Kommentar zum Identitätsdiebstahl / BSI-Sicherheitstest
von caschy | 36 Kommentare
Wieder einmal gibt es einen großen Datenskandal. Dem Bundesamt für Sicherheit in der Informationstechnik liegen 21 Millionen E-Mail-Adressen und Passwörter vor. Nach eigenen Aussagen sind nach einer Analyse des ganzen Datensatzes 18 Millionen E-Mail-Adressen übrig, nebst den dazugehörigen Passwörtern.
Drei Millionen dieser E-Mail-Adressen will man deutschen Benutzern zugeordnet haben, von denen 70 Prozent aus dem Bestand Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de stammen sollen. Auf einer speziellen Seite des Bundesamtes für Sicherheit in der Informationstechnik kann sich jeder selber testen, in meinem Umfeld gibt es Betroffene, die eine Informations-E-Mail bekommen haben. Doch das Ganze System ist meines Erachtens nicht schön gelöst, da einige Angaben fehlen und es einige Dinge gibt, die dem Prüfsystem Stöcke zwischen die Beine werfen.
Der Betroffene gibt seine E-Mail-Adresse ein und wird – wie beim letzten Datenleck Anfang des Jahres – nur informiert, sofern er betroffen ist. Was passiert, wenn der Mailserver des Bundesamtes für Sicherheit in der Informationstechnik nicht korrekt arbeitet und Nutzer keine Mail bekommen? Kann ja passieren, denn das BSI hat Daten an die Provider weitergegeben, die für ihren Teil eigenständig informieren.
Oder die Mail im Spam des Nutzers festhängt und dieser zu unbedarft ist? Oder wenn der Nutzer durch das Datenleck keinen Zugriff mehr auf das Konto hat, weil es gekapert wurde? Oder ein Angreifer parallel Zugriff hat und diese Informations-E-Mail-löscht? Hier hätte man ein System aufbauen können, welches den Benutzer auf jeden Fall informiert, ob er betroffen ist, oder nicht. Denn hierbei wartet der Nutzer gezielt auf eine Mail, er erwartet zwingend eine – was beim jetzigen Ist-Zustand nicht der Fall ist.
Die weitere Frage, die man sich stellen kann: liegen die Passwörter im Klartext – also entschlüsselt – vor? Oder handelt es sich um eine Kombination aus E-Mail-Adresse und verschlüsseltem Passwort, welches die Angreifer vielleicht noch gar nicht entschlüsselt haben?
Woher stammen diese Daten eigentlich? Ist dies nicht bekannt, oder wurde es einfach nur noch nicht kommuniziert? Datenlecks gab es in den letzten Monaten in Deutschland – oder bei deutschen Nutzern – reichlich.
Vodafone verlor 2 Millionen Datensätze. Bei Chip wurde ein Angriff festgestellt. Bei Sky sind Daten abhanden gekommen. OVH hat Daten verloren. Adobe verlor insgesamt 29 Millionen Zugänge. Das sind nur einige, die ich hier aufzählen will.
Gesetzt dem Fall, wir verhalten uns nun alle vorbildlich und nutzen bei jedem Dienst ein anderes Passwort: oft haben wir eine Mail-Adresse, die wir überall benutzen. Vielleicht haben wir unter einer Mail-Adresse einen Zugang bei 50 Diensten. Wo erfahre ich als Nutzer, welcher Dienst betroffen ist? Sind es alle? Ich bekomme eine Mail, die folgenden Wortlaut hat:
Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse DeineMail@Provider.tld auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde. Die von Ihnen angegebene E-Mail-Adresse DeineMail@Provider.tld wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos durch Online-Kriminelle gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.
Ich erfahre also nicht, wo das Leck sein könnte, darf also pauschal 50 Zugänge bei allen Anbietern ändern? Ja, scheinbar ist es wirklich so. Und das Ganze ist irgendwie unzufriedenstellend, wie auch schon beim letzten Mal.
Nein, ein Allheilmittel kenne ich auch nicht, ich kann immer nur wieder empfehlen: Nutzt bei jedem Dienst ein anderes, sicheres Passwort – vielleicht sogar eine eigene Mail-Adresse, das ist aber aufwändiger. So minimiert man vielleicht den Schaden – denn Angreifer werden eure Daten auch bei anderen Diensten ausprobieren. Löscht Dienste, beziehungsweise Accounts, wenn ihr nicht mehr vorhabt, aktiv zu sein. Nutzt, sofern vorhanden, die zweistufige Sicherheit, die Anbieter wie Evernote, Microsoft, Google, Dropbox und Co anbieten. Vielleicht sollten die Behörden etwas transparenter vorgehen und Ross und Reiter nennen, woher die Daten wohl stammen, falls man dieses weiss.
Wir dürfen nicht davon ausgehen, dass diese Art Berichte und die Datenlecks weniger werden. Wir müssen sensibler werden. Von daher – nehmt euch vielleicht mal die Zeit, eure Accounts zu pflegen, auszumisten und neue Passwörter zu vergeben. Ist ein Sackgang, aber er lohnt sich.
Wird geladen ...
Zur Glaubwürdigkeit vom BSI – übrigens eine Bundesbehörde, die dem Innenministerium unterstellt ist [ein Schalk, wer Böses bei dieser Anmerkung denkt]) – sei noch der Hinweis gestattet, dass nur Email-Anbieter informiert werden, bei denen mindestens 20.000 Postfächer betroffen sind.
Und da gibt diese Bundesbehörde vor, sich für „Sicherheit in der Informationstechnologie“ zu engagieren?!?!
@caschy
Kann es sein, dass das darunter die Daten vom gehackten Chip Online Forum sind`? Bei mir ist die Mailadresse betroffen, mit der ich unter andrem im Chip-Forum registriert bin.
Mittlerweile gehe ich auch von einer raffiniert inszenierten Kampagne der Bundesregierung aus: