Kommentar zum Identitätsdiebstahl / BSI-Sicherheitstest
von caschy | 36 Kommentare
Wieder einmal gibt es einen großen Datenskandal. Dem Bundesamt für Sicherheit in der Informationstechnik liegen 21 Millionen E-Mail-Adressen und Passwörter vor. Nach eigenen Aussagen sind nach einer Analyse des ganzen Datensatzes 18 Millionen E-Mail-Adressen übrig, nebst den dazugehörigen Passwörtern.
Drei Millionen dieser E-Mail-Adressen will man deutschen Benutzern zugeordnet haben, von denen 70 Prozent aus dem Bestand Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de stammen sollen. Auf einer speziellen Seite des Bundesamtes für Sicherheit in der Informationstechnik kann sich jeder selber testen, in meinem Umfeld gibt es Betroffene, die eine Informations-E-Mail bekommen haben. Doch das Ganze System ist meines Erachtens nicht schön gelöst, da einige Angaben fehlen und es einige Dinge gibt, die dem Prüfsystem Stöcke zwischen die Beine werfen.
Der Betroffene gibt seine E-Mail-Adresse ein und wird – wie beim letzten Datenleck Anfang des Jahres – nur informiert, sofern er betroffen ist. Was passiert, wenn der Mailserver des Bundesamtes für Sicherheit in der Informationstechnik nicht korrekt arbeitet und Nutzer keine Mail bekommen? Kann ja passieren, denn das BSI hat Daten an die Provider weitergegeben, die für ihren Teil eigenständig informieren.
Oder die Mail im Spam des Nutzers festhängt und dieser zu unbedarft ist? Oder wenn der Nutzer durch das Datenleck keinen Zugriff mehr auf das Konto hat, weil es gekapert wurde? Oder ein Angreifer parallel Zugriff hat und diese Informations-E-Mail-löscht? Hier hätte man ein System aufbauen können, welches den Benutzer auf jeden Fall informiert, ob er betroffen ist, oder nicht. Denn hierbei wartet der Nutzer gezielt auf eine Mail, er erwartet zwingend eine – was beim jetzigen Ist-Zustand nicht der Fall ist.
Die weitere Frage, die man sich stellen kann: liegen die Passwörter im Klartext – also entschlüsselt – vor? Oder handelt es sich um eine Kombination aus E-Mail-Adresse und verschlüsseltem Passwort, welches die Angreifer vielleicht noch gar nicht entschlüsselt haben?
Woher stammen diese Daten eigentlich? Ist dies nicht bekannt, oder wurde es einfach nur noch nicht kommuniziert? Datenlecks gab es in den letzten Monaten in Deutschland – oder bei deutschen Nutzern – reichlich.
Vodafone verlor 2 Millionen Datensätze. Bei Chip wurde ein Angriff festgestellt. Bei Sky sind Daten abhanden gekommen. OVH hat Daten verloren. Adobe verlor insgesamt 29 Millionen Zugänge. Das sind nur einige, die ich hier aufzählen will.
Gesetzt dem Fall, wir verhalten uns nun alle vorbildlich und nutzen bei jedem Dienst ein anderes Passwort: oft haben wir eine Mail-Adresse, die wir überall benutzen. Vielleicht haben wir unter einer Mail-Adresse einen Zugang bei 50 Diensten. Wo erfahre ich als Nutzer, welcher Dienst betroffen ist? Sind es alle? Ich bekomme eine Mail, die folgenden Wortlaut hat:
Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse DeineMail@Provider.tld auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde. Die von Ihnen angegebene E-Mail-Adresse DeineMail@Provider.tld wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos durch Online-Kriminelle gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.
Ich erfahre also nicht, wo das Leck sein könnte, darf also pauschal 50 Zugänge bei allen Anbietern ändern? Ja, scheinbar ist es wirklich so. Und das Ganze ist irgendwie unzufriedenstellend, wie auch schon beim letzten Mal.
Nein, ein Allheilmittel kenne ich auch nicht, ich kann immer nur wieder empfehlen: Nutzt bei jedem Dienst ein anderes, sicheres Passwort – vielleicht sogar eine eigene Mail-Adresse, das ist aber aufwändiger. So minimiert man vielleicht den Schaden – denn Angreifer werden eure Daten auch bei anderen Diensten ausprobieren. Löscht Dienste, beziehungsweise Accounts, wenn ihr nicht mehr vorhabt, aktiv zu sein. Nutzt, sofern vorhanden, die zweistufige Sicherheit, die Anbieter wie Evernote, Microsoft, Google, Dropbox und Co anbieten. Vielleicht sollten die Behörden etwas transparenter vorgehen und Ross und Reiter nennen, woher die Daten wohl stammen, falls man dieses weiss.
