Bundesamt für Sicherheit warnt: 16 Millionen gestohlene Identitäten – eure auch? Überprüft es

Das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit alle Nutzer vor einem potentiellen Identitätsdiebstahl. Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. Diese bestehen in der Regel aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort.

IMG_4923-1300x866

Viele Surfer verwenden diese Login-Daten nicht nur für den eigenen Mail-Account, sondern auch für Benutzerkonten bei Internetdiensten, Online-Shops oder Sozialen Netzwerken. Die E-Mail-Adressen wurden dem BSI übergeben, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können.

Eine eigens eingerichtete Webseite (lädt gerade sehr zäh) soll Nutzern nun dabei helfen, zu überprüfen, ob sie betroffen sind. Was schade ist: es wurde nicht mitgeteilt, woher diese Daten genau stammen und wie alt diese Datensätze sind, denn durch Attacken auf Adobe und das Play Station Network befinden sich bereits unzählige, aber hoffentlich veraltete Datensätze in den Händen anderer Menschen.

Die von euch auf der Seite eingegebene Adresse wird in einem technischen Verfahren vom BSI mit den Daten aus den Botnetzen abgeglichen. Ist die Adresse  betroffen, so erhält man eine entsprechende Information per E-Mail an die angegebene Adresse. Diese Antwort-Mail enthält auch Empfehlungen zu erforderlichen Schutzmaßnahmen ( Passwortwechsel und Überprüfung des Rechners auf Malware). Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Böse Zungen könnten jetzt behaupten, dass unser Staat valide Mail-Adressen abgreifen will 😉

Tipp von mir: nutzt, wenn immer es ein Dienst erlaubt, die Zwei-Faktor-Sicherheit! Nutzt Passwort-Manager zum Erstellen komplexer Passwörter.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

46 Kommentare

  1. Schade, dass nirgends steht, wie alt die Daten sind. Aber selbst wenn sie total veraltet sind, es kann sicher nicht schaden, ab und zu sein Passwort zu ändern.

  2. Erstmal Danke an den Blog, dass man hier sich nicht registrieren muss und diesen Sammlern somit kein Futter gibt 🙂

  3. Leider funzt der Link nicht.

  4. klaus.weber says:

    Nö bei mir nichts!
    Aber ich hab ein anderes Problem, vielleicht weiß jemand Rat:
    Ich versende ab und zu mal eine Spam-Welle an alle meine Gmail Kontakte (nur dort sind meine Kontakte gespeichert), allerdings über meinen Hotmail Account( über den ich von Gmail aus senden kann!). 2F Auth habe ich aktiviert. Ich merke es nur daran, das einige Mails als nicht zustellbar zurückkommen. Nichts in den Gesendet Ordnern und auch keine ungewöhnlichen Aktivitäten in „Letzte Kontoaktivität „. Woher kommen die dann? Hab schon einen neuen Hotmail Account gemacht, trotzdem..

  5. Zusätzlich sogar noch ein Email Alias für das entsprechende Angebot like 20Amazon14@ / Amazon20140121@ – dann ist maximal nur eine Alias futsch und nicht gleich der ganze Account.

  6. PGP-Signierte Antwort ob man betroffen sei oder nicht – top. Hätte ich einer Organisation die nen wenig vom Staat abhängt nie zugetraut…
    Hat also doch Vorteile in öffentlichen PGP-Servern eingetragen zu sein.

  7. @thomasengst: Der Link geht, nur haben die Server abgekackt, weil schon überall drauf hingewiesen wird und dementsprechend viele Anfragen da sin. Einfach mal abwarten bis sich die Hysterie gelegt hat und dann probieren. Auf ein paar Stunden kommt es da glaub ich nicht mehr an!

  8. Es spielt doch gar keine Rolle ob ich betroffen bin oder nicht einfach mail password ändern und gut ist. Warum soll ich dem BSI meine Mailadresse geben ob ich auf der Liste stehe oder nicht. Und was ist wenn bei der Abfrage meine IP mit gespeichert wird. Die könnten auch pro aktiv tätig werden und die betroffenen Nutzer anschreiben. Das ist die grösste Datensammelaktion oder Deppen Contest der letzten Zeit.

