Kommentar zum Identitätsdiebstahl / BSI-Sicherheitstest

Wieder einmal gibt es einen großen Datenskandal. Dem Bundesamt für Sicherheit in der Informationstechnik liegen 21 Millionen E-Mail-Adressen und Passwörter vor. Nach eigenen Aussagen sind nach einer Analyse des ganzen Datensatzes 18 Millionen E-Mail-Adressen übrig, nebst den dazugehörigen Passwörtern.Frau ärgert sich über Computer

Drei Millionen dieser E-Mail-Adressen will man deutschen Benutzern zugeordnet haben, von denen 70 Prozent aus dem Bestand Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de stammen sollen. Auf einer speziellen Seite des Bundesamtes für Sicherheit in der Informationstechnik kann sich jeder selber testen, in meinem Umfeld gibt es Betroffene, die eine Informations-E-Mail bekommen haben. Doch das Ganze System ist meines Erachtens nicht schön gelöst, da einige Angaben fehlen und es einige Dinge gibt, die dem Prüfsystem Stöcke zwischen die Beine werfen.

Der Betroffene gibt seine E-Mail-Adresse ein und wird – wie beim letzten Datenleck Anfang des Jahres – nur informiert, sofern er betroffen ist. Was passiert, wenn der Mailserver des Bundesamtes für Sicherheit in der Informationstechnik nicht korrekt arbeitet und Nutzer keine Mail bekommen? Kann ja passieren, denn das BSI hat Daten an die Provider weitergegeben, die für ihren Teil eigenständig informieren.

Oder die Mail im Spam des Nutzers festhängt und dieser zu unbedarft ist? Oder wenn der Nutzer durch das Datenleck keinen Zugriff mehr auf das Konto hat, weil es gekapert wurde? Oder ein Angreifer parallel Zugriff hat und diese Informations-E-Mail-löscht? Hier hätte man ein System aufbauen können, welches den Benutzer auf jeden Fall informiert, ob er betroffen ist, oder nicht. Denn hierbei wartet der Nutzer gezielt auf eine Mail, er erwartet zwingend eine – was beim jetzigen Ist-Zustand nicht der Fall ist.

Die weitere Frage, die man sich stellen kann: liegen die Passwörter im Klartext – also entschlüsselt – vor? Oder handelt es sich um eine Kombination aus E-Mail-Adresse und verschlüsseltem Passwort, welches die Angreifer vielleicht noch gar nicht entschlüsselt haben?

Woher stammen diese Daten eigentlich? Ist dies nicht bekannt, oder wurde es einfach nur noch nicht kommuniziert? Datenlecks gab es in den letzten Monaten in Deutschland – oder bei deutschen Nutzern –  reichlich.

Vodafone verlor 2 Millionen Datensätze. Bei Chip wurde ein  Angriff festgestellt. Bei Sky sind Daten abhanden gekommen. OVH hat Daten verloren. Adobe verlor insgesamt 29 Millionen Zugänge. Das sind nur einige, die ich hier aufzählen will.

Gesetzt dem Fall, wir verhalten uns nun alle vorbildlich und nutzen bei jedem Dienst ein anderes Passwort: oft haben wir eine Mail-Adresse, die wir überall benutzen. Vielleicht haben wir unter einer Mail-Adresse einen Zugang bei 50 Diensten. Wo erfahre ich als Nutzer, welcher Dienst betroffen ist? Sind es alle? Ich bekomme eine Mail, die folgenden Wortlaut hat:

Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse DeineMail@Provider.tld auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde. Die von Ihnen angegebene E-Mail-Adresse DeineMail@Provider.tld wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos durch Online-Kriminelle gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.

Ich erfahre also nicht, wo das Leck sein könnte, darf also pauschal 50 Zugänge bei allen Anbietern ändern? Ja, scheinbar ist es wirklich so. Und das Ganze ist irgendwie unzufriedenstellend, wie auch schon beim letzten Mal.