Wir dürfen nicht davon ausgehen, dass diese Art Berichte und die Datenlecks weniger werden. Wir müssen sensibler werden. Von daher – nehmt euch vielleicht mal die Zeit, eure Accounts zu pflegen, auszumisten und neue Passwörter zu vergeben. Ist ein Sackgang, aber er lohnt sich.
Wird geladen ...
Ich nutze für jeden Dienst eine separate E-Mail Adresse (eigene Domain mit Catch-All-Adresse). Ich kann also unmöglich abfragen, ob ich betroffen bin, da keine Wildcard für die Abfrage erlaubt ist. Wäre dies möglich, könnte ich auch ziemlich schnell feststellen, wo das Leck dieses mal war – gesetzt den Fall, ich wäre betroffen.
ich kann es wirklich nicht mehr lesen/hören!
wenn die meine mailadresse und mein passwort haben und wissen, dass diese daten gestohlen sind müssten die mich darüber informieren, ohne das ich selber aktiv wäre. wenn mit meiner gekaperten mailadresse kriminelle handlungen durchgeführt worden sind, müssten die behörden mich so oder so kontaktieren! die könnten z.b. emails an die leute schicken, deren mailadressen und passwörter die haben! inhalt z.b. bitte ändern sie ihr passwort blablabla…also das ziel dieser panikmache ist, dass ihr freiwillig eure mailadresse preisgebt und auch zeigt, dass diese noch genutzt wird…
es hat schon seine gründe, warum bei den größten onlinemedien wie bild.de und co. genau unter diesen artikeln die kommentarfunktion abgeschaltet wurde!
viele leute interessiert sowas eh nicht, weil sie lange genug im internet unterwegs sind, dass sie ihren internetkonten noch fakedaten hinterlegt haben (bei freemailern wie freenet.de z.b.)…und jetzt wird hier auch noch dazu aufgerufen diesen diensten die realdaten zu geben…
es gab schon ende der 90er/anfang der 2000er menschen, die sich der gefahr eben bewusst waren und gar nicht erst realdaten eingetragen haben bei der registrierung, was ich bei kostenlosen diensten auch legitim finde…aber gleich kommt wieder jemand aus seinem loch gekrochen, der solchen leuten unterstellt nur keine realdaten anzugeben, weil er kriminelles vor hat…so leute die auch sagen „sollen die doch alles abschnorcheln, ich habe eh nichts zu verbergen“
ich persönlich finde diesen „Sicherheitstest“ und in dem Zusammenhang die Informationspolitik vom BSI in hohem Masse unprofessionell, eben aus denen von die schon beschriebenen Gründen. Wie beim letzten Mal wurde nicht gesagt woher die das leak herhaben. wie alt es ist und deren Struktur. Stattdessen wird letztlich nix anderes als Panikmache betrieben. Denn selbst wenn eine Mail ankommt, sagt das gar nichts aus, ausser das diese Email Adresse auf irgendeiner Liste auftaucht. Ob nun mit oder ohne Passwort weiss man nicht.
Ich bin angeblich betroffen, obwohl hier anscheinend kein Rechner infiziert ist. D.h., ich habe wohl eine email-Adresse irgendwo mit irgendeine PW benutzt, und das BSI glaubt jetzt, weil diese Kombi nun auf freier Wildbahn ist, dass ich mein (anderes) email-Passwort ändern soll? Ich müßte doch das PW beim angegriffenen Anbieter ändern, nicht beim email-Provider, oder? Mein email wurde wohl nicht geknackt, sondern irgend ein Dienst irgendwo, oder verstehe ich da was falsch?
Ich habe mal ein paar etwas ältere Mailadressen eingegeben und bei einer bekam ich dann tatsächlich die Mail zurück, dass diese Adresse betroffen sei.
