Bundesamt für Sicherheit warnt: 16 Millionen gestohlene Identitäten – eure auch? Überprüft es
Das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit alle Nutzer vor einem potentiellen Identitätsdiebstahl. Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. Diese bestehen in der Regel aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort.
Viele Surfer verwenden diese Login-Daten nicht nur für den eigenen Mail-Account, sondern auch für Benutzerkonten bei Internetdiensten, Online-Shops oder Sozialen Netzwerken. Die E-Mail-Adressen wurden dem BSI übergeben, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können.
Eine eigens eingerichtete Webseite (lädt gerade sehr zäh) soll Nutzern nun dabei helfen, zu überprüfen, ob sie betroffen sind. Was schade ist: es wurde nicht mitgeteilt, woher diese Daten genau stammen und wie alt diese Datensätze sind, denn durch Attacken auf Adobe und das Play Station Network befinden sich bereits unzählige, aber hoffentlich veraltete Datensätze in den Händen anderer Menschen.
Die von euch auf der Seite eingegebene Adresse wird in einem technischen Verfahren vom BSI mit den Daten aus den Botnetzen abgeglichen. Ist die Adresse betroffen, so erhält man eine entsprechende Information per E-Mail an die angegebene Adresse. Diese Antwort-Mail enthält auch Empfehlungen zu erforderlichen Schutzmaßnahmen ( Passwortwechsel und Überprüfung des Rechners auf Malware). Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.
Böse Zungen könnten jetzt behaupten, dass unser Staat valide Mail-Adressen abgreifen will 😉
Tipp von mir: nutzt, wenn immer es ein Dienst erlaubt, die Zwei-Faktor-Sicherheit! Nutzt Passwort-Manager zum Erstellen komplexer Passwörter.
Passwörter mit KeePass generiert. Da muss ich mir keine großen Sorgen machen 😉
ich finde es befremdlich, dass eine Behörde helfen will, und als erstes denkt man an „die wollen jetzt nur meine EMailadresse verifizieren“. War allerdings auch mein erster Gedanke…
@jowsn
Versteh ich nicht.
Laut BSI bin ich mit meiner am meisten genutzten Emailadresse betroffen. Die anderen regelmässig benutzten Adressen und die meiner Töchter (die auch auf meinen Rechnern arbeiten) nicht. Gem. den Prüfprogrammen sind die Rechner sauber, dafür spricht auch, dass nur eine Emailadresse betroffen ist. Vorsorglich ändere ich alle Passwörter (die bei jedem Account anders sind), aber irgendwie ist das für mich nicht verständlich.
@cashy email provider sind eh aber einer bestimmten größe verpflichtet schnittstellen für die Polizei und andere Behörden zur verfügung zu stellen. aktive adressen herausfinden können die schon lange.
Die Daten kommen aus einem Bot-Netz, aber ist das ein Hinweis darauf, dass ich einen Trojaner habe? Ich denke nicht wirklich.
Eine meiner Mail-Adressen taucht dort auf, aber diese nutze ich nicht aktiv, da ruft GMail nur die Mails ab. Es wird also wenig bringen das Mail-Passwort zu ändern. Ich müsste dann schon die betroffene Seite kennen… Aber wie komme ich da dran?
16 Millionen Passwörter über Schadsoftware zu klauen ist erheblich.
Der Service des BSI ist sicher gut gemeint, würde ihn jedoch dennoch nicht nutzen, es fallen dabei auch wieder diverse Informationen an (Emailadressen, Kombination mehrere Emiladressen, IP Adresse, Browserprofile, ggf. eine Email etc.). Besser einfach alle Passwörter ändern. Sollten wir ohnehin ca. einmal pro Monat tun.
Die Seite steht leider nicht mehr zur Verfügung…
„German Angst“ lässt grüßen.
Man muss nicht immer Passwörter ändern. 2-Faktor-Authentifizierung ist eine gute Methode solchen Sicherheitslücken entgegen zu treten: http://lifehacker.com/5938565/heres-everywhere-you-should-enable-two+factor-authentication-right-now
Ich nutze das bei allen E-Mail-Konten, in sozialen Netzwerken und überall wo es möglich ist. Auch der Yubikey ist eine tolle Sache!
Zwar ist das nicht ganz so bequem, aber dafür um einiges sicherer.
