach nur noch nicht kommuniziert? Datenlecks gab es in den letzten Monaten in Deutschland – oder bei deutschen Nutzern –  reichlich.

Vodafone verlor 2 Millionen Datensätze. Bei Chip wurde ein  Angriff festgestellt. Bei Sky sind Daten abhanden gekommen. OVH hat Daten verloren. Adobe verlor insgesamt 29 Millionen Zugänge. Das sind nur einige, die ich hier aufzählen will.

Gesetzt dem Fall, wir verhalten uns nun alle vorbildlich und nutzen bei jedem Dienst ein anderes Passwort: oft haben wir eine Mail-Adresse, die wir überall benutzen. Vielleicht haben wir unter einer Mail-Adresse einen Zugang bei 50 Diensten. Wo erfahre ich als Nutzer, welcher Dienst betroffen ist? Sind es alle? Ich bekomme eine Mail, die folgenden Wortlaut hat:

Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse DeineMail@Provider.tld auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde. Die von Ihnen angegebene E-Mail-Adresse DeineMail@Provider.tld wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos durch Online-Kriminelle gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.

Ich erfahre also nicht, wo das Leck sein könnte, darf also pauschal 50 Zugänge bei allen Anbietern ändern? Ja, scheinbar ist es wirklich so. Und das Ganze ist irgendwie unzufriedenstellend, wie auch schon beim letzten Mal.

Nein, ein Allheilmittel kenne ich auch nicht, ich kann immer nur wieder empfehlen: Nutzt bei jedem Dienst ein anderes, sicheres Passwort – vielleicht sogar eine eigene Mail-Adresse, das ist aber aufwändiger. So minimiert man vielleicht den Schaden – denn Angreifer werden eure Daten auch bei anderen Diensten ausprobieren. Löscht Dienste, beziehungsweise Accounts, wenn ihr nicht mehr vorhabt, aktiv zu sein. Nutzt, sofern vorhanden, die zweistufige Sicherheit, die Anbieter wie Evernote, Microsoft, Google, Dropbox und Co anbieten. Vielleicht sollten die Behörden etwas transparenter vorgehen und Ross und Reiter nennen, woher die Daten wohl stammen, falls man dieses weiss.

Wir dürfen nicht davon ausgehen, dass diese Art Berichte und die Datenlecks weniger werden. Wir müssen sensibler werden. Von daher – nehmt euch vielleicht mal die Zeit, eure Accounts zu pflegen, auszumisten und neue Passwörter zu vergeben. Ist ein Sackgang, aber er lohnt sich.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25447 Artikel geschrieben.