Nein, ein Allheilmittel kenne ich auch nicht, ich kann immer nur wieder empfehlen: Nutzt bei jedem Dienst ein anderes, sicheres Passwort – vielleicht sogar eine eigene Mail-Adresse, das ist aber aufwändiger. So minimiert man vielleicht den Schaden – denn Angreifer werden eure Daten auch bei anderen Diensten ausprobieren. Löscht Dienste, beziehungsweise Accounts, wenn ihr nicht mehr vorhabt, aktiv zu sein. Nutzt, sofern vorhanden, die zweistufige Sicherheit, die Anbieter wie Evernote, Microsoft, Google, Dropbox und Co anbieten. Vielleicht sollten die Behörden etwas transparenter vorgehen und Ross und Reiter nennen, woher die Daten wohl stammen, falls man dieses weiss.

Wir dürfen nicht davon ausgehen, dass diese Art Berichte und die Datenlecks weniger werden. Wir müssen sensibler werden. Von daher – nehmt euch vielleicht mal die Zeit, eure Accounts zu pflegen, auszumisten und neue Passwörter zu vergeben. Ist ein Sackgang, aber er lohnt sich.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

36 Kommentare

  1. Ich nutze für jeden Dienst eine separate E-Mail Adresse (eigene Domain mit Catch-All-Adresse). Ich kann also unmöglich abfragen, ob ich betroffen bin, da keine Wildcard für die Abfrage erlaubt ist. Wäre dies möglich, könnte ich auch ziemlich schnell feststellen, wo das Leck dieses mal war – gesetzt den Fall, ich wäre betroffen.

  2. ich kann es wirklich nicht mehr lesen/hören!

    wenn die meine mailadresse und mein passwort haben und wissen, dass diese daten gestohlen sind müssten die mich darüber informieren, ohne das ich selber aktiv wäre. wenn mit meiner gekaperten mailadresse kriminelle handlungen durchgeführt worden sind, müssten die behörden mich so oder so kontaktieren! die könnten z.b. emails an die leute schicken, deren mailadressen und passwörter die haben! inhalt z.b. bitte ändern sie ihr passwort blablabla…also das ziel dieser panikmache ist, dass ihr freiwillig eure mailadresse preisgebt und auch zeigt, dass diese noch genutzt wird…

    es hat schon seine gründe, warum bei den größten onlinemedien wie bild.de und co. genau unter diesen artikeln die kommentarfunktion abgeschaltet wurde!

    viele leute interessiert sowas eh nicht, weil sie lange genug im internet unterwegs sind, dass sie ihren internetkonten noch fakedaten hinterlegt haben (bei freemailern wie freenet.de z.b.)…und jetzt wird hier auch noch dazu aufgerufen diesen diensten die realdaten zu geben…

    es gab schon ende der 90er/anfang der 2000er menschen, die sich der gefahr eben bewusst waren und gar nicht erst realdaten eingetragen haben bei der registrierung, was ich bei kostenlosen diensten auch legitim finde…aber gleich kommt wieder jemand aus seinem loch gekrochen, der solchen leuten unterstellt nur keine realdaten anzugeben, weil er kriminelles vor hat…so leute die auch sagen „sollen die doch alles abschnorcheln, ich habe eh nichts zu verbergen“

  3. ich persönlich finde diesen „Sicherheitstest“ und in dem Zusammenhang die Informationspolitik vom BSI in hohem Masse unprofessionell, eben aus denen von die schon beschriebenen Gründen. Wie beim letzten Mal wurde nicht gesagt woher die das leak herhaben. wie alt es ist und deren Struktur. Stattdessen wird letztlich nix anderes als Panikmache betrieben. Denn selbst wenn eine Mail ankommt, sagt das gar nichts aus, ausser das diese Email Adresse auf irgendeiner Liste auftaucht. Ob nun mit oder ohne Passwort weiss man nicht.

  4. Ich bin angeblich betroffen, obwohl hier anscheinend kein Rechner infiziert ist. D.h., ich habe wohl eine email-Adresse irgendwo mit irgendeine PW benutzt, und das BSI glaubt jetzt, weil diese Kombi nun auf freier Wildbahn ist, dass ich mein (anderes) email-Passwort ändern soll? Ich müßte doch das PW beim angegriffenen Anbieter ändern, nicht beim email-Provider, oder? Mein email wurde wohl nicht geknackt, sondern irgend ein Dienst irgendwo, oder verstehe ich da was falsch?

  5. Ich habe mal ein paar etwas ältere Mailadressen eingegeben und bei einer bekam ich dann tatsächlich die Mail zurück, dass diese Adresse betroffen sei.

    Davon wusste ich bereits, denn vor mehr als anderthalb Jahren haben mir Leute geschrieben, sie hätten von dieser alten Adresse Spam erhalten. Damals wurde wohl mein (sehr einfaches) Passwort geknackt. Danach habe ich die Adresse sofort mit einem zufällig generierten, langen, Passwort gesichert. Dennoch ist die Adresse heute in der Liste vom BSI, d.h. die Daten sind teilweise einfach auch furchtbar alt und stammen wohl aus allen möglichen zusammengeklauten Quellen, einschließlich Bruteforce-Attacken (auf GMX in dem Fall)

  6. Das ist ja bei GMail recht praktisch. Man kann aus alias@gmail.com auch ein alias+dienst@gmail.com machen.
    Macht die Auswertung beim BSI jedoch nicht leichter, den Account-Diebstahl jedoch schwerer bzw. minimiert dessen Auswirkungen auf nur einen Account.

    Leider hängen sich viele Dienste am „+“ auf.

  7. @craig, ich denke du bist für das bsi eher aufgrund deines jobs relativ interessant…daher bist du auch „betroffen“..

  8. „vielleicht sogar eine eigene Mail-Adresse, das ist aber aufwändiger. “

    Das können sehr viele mal testen. Bei vielen Providern ist es mögliche Catch-All zu benutzen. Wer Angst vor Spam hat kann alternativ (und so auch besser sortieren) den „recipient_delimiter“ benutzen. Der ist bei fast allen das „+“-Zeichen.

    E-Mailadresse= max.musterman@freemailprovider.de
    Wäre dann: max.musermann+twitter@freemailprovider.de und max.mustermann+facebook@freemailprovider.de usw.

    1 Account aber pro Dienste eine andere Adresse, die dann auch brav in einzelne Mail Ordner sortiert werden. Zu beachten ist lediglich das Ordernamen im Mailaccount kleingeschrieben sein müssen damit die Mails auch einsortiert werden können, sonst werden sie nicht gefunden.

  9. @florian..manchmal bekomme ich sogar von meiner eigenen email-adresse spam…dann merke ich, dass diese meiner zum verwechseln ähnlich sieht, aber z.b. der punkt an einer falschen stelle ist…frag doch mal deine bekannten ob sie die mail noch haben und vergleiche die adressen…

  10. „Drei Millionen dieser E-Mail-Adressen will man deutschen Benutzern zugeordnet haben“.

    Das können sie gar nicht wissen. Sehr viele deutsche User haben Mailadressen bei gmail (googlemail) oder Outlook (Microsoft). Gelten diese Adressen dann als „amerikanisch“ und „nicht-deutsch“, weil sie von amerikanischen Domains gehostet werden?

    Also:

    Funktioniert die BSI-Abfrage überhaupt bei Adressen wie gmail.com oder outlook.com?

    Fazit:

    Keine Antwort ist keine Antwort.