2-Faktor-Authentifizierung heißt, jedem Deppen seine Handynummer zu geben. Im Falle eines Telefonverlustes ohne Account da zu stehen. Und mobil ergibt sich auch nicht mehr Sicherheit. Ganz zu schweigen davon, ob ein Kanal wie SMS heutzutage noch sicherer ist als HTTP.
Was soll der Quatsch, dass sich jeder selbst um die Abfrage kümmern muss? Wenn man wirklich an der Sicherheit der betroffenen Personen interessiert wäre, sollten die ensprechenden Mailadressen direkt angeschrieben werden.
@gast: So eine Mail würde 100%-tig im Spam landen und keiner würde die ernst nehmen
Ich bin mit meiner Nutzung-für-alles-blödsinnige-E-Mailadresse in der Datenbank. Nun weiß ich auch warum da so viel Spam drauf kommt. 🙂
Da meine Hauptadresse und andere E-Mails nicht betroffen sind, gehe ich davon aus, dass ich keine Malware auf dem Computer habe. Die wird auch die letzten drei Neuinstallationen nicht überlebt haben. Die im Botnetz bekannte E-Mailadresse waren jedoch auch bei mehreren im letzten Jahr bekanntgewordenen gehackten Seiten/Unternehmen hinterlegt. Ich denke meine E-Mailadresse stammt von daher.
Ich werde meine nicht mehr benötigten Accounts mit der E-Mailadresse löschen und mir dann wohl eine neue E-Mailadresse anlegen.
einer meiner Alias Adressen steht leider in der Datenbank des BSI. Frage wäre tatsächlich von wann diese Daten stammen, da ich Passwörter für diese Adresse mit KeePass generiert habe.
Also mich würde auch sehr interessieren, welcher Dienst betroffen ist. Es war sicherlich nicht der Zugang zu meinem Emailaccount. Ich habe ja ganz schwer den Playstationhack in Verdacht. Dies ist aber sixherlich nicht so tragisch wie es hier gerade in den Medien berichtet wird. Bevor man das Ganze so aufbläht, sollte man vielleicht vorher beim Bsi nachfragen, welcher Shop, welches Netzwerk bwtroffen war. Naja Medienwirksam war es jedensfalls.
@Alex
playstation kann es nicht sein, da in 2 mir bekannten Fällen, 100% keine vorhanden ist.
vielleicht kann man es mit div. Infos besser eingrenzen?
welche Hoster sind es bei Euch?
die beide „betroffene Mail-Addys“ sind @gmx.de
Bei mir ist es eine gmail adresse.
Ich nutze diese eigentlich nur für unwichtige Anmeldungen.
KM Elektronik habe ich diese auch nicht benutzt, Adobe auch nicht.
Aber diverse Foren. Humble, IndieGala, Hosteurope, BuyVIP, Pearl, smdv, Bundle Stars, media markt.
Na da bin ich mal gespannt, ob wir alle eine Schnittmenge finden 😉
Kann natürlich einfach nur eine Sammlung von Emailadressen aus diversen Forenhacks oder ähnliches gewesen sein, da können wir dann lange suchen.
bei mir ist es eine freenet Adresse. Nutze diese u. a. auch für Facebook, Amazon, Runtastic usw.
Danke für diese Info! Wäre sonst an mir vorbei gegangen. Mich hats auch erwischt, wenn auch „nur“ meine zweite E-Mail-Adresse (GMX) für eher nicht so sensible Zugänge wie Foren und Social Communities. Zum Glück verwende ich natürlich für jeden Account ein anderes Kennwort. Da man aber nicht weiß, welcher Zugang betroffen ist, muss ich jetzt wohl bei allen Zugängen das Passwort ändern, bei mir immerhin gut 600 Stück. Auffällig ist, dass beim heutigen ersten Login bei GMX über 100 fehlgeschlagene Loginversuche angezeigt wurden. Da scheint jemand aktiv zu sein…
So, fiktives Beispiel, meine Mailadresse ist dabei. Bekomme ich dann auch gesagt, woher die Daten stammen? Oder wird das unverschlüsselte Passwort mitgeliefert?
Ansonsten ist die Aussagekraft genau 0, da ich für jeden einzelnen Dienst, bei dem ich als Login meine Email-Adresse verwende, ein eigenes Passwort verwende. Und solange ich nicht weiß, bei welchem der Dienste die Daten abgegraben wurden, hilft mir die Aussage „Sie sind dabei“ genau garnichts.