Davon wusste ich bereits, denn vor mehr als anderthalb Jahren haben mir Leute geschrieben, sie hätten von dieser alten Adresse Spam erhalten. Damals wurde wohl mein (sehr einfaches) Passwort geknackt. Danach habe ich die Adresse sofort mit einem zufällig generierten, langen, Passwort gesichert. Dennoch ist die Adresse heute in der Liste vom BSI, d.h. die Daten sind teilweise einfach auch furchtbar alt und stammen wohl aus allen möglichen zusammengeklauten Quellen, einschließlich Bruteforce-Attacken (auf GMX in dem Fall)
Das ist ja bei GMail recht praktisch. Man kann aus alias@gmail.com auch ein alias+dienst@gmail.com machen.
Macht die Auswertung beim BSI jedoch nicht leichter, den Account-Diebstahl jedoch schwerer bzw. minimiert dessen Auswirkungen auf nur einen Account.
Leider hängen sich viele Dienste am „+“ auf.
@craig, ich denke du bist für das bsi eher aufgrund deines jobs relativ interessant…daher bist du auch „betroffen“..
„vielleicht sogar eine eigene Mail-Adresse, das ist aber aufwändiger. “
Das können sehr viele mal testen. Bei vielen Providern ist es mögliche Catch-All zu benutzen. Wer Angst vor Spam hat kann alternativ (und so auch besser sortieren) den „recipient_delimiter“ benutzen. Der ist bei fast allen das „+“-Zeichen.
E-Mailadresse= max.musterman@freemailprovider.de
Wäre dann: max.musermann+twitter@freemailprovider.de und max.mustermann+facebook@freemailprovider.de usw.
1 Account aber pro Dienste eine andere Adresse, die dann auch brav in einzelne Mail Ordner sortiert werden. Zu beachten ist lediglich das Ordernamen im Mailaccount kleingeschrieben sein müssen damit die Mails auch einsortiert werden können, sonst werden sie nicht gefunden.
@florian..manchmal bekomme ich sogar von meiner eigenen email-adresse spam…dann merke ich, dass diese meiner zum verwechseln ähnlich sieht, aber z.b. der punkt an einer falschen stelle ist…frag doch mal deine bekannten ob sie die mail noch haben und vergleiche die adressen…
„Drei Millionen dieser E-Mail-Adressen will man deutschen Benutzern zugeordnet haben“.
Das können sie gar nicht wissen. Sehr viele deutsche User haben Mailadressen bei gmail (googlemail) oder Outlook (Microsoft). Gelten diese Adressen dann als „amerikanisch“ und „nicht-deutsch“, weil sie von amerikanischen Domains gehostet werden?
Also:
Funktioniert die BSI-Abfrage überhaupt bei Adressen wie gmail.com oder outlook.com?
Fazit:
Keine Antwort ist keine Antwort.
„Ich erfahre also nicht, wo das Leck sein könnte, darf also pauschal 50 Zugänge bei allen Anbietern ändern?“ das ist in den (vielen?) Fällen mit „selber Username/selbes Passwort“ vermutlich eher positiv zu sehen. Wüssten die Opfer, welcher Acount (mindestens!) kompromittiert ist, würden sie nur diesen warten und die anderen blieben unverändert.
bb
Achso, falls jemand den Link im Blogartikel zu der Seite vermisst: Hier isser https://www.sicherheitstest.bsi.de
🙂
Also diese Mode mit den 5.000 internen SEO Links kann ich nicht gutheißen.
Meiner einer ist auch betroffen. Und was werde ich nun machen? Nichts. Mit der Adresse habe ich mich bei Diensten/Foren angemeldet die es schon nicht mehr gibt. Rücken die nicht mit dem Namen des Dienstes raus, hilft das gar nicht.
Wie ich bereits bei fB kommentierte, dass ist wie bei der Feuerwehr anzurufen, und nicht den Ort des Brandherds zu verraten.
@Caschy, dieser Blog dürfte doch eine so große Reichweite habe, dass es die bürgerlichen Medien, und durch diese auch das BSI selbst erreicht. Hast du nicht noch eine passende Telefonnummer die zu den öffentlich Rechtlichen gehört in deinem Adressbuch?
Mal sehen was Frontal und Planetopia daraus machen. Die stehen doch darauf dem einfachen Bürger mit wahllos aneinandergereihten IT-Begriffen Angst und Schrecken einzusagen. Ich seh das schon vor mir. Eine tiefe, rauhe Stimme, ein IT-„Experte“ der sich \begin{document} erklären ließ, „niemand ist sicher“, „selbst das BSI ist machtlos“. Dann der Zentralrat der katholischen Einzelhändler der sich über schwachen Absatz beschwert und zum Abschluss der ADAC der empfiehlt den Bürostuhl in Watte einzuwickeln.
@Jan: ich denke, dass diese mein Blog nicht benötigen 🙂
@Caschy Ich fürchte die sehen das auch so….
@Jo
„… Gelten diese Adressen dann als “amerikanisch” und “nicht-deutsch”, weil sie von amerikanischen Domains gehostet werden?“
Andersrum. Web.de und GMX.de gelten als deutsch und gehören mit hoher Wahrscheinlichkeit deutschen Nutzern.
Ich finde es auch nicht OK, dass man seine Email-Adresse eingeben muss anstatt dass einfach eine Info-Mail an alle Empfänger geschickt wird. Ich habe nämlich seit Jahren auch ein spezielle Vorgehensweise im Bereich Email: ich nutze ausschließlich sogenannte Wegwerf – Email – Adressen, wenn ich hauptsächlich nur Empfänger bin (Newsletter etc)/ erwarte zu sein.
Ich nutze zwei Dienste, die die Generierung solcher Email-Adressen sehr einfach machen: http://www.spamgourmet.com & das FireFox-Addon „DoNotTrackMe „. Mittels beider Diensten kann ich sofort neue Email-Adressen generieren, die über eine Weiterleitung bei meiner richtigen Email – Adresse landen. Ferner setze ich seit gut gut zwei Jahren auf individuelle Passwörter, die ich mit KeePass verwalte. Und wenn es doch einmal arge Probleme geben sollte, kappe ich einfach die Weiterleitungsadresse.
Beide Dienst geben mir auch die Option die Weiterleitung bis auf Widerruf zu gestatten.
Nur bei „wichtigen“ Diensten setze ich auf meine reale Email – Adresse. Aber Postfach-Kennwort ist „KeePass sei Dank“ nie identisch mit dem Dienst-Passwort. Die Passwörter sind zwar nicht hundertprozentig kryptisch, aber meines Erachten individuell genug.
Konsequenz ist, dass ich wenig bis gar keine Spam-Mail erhalte, da ich diese Methode eigentlich schon seit mindestens 10 Jahren konsequent nutze.
Gruss
Christoph
Bin auch betroffen mit einer Mailadresse. Interessant für mich ist, dass ich weiß, dass sich mit dieser Mailadresse (wohl dem, der lesen kann!) mindestens 4 real existierende Personen beiderlei Geschlechts bei Diensten und Behörden angemeldet haben. Mit viel Pech (oder Glück) ändere ich Passwörter, ohne überhaupt zu wissen, ob das Leck bei mir liegt… :-/
@CHristoph
Und dann wird eine Info-Mail versendet und dann?
Jahre lang trichtert man den Leuten ein sie sollen solche Mails ignorieren in denen etwas
* Von Sicherheit steht,
* Man einen Link anklicken soll,
* Und dann noch sein Passwort eingeben und ein neues.
Immer wieder sagt man nach *Fail* „Ich habe Dir doch schon so oft gesagt nicht klicken und schon gar nichts eingeben.
Und jetzt wären solche Mails besser? Ne, die würden von den meisten abgestempelt als Spam/Pishing und ohne viel denken einfach in die Tonne gekloppt.
Das wir in D. diesbezüglich noch ein wenig hinterm Mond sind, was professionelle Behörden für IT betrifft, ist echt traurig.
Im Januar war die Rede davon dass Ermittlungsbehörden Zugriff auf Server erhalten haben wo diese Datensätze gefunden wurden. Gesammelt wurden sie über Bot-Netze aber vermutlich auch über Attacken auf betroffene Unternehmen. Und im aktuellen Fall wird es ähnlich sein. Ich denke es lässt sich vielleicht auch nicht mehr genau feststellen woher die die gefunden Datensätze stammen.
Man sollte davon ausgehen dass solche News in Zukunft noch öfter zu hören sind. Also kann man nur selber für möglicht große Sicherheit sorgen.
– nicht für jeden Dienst die selben Zugangsdaten
– besonders wichtige Dinge wie Bank, privater Mailaccount, oder aber auch Google (wenn man dort viele Dienste nutzt ..) sollte man besonders vorsichtig behandeln. Mein Bankzugang befindet sich zum Beispiel nur in meinem Kopf – nicht bei Lastpass etc, nicht im Browser gespeichert und erst recht nicht in einer Textdatei (Bankpasswort.txt) o.ä.
Und Caschy hat ja dazu auch was im Artikel verlinkt.