  11. „Ich erfahre also nicht, wo das Leck sein könnte, darf also pauschal 50 Zugänge bei allen Anbietern ändern?“ das ist in den (vielen?) Fällen mit „selber Username/selbes Passwort“ vermutlich eher positiv zu sehen. Wüssten die Opfer, welcher Acount (mindestens!) kompromittiert ist, würden sie nur diesen warten und die anderen blieben unverändert.

    bb

  12. Achso, falls jemand den Link im Blogartikel zu der Seite vermisst: Hier isser https://www.sicherheitstest.bsi.de

    🙂

    Also diese Mode mit den 5.000 internen SEO Links kann ich nicht gutheißen.

  13. Meiner einer ist auch betroffen. Und was werde ich nun machen? Nichts. Mit der Adresse habe ich mich bei Diensten/Foren angemeldet die es schon nicht mehr gibt. Rücken die nicht mit dem Namen des Dienstes raus, hilft das gar nicht.

    Wie ich bereits bei fB kommentierte, dass ist wie bei der Feuerwehr anzurufen, und nicht den Ort des Brandherds zu verraten.

    @Caschy, dieser Blog dürfte doch eine so große Reichweite habe, dass es die bürgerlichen Medien, und durch diese auch das BSI selbst erreicht. Hast du nicht noch eine passende Telefonnummer die zu den öffentlich Rechtlichen gehört in deinem Adressbuch?

    Mal sehen was Frontal und Planetopia daraus machen. Die stehen doch darauf dem einfachen Bürger mit wahllos aneinandergereihten IT-Begriffen Angst und Schrecken einzusagen. Ich seh das schon vor mir. Eine tiefe, rauhe Stimme, ein IT-„Experte“ der sich \begin{document} erklären ließ, „niemand ist sicher“, „selbst das BSI ist machtlos“. Dann der Zentralrat der katholischen Einzelhändler der sich über schwachen Absatz beschwert und zum Abschluss der ADAC der empfiehlt den Bürostuhl in Watte einzuwickeln.

  14. @Jan: ich denke, dass diese mein Blog nicht benötigen 🙂

  15. @Caschy Ich fürchte die sehen das auch so….

  16. @Jo
    „… Gelten diese Adressen dann als “amerikanisch” und “nicht-deutsch”, weil sie von amerikanischen Domains gehostet werden?“
    Andersrum. Web.de und GMX.de gelten als deutsch und gehören mit hoher Wahrscheinlichkeit deutschen Nutzern.

  17. CHristoph says:

    Ich finde es auch nicht OK, dass man seine Email-Adresse eingeben muss anstatt dass einfach eine Info-Mail an alle Empfänger geschickt wird. Ich habe nämlich seit Jahren auch ein spezielle Vorgehensweise im Bereich Email: ich nutze ausschließlich sogenannte Wegwerf – Email – Adressen, wenn ich hauptsächlich nur Empfänger bin (Newsletter etc)/ erwarte zu sein.

    Ich nutze zwei Dienste, die die Generierung solcher Email-Adressen sehr einfach machen: http://www.spamgourmet.com & das FireFox-Addon „DoNotTrackMe „. Mittels beider Diensten kann ich sofort neue Email-Adressen generieren, die über eine Weiterleitung bei meiner richtigen Email – Adresse landen. Ferner setze ich seit gut gut zwei Jahren auf individuelle Passwörter, die ich mit KeePass verwalte. Und wenn es doch einmal arge Probleme geben sollte, kappe ich einfach die Weiterleitungsadresse.

    Beide Dienst geben mir auch die Option die Weiterleitung bis auf Widerruf zu gestatten.

    Nur bei „wichtigen“ Diensten setze ich auf meine reale Email – Adresse. Aber Postfach-Kennwort ist „KeePass sei Dank“ nie identisch mit dem Dienst-Passwort. Die Passwörter sind zwar nicht hundertprozentig kryptisch, aber meines Erachten individuell genug.

    Konsequenz ist, dass ich wenig bis gar keine Spam-Mail erhalte, da ich diese Methode eigentlich schon seit mindestens 10 Jahren konsequent nutze.

    Gruss
    Christoph

  18. Bin auch betroffen mit einer Mailadresse. Interessant für mich ist, dass ich weiß, dass sich mit dieser Mailadresse (wohl dem, der lesen kann!) mindestens 4 real existierende Personen beiderlei Geschlechts bei Diensten und Behörden angemeldet haben. Mit viel Pech (oder Glück) ändere ich Passwörter, ohne überhaupt zu wissen, ob das Leck bei mir liegt… :-/

  19. @CHristoph
    Und dann wird eine Info-Mail versendet und dann?
    Jahre lang trichtert man den Leuten ein sie sollen solche Mails ignorieren in denen etwas
    * Von Sicherheit steht,
    * Man einen Link anklicken soll,
    * Und dann noch sein Passwort eingeben und ein neues.

    Immer wieder sagt man nach *Fail* „Ich habe Dir doch schon so oft gesagt nicht klicken und schon gar nichts eingeben.

    Und jetzt wären solche Mails besser? Ne, die würden von den meisten abgestempelt als Spam/Pishing und ohne viel denken einfach in die Tonne gekloppt.

  20. Das wir in D. diesbezüglich noch ein wenig hinterm Mond sind, was professionelle Behörden für IT betrifft, ist echt traurig.

    Im Januar war die Rede davon dass Ermittlungsbehörden Zugriff auf Server erhalten haben wo diese Datensätze gefunden wurden. Gesammelt wurden sie über Bot-Netze aber vermutlich auch über Attacken auf betroffene Unternehmen. Und im aktuellen Fall wird es ähnlich sein. Ich denke es lässt sich vielleicht auch nicht mehr genau feststellen woher die die gefunden Datensätze stammen.

    Man sollte davon ausgehen dass solche News in Zukunft noch öfter zu hören sind. Also kann man nur selber für möglicht große Sicherheit sorgen.
    – nicht für jeden Dienst die selben Zugangsdaten
    – besonders wichtige Dinge wie Bank, privater Mailaccount, oder aber auch Google (wenn man dort viele Dienste nutzt ..) sollte man besonders vorsichtig behandeln. Mein Bankzugang befindet sich zum Beispiel nur in meinem Kopf – nicht bei Lastpass etc, nicht im Browser gespeichert und erst recht nicht in einer Textdatei (Bankpasswort.txt) o.ä.
    Und Caschy hat ja dazu auch was im Artikel verlinkt.

  21. Zur Glaubwürdigkeit vom BSI – übrigens eine Bundesbehörde, die dem Innenministerium unterstellt ist [ein Schalk, wer Böses bei dieser Anmerkung denkt]) – sei noch der Hinweis gestattet, dass nur Email-Anbieter informiert werden, bei denen mindestens 20.000 Postfächer betroffen sind.

    Und da gibt diese Bundesbehörde vor, sich für „Sicherheit in der Informationstechnologie“ zu engagieren?!?!

  22. @caschy

    Kann es sein, dass das darunter die Daten vom gehackten Chip Online Forum sind`? Bei mir ist die Mailadresse betroffen, mit der ich unter andrem im Chip-Forum registriert bin.

  23. coriandreas says:

    Mittlerweile gehe ich auch von einer raffiniert inszenierten Kampagne der Bundesregierung aus: Mit Angstmacherei die Leute zu einem neuen Sicherheitsverständnis zu bewegen. Das Problem: Der Schu kann auch nach hinten los gehen. Ich höre bei meinen „35+“ Bekannten immer mehr raus, Elektronik und Internet immer weniger, teilweise gar nicht mehr zu nutzen und wieder zurück zur SMS und Telefon zu greifen!

  24. Meine web.de freemail Adresse wurde auch „vorsorglich“ gesperrt. Die wurde damals bei Adobe abgegriffen. Beim BSI war die beim letzten Mal nicht dabei und dieses Mal gab es auch keine Bestätigung beim Selbsttest. Ob das jetzt so hilfreich ist, bezweifle ich. Dann lieber in einem regelmäßigen Turnus die Passwörter bei genutzten Diensten neu generieren lassen.

  25. Was ich nicht blicke, erklär mir es bitte einer, der BSI hat also 18 Millionen Adressen? Und zum prüfen gibt die alle einer mal eben ein damit eventuell Betroffene das testen können? Das heißt der BSI bekommt diese Adressen als sauberen Datensatz oder wie?!?! Komme da nicht ganz mit???

  26. Tja, wenn man so die „Kommentare“ (hier und anderswo) liest, dann muss man teils schon etwas lächeln. Mal ganz zurückhaltend formuliert. Da ist erstaunlich viel Vorurteil & Schlichtheit am Starte. etc.
    Was soll das?
    Das Bsi könnte es den meisten (hier und anderswo, als Beispiel mal Heise) doch eh nicht recht machen, nicht ansatzweise. Egal was die tun oder getan hätten. So what?
    Inhaltlich habsch bisher wenig wirklich überzeugendes lesen dürfen, das meiste ist (teils dummes oder ahnungsloses) Gerülpse. Bsi gehört zum „Feindbild“. Klar, was dann meist kömmet. Aber vieles ist oft nicht mal unterhaltsam, nur schlecht.
    Wenn man keine Ahnung hat, einfach mal… (nur mal so als Option. ;-))
    Aber wer kann bzw. will schon das Wasser halten…
    😛

  27. Kurzfassung (aus BSI Sicht): Wir haben einen Haufen Schei**e wissen aber nicht wonach er stinkt!

  28. Warum sollte ich auf der BSI-Seite meine E-Mail-Adresse eingeben, wenn es ausreicht das Passwort zu ändern?
    Die Einverständniserklärung auf der BSI-Seite sieht eher danach aus, als ob man hier E-Mail-Adressen sammeln will. Das „… erhoben, verarbeitet und genutzt werden dürfen …“ kann doch auch bedeuten, dass meine E-Mail-Adresse an Werbefirmen oder Drei-Buchstaben-Organisationen weitergegeben werden.
    Ich werde meine Mail-Adresse bei denen sicherlich nicht eingeben!

  29. Frag mich ja immer noch was daran so schwer ist, einfach alle E-Mailadressen anzuschreiben mit dem behördlichen Hinweis, dass die folgenden X Accounts bei der gefundenen Datensammlung enthalten wollen. So kann man jeden abdecken und das BSI kann die Last auf ihre Seite selber steuern. Aber das wäre ja dann wieder zu einfach und die ganzen Leute beim BSI wären arbeitslos.

  30. …also die meisten BSI kritischen Kommentare hier kann ich inhaltlich nicht nachvollziehen.
    Ist es nicht zu kurz gedacht, wenn man meint, das BSI sollte einfach alle Betroffenen anschreiben? Ich denke, was sofort danach passiert ist doch klar. Eine riesen SPAM/Phishing-Welle mit Mails, die denen des BSI nachgebaut sind. Deshalb doch wohl der Weg über das eigene Anstoßen des Versandes, zusätzlich abgesichert mit dem Code. Der andere Weg, direkt über die Anbieter geht sicherheitstechnisch auch iO, ist aber nur bis zu einem bestimmten Verhältnis von Betroffenen/Provider praktikabel bei 18.000.000! Datensätzen. Die werden die Grenze bei 20.0000 wohl dort gezogen haben, wo noch keine zu krasse Zersplitterung eingesetzt hat. Aber hier unterstelle ich dem BSI einfach mal – positiv – dass es grundsätzlich sinnvoll handelt und nicht immer nur böses im Sinn hat bzw. „faul“ ist.

  31. ja, is wohl doch besser man koppelt die Accounts an die handynr. das war doch bisher nicht zu knacken, oder?

  32. Ich lese hier so viele schwachsinnige Beiträge, wie auch Blogposts (in diesem Fall Singular) – hier sollte mal realistisch geblieben werden:

    1. Behörde schreibt alle automatisch an:
    Es ist technisch nicht machbar. Sämtliche spam protection wird Alarm schlagen und schon steht der Absender (@bsi.de?) auf der schwarzen Liste.
    Zudem: Wer öffnet schon Mails mit dem Betreff „Passwort ändern!“? Nur alte Omis. Jeder der mit Telnet weiß umzugehen wird mir bestätigen, dass es ein leichtes ist, einen falschen Absender vorzutäuschen.

    2. Keine WildCard-Abfragen und kein „Online-Check“:
    Ebenfalls technisch schwierig: Es muss eine 18mio Datenbank durchsucht werden, auf der in einer kurzen Zeitspanne extrem viele Nutzer zugreifen und dann evtl. noch mit WildCards – da knickt jeder Webserver ein. Caschys Blog bricht selbst durch 10k Anfragen ein (oder so), und der ist nur mies konfiguriert… rechnet das mal hoch.

    3. Jeder Dienst, eine Mailadresse:
    Was ist das denn für ein Schwachsinn? Niemand hat 50 Mailadressen und falls doch, wird er diese nicht separat, sondern gesammelt irgendwo abrufen. Wo ist da Sicherheit? Wenn ich auf „Passwort vergessen“ klicke, kommt die Mail so oder so im Sammelordner an und ich kann fröhlich auf deinen Dienst zugreifen… daher (weiter mit Punkt 4)

    4. Welcher Dienst ist betroffen?
    Das ist scheiß egal. Sollten Daten extrahiert worden sein gilt sowieso generell, all seine Passwörter zu ändern. Schließlich sind die Datensätze des BSI nur Stichprobenhaltig. Wer garantiert mir, dass nicht auch Dienst XY betroffen ist? Also wer glaubt, dass diese alle Informationen haben, rennt mit Scheuklappen durchs Leben.

    Also dieser Blogeintrag ist echt ein Griff ins Klo. Absolut kein technisches Denken dahinter und dementsprechend qualitativ unter aller sau.
    my two cents..

  33. Namenlos, weil Cookies gelöscht... says:

    Mir pers. isset völlig egal, ob irgendwo ein Account von mir gehackt wurde oder sonstwas.
    Wenn ich den Dienst noch nutzen sollte, werd ich das wohl selber merken, und falls ich den Dienst nicht mehr nutze…so what?!
    Wurde ein Account gehackt und leitet nun alle Daten, die ich produziere zusätzlich noch woanders hin, kann ich sowieso nichts dagegen tun, egal, ob ich davon weiss, oder nicht.

    Ich finde, das wirkliche Leben is wichtiger, als ein paar Dienste im Internet.

  34. Warum geht das nicht einfach so: Ich tippe auf der BSI-Seite (m)eine Email-Adresse ein. Nach dem Absenden gleicht irgendein Script diese Adresse mit den 18 Mio. Datensätzen ab und meldet dann (vereinfacht) „Sie sind (nicht) dabei“ – kann doch nicht so schwierig sein, oder?

  35. Die Problematik ist eine beständig wiederkehrende. Als Normalnutzer braucht man nur 3 E-Mail Adressen: 1. offizielle, für Behörden, Banken 2. Eine mit Pseudonym für wichtige Accounts wie Facebook oder Google 3. Eine für den ganzen Mist wie Foren, Chats und Co

    Dann nimmt man für jede E-Mail ein Standardpasswort mit dem man die anderen Accounts anlegt und fügt z.B. in der MItte des Passwortes eine Phrase ein die man mit dem Account in Verbindung: Beispiel Standardpasswort: „ifg$$%(gesichtsbuch)KG“ als PW für Facebook. Wichtig ist hier nur das die eingefügte Phrase nicht gleich von jedermann mit der Domain in Verbindung gebracht wird.

    Dann hat man i.d.R. keine Probleme. Zumindest solange bis kein Trojaner / Rootkit / Keylogger oder ähnliches das System infiziert hat und die Passwörter mitloggt.