Identitätsdiebstahl: BSI informiert Betroffene, Selbsttest online
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert nach einem bekannt gewordenen Identitätsdiebstahl betroffene Nutzer in Deutschland. Die Staatsanwaltschaft Verden hat dem Bundesamt für Sicherheit in der Informationstechnik einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt.
Nach der Analyse des Bundesamtes für Sicherheit in der Informationstechnik verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen. Die Inhaber der E-Mail-Adressen werden vom BSI in Zusammenarbeit mit den Online-Dienstleistern Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de informiert.
Zudem stellt das BSI wieder einen webbasierten Sicherheitstest zur Verfügung. Die Identitäten hatte man im Rahmen eines Ermittlungserfahren gefunden, die Accounts sollen hierbei zum Aufbau eines Netzes genutzt werden, welches Spam-Mails verschickt.
Das Botnetz ist noch in Betrieb, wie man seitens des Bundesamtes für Sicherheit in der Informationstechnik verlauten lässt, die gestohlenen Identitäten werden aktiv ausgenutzt. Es ist davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt – sofern ihr hier und dort das identische Passwort verwendet, was heutzutage nicht mehr gemacht werden sollte.
Aufgrund der aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de, wie man weiterhin mitteilt.
Das Bundesamt für Sicherheit in der Informationstechnik hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese ihre Kunden informieren. Hierbei soll es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken handeln, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können.
Nutzer, die einen E-Mail-Account bei einem anderen als den oben genannten Provider haben oder einen eigenen Webserver betreiben, sind aufgefordert, mithilfe des vom BSI bereitgestellten webbasierten Sicherheitstests zu überprüfen, ob sie von dem erneuten Identitätsdiebstahl betroffen sind.
Zur Arbeitsweise: Der neue Datensatz wurde in den seit Januar bestehenden Sicherheitstest eingepflegt. Die eingegebene Adresse wird in einem technischen Verfahren vom BSI mit den Daten abgeglichen, die die Staatsanwaltschaft Verden zur Verfügung gestellt hat. Ist die Adresse und damit auch die digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.
Vielleicht zum Anreiz: Mein Artikel zum digitalen Frühjahrsputz, in dem es auch um Sicherheit geht – denn eine Mail-Adresse und ein Passwort müssen einem Angreifer nicht zwingend Zugriff auf ein Konto geben. Nutzt bei verschiedenen Diensten unterschiedliche Passwörter, sofern machbar, setzt auf die Zwei-Faktor-Authentifizierung. Nutzt eventuell Passwort-Manager, die euch sichere Passwörter generieren. Lösungen wie KeePass und Co sind einfach zu bedienen und zudem kostenlos.
Für jeden Account eine eigene E-Mail-Adresse anzulegen kann auch Nachteile haben. Jetzt darf ich rund 200 Wegwerf-Adressen prüfen, ob sie betroffen sind. 🙁
@Caschy:
Danke, das ist schon über einen Linux Rechner erledigt worden.
Mich wundert es nur, wie mein Rechner sauber sein kann (gibt evtl. Empfehlungen welches Tool ich zur Überprüfung nochmal verwenden kann?) und ich trotzdem mit dabei bin?
Mhhh… meine primäre Mailadresse ist diesmal wohl auch dabei. Das Kennwort änder ich aber regelmäßig + 2 Faktorauthorisierung. Bin also in der Hinsicht safe. Hätte aber trotzdem gerne den Hash zu dem Passwort das wohl auch in der Datenbank steht, damit ich weiß welche anderen Accounts ich noch ändern muss…
das problem bei lastpass und co. ist doch wenn man an einem anderen rechnen sitzt wo man die datenbank gerade nicht zur verfügung hat man „ausgesperrt“ ist
trotz alle dem ist das angebot ein absoluter scherz. wie soll ich denn an meine mail kommen, wenn ich nicht mal in meinen acc reinkomme? ein bischen sinnlos