  9. Stellt sich nur die Frage wie sicher die Webseite vom Bundesamt ist, diese scheint nämlich niemand in Frage zu stellen.
    Wenn ich schon eine gültige Email Adresse als Benutzernamen verwenden muss sollte jeder wissen das hier ein eigenes Passwort hingehört und nicht das seines Email Accounts, ansonsten kann ich gleich meinen Haustürschlüssel von außen stecken lassen damit jeder ungefragt herein kann.

  10. O.o bei mir wird der Server der Testseite nicht gefunden bzw. abgewiesen mit no_permissions. Schnellumbau? Umzug?

  11. Sieht aus als hätte das Botnet sich die Check-Seite vorgenommen…

  12. Edit: Fehler war lokal. Bitte voran gehenden Kommentar löschen

  13. @Thamos
    ziemlicher Nonsens des ganze weil der Müll ja trotzdem bei dir ankommt da Google deine richtige Email Adresse erkennt, sonst würde das ganze ja nicht funktionieren.

  14. @Wolfgang, 12:51 Uhr: es spielt sehr wohl eine Rolle, ob Du betroffen bist. Die Daten kommen aus einem Bot-Netz. Damit liegt der Verdacht nahe, dass die jeweils Betroffenen einen Trojaner auf ihrem Rechner haben, der Daten ins Bot-Netz liefert. Dann nützt es nix, irgendwo das PW zu ändern, das neue PW landet sofort im Netz und Du kannst von vorn anfangen …

  15. @52eins Aber dazu brauche ich nicht meine Mail Adresse ans BSI senden. Rechner überprüfen, gegebenfalls säubern, Passwort ändern gut ist!

  16. also ich muss hier auch mal was sagen.

    ich bin mit meiner haupt e-mail adresse dabei.
    schade nur das es keinen hinweis gibt welches passwort dazu gefunden wurde. bzw. einen anhaltspunkt.
    da diese mailadresse auch bei verschiedenen foren oder shops mit unterschiedlichen kennwörtern benutzt wurde.

    es bringt ja schließlich nichts, meinen rechner mehrfach auf virens und malware zu prüfen, und überall wo diese mailadresse ist, das kennwort zu ändern, wenn bei dem Shop oder Netzwerk eine Sicherheitslücke ist und die von dort aus an die Daten kommen.
    daher fehlen einfache in paar weitere, wichtige informationen für den verbraucher seitens des BSI.

    Schade!

  17. @dasteven
    Dann nimm es jetzt an Ansporn und erstelle Dir für jeden Shop etc eine eigene Emailadresse und ein kryptisches unique Kennwort, gepaart mit einem Passwordsafe Applikation 🙂

  18. Namenlos, weil Cookies gelöscht... says:

    Also ich bediene mich seit den 90ern fremder Identitäten. Diese juble ich allen Diensten unter, die unbedingt einen echten Namen, eine echte Adresse, eine echte Telefonnummer, oder eine valide Mailadresse haben wollen, ich aber nicht bereit bin, diesen Diensten meine echten Daten zu geben, da ich diese Dienste gerne ersteinmal anteste.
    Früher hab ich einen Blick ins Telefonbuch geworfen und mir jemanden zufällig rausgepickt, oder im Internet einen mir bekannten Straßennamen angegeben und geguckt, welche PLZ dort gilt und wer dort unter welcher Hausnummer z.B. ein Ladenlokal hat.
    Erfinden tat ich auch ziemlich gerne. Habe mir z.B. einen Identitätenwürfler programmiert.

    Hat viel Spaß gemacht.

    Sehr wahrscheinlich bin ich für ca. 13 Mio. dieser Einträge in der BSI-Datenbank verantworklich, entschuldigung!

  19. Seite ist mittlerweile down…

  20. Passwörter mit KeePass generiert. Da muss ich mir keine großen Sorgen machen 😉

  21. ich finde es befremdlich, dass eine Behörde helfen will, und als erstes denkt man an „die wollen jetzt nur meine EMailadresse verifizieren“. War allerdings auch mein erster Gedanke…

  22. @jowsn
    Versteh ich nicht.

  23. Laut BSI bin ich mit meiner am meisten genutzten Emailadresse betroffen. Die anderen regelmässig benutzten Adressen und die meiner Töchter (die auch auf meinen Rechnern arbeiten) nicht. Gem. den Prüfprogrammen sind die Rechner sauber, dafür spricht auch, dass nur eine Emailadresse betroffen ist. Vorsorglich ändere ich alle Passwörter (die bei jedem Account anders sind), aber irgendwie ist das für mich nicht verständlich.

  24. @cashy email provider sind eh aber einer bestimmten größe verpflichtet schnittstellen für die Polizei und andere Behörden zur verfügung zu stellen. aktive adressen herausfinden können die schon lange.

  25. Die Daten kommen aus einem Bot-Netz, aber ist das ein Hinweis darauf, dass ich einen Trojaner habe? Ich denke nicht wirklich.

    Eine meiner Mail-Adressen taucht dort auf, aber diese nutze ich nicht aktiv, da ruft GMail nur die Mails ab. Es wird also wenig bringen das Mail-Passwort zu ändern. Ich müsste dann schon die betroffene Seite kennen… Aber wie komme ich da dran?

  26. PersonalPrivacy says:

    16 Millionen Passwörter über Schadsoftware zu klauen ist erheblich.

    Der Service des BSI ist sicher gut gemeint, würde ihn jedoch dennoch nicht nutzen, es fallen dabei auch wieder diverse Informationen an (Emailadressen, Kombination mehrere Emiladressen, IP Adresse, Browserprofile, ggf. eine Email etc.). Besser einfach alle Passwörter ändern. Sollten wir ohnehin ca. einmal pro Monat tun.

  27. Die Seite steht leider nicht mehr zur Verfügung…

  28. Herr Hauser says:

    „German Angst“ lässt grüßen.

  29. Man muss nicht immer Passwörter ändern. 2-Faktor-Authentifizierung ist eine gute Methode solchen Sicherheitslücken entgegen zu treten: http://lifehacker.com/5938565/heres-everywhere-you-should-enable-two+factor-authentication-right-now

    Ich nutze das bei allen E-Mail-Konten, in sozialen Netzwerken und überall wo es möglich ist. Auch der Yubikey ist eine tolle Sache!
    Zwar ist das nicht ganz so bequem, aber dafür um einiges sicherer.

  30. 2-Faktor-Authentifizierung heißt, jedem Deppen seine Handynummer zu geben. Im Falle eines Telefonverlustes ohne Account da zu stehen. Und mobil ergibt sich auch nicht mehr Sicherheit. Ganz zu schweigen davon, ob ein Kanal wie SMS heutzutage noch sicherer ist als HTTP.

  31. Was soll der Quatsch, dass sich jeder selbst um die Abfrage kümmern muss? Wenn man wirklich an der Sicherheit der betroffenen Personen interessiert wäre, sollten die ensprechenden Mailadressen direkt angeschrieben werden.

  32. @gast: So eine Mail würde 100%-tig im Spam landen und keiner würde die ernst nehmen

  33. Ich bin mit meiner Nutzung-für-alles-blödsinnige-E-Mailadresse in der Datenbank. Nun weiß ich auch warum da so viel Spam drauf kommt. 🙂

    Da meine Hauptadresse und andere E-Mails nicht betroffen sind, gehe ich davon aus, dass ich keine Malware auf dem Computer habe. Die wird auch die letzten drei Neuinstallationen nicht überlebt haben. Die im Botnetz bekannte E-Mailadresse waren jedoch auch bei mehreren im letzten Jahr bekanntgewordenen gehackten Seiten/Unternehmen hinterlegt. Ich denke meine E-Mailadresse stammt von daher.

    Ich werde meine nicht mehr benötigten Accounts mit der E-Mailadresse löschen und mir dann wohl eine neue E-Mailadresse anlegen.

  34. einer meiner Alias Adressen steht leider in der Datenbank des BSI. Frage wäre tatsächlich von wann diese Daten stammen, da ich Passwörter für diese Adresse mit KeePass generiert habe.

  35. Also mich würde auch sehr interessieren, welcher Dienst betroffen ist. Es war sicherlich nicht der Zugang zu meinem Emailaccount. Ich habe ja ganz schwer den Playstationhack in Verdacht. Dies ist aber sixherlich nicht so tragisch wie es hier gerade in den Medien berichtet wird. Bevor man das Ganze so aufbläht, sollte man vielleicht vorher beim Bsi nachfragen, welcher Shop, welches Netzwerk bwtroffen war. Naja Medienwirksam war es jedensfalls.

  36. @Alex
    playstation kann es nicht sein, da in 2 mir bekannten Fällen, 100% keine vorhanden ist.

    vielleicht kann man es mit div. Infos besser eingrenzen?
    welche Hoster sind es bei Euch?
    die beide „betroffene Mail-Addys“ sind @gmx.de

  37. Bei mir ist es eine gmail adresse.
    Ich nutze diese eigentlich nur für unwichtige Anmeldungen.
    KM Elektronik habe ich diese auch nicht benutzt, Adobe auch nicht.
    Aber diverse Foren. Humble, IndieGala, Hosteurope, BuyVIP, Pearl, smdv, Bundle Stars, media markt.
    Na da bin ich mal gespannt, ob wir alle eine Schnittmenge finden 😉

    Kann natürlich einfach nur eine Sammlung von Emailadressen aus diversen Forenhacks oder ähnliches gewesen sein, da können wir dann lange suchen.

  38. Danke für diese Info! Wäre sonst an mir vorbei gegangen. Mich hats auch erwischt, wenn auch „nur“ meine zweite E-Mail-Adresse (GMX) für eher nicht so sensible Zugänge wie Foren und Social Communities. Zum Glück verwende ich natürlich für jeden Account ein anderes Kennwort. Da man aber nicht weiß, welcher Zugang betroffen ist, muss ich jetzt wohl bei allen Zugängen das Passwort ändern, bei mir immerhin gut 600 Stück. Auffällig ist, dass beim heutigen ersten Login bei GMX über 100 fehlgeschlagene Loginversuche angezeigt wurden. Da scheint jemand aktiv zu sein…

  39. So, fiktives Beispiel, meine Mailadresse ist dabei. Bekomme ich dann auch gesagt, woher die Daten stammen? Oder wird das unverschlüsselte Passwort mitgeliefert?
    Ansonsten ist die Aussagekraft genau 0, da ich für jeden einzelnen Dienst, bei dem ich als Login meine Email-Adresse verwende, ein eigenes Passwort verwende. Und solange ich nicht weiß, bei welchem der Dienste die Daten abgegraben wurden, hilft mir die Aussage „Sie sind dabei“ genau garnichts.

  40. @Chris:
    genau das ist das Problem dieser Email. Es steht nur drin, dass deine Emailadresse in dem Pool dabei ist. Woher dieser Pool kommt steht nicht da. Daher kann ich mit dieser Prüfung auch wenig anfangen. Ich weiß das meine Email sicher ist und ich bin sicherlich auch nicht teil eines Botnetzes(Ja, ich kann dies behaupten, da ich hier diverse Hardware und Software an meinen Internetzugangknoten habe). Jetzt aber meine zig Zugänge zu ändern ist nur noch nervig und wird sicherlich von keinem gemacht. Interessanter wäre die Info gewesen, welcher Dienst betroffen ist, aber so ist dies nur ein Medienhype um von anderen Problemen abzulenken.

  41. Bei mir ist auch die GMX Mail betroffen aber .com Da es aber auch nur die Alias getroffen hat und nicht meine Haupt mail Adresse gehe ich auch nicht von einem Botnetz auf meinem Rechner aus

  42. Hab den BSI test vor 2 Wochen gemacht und immer noch keine Rückmeldung ob ich betroffen bin???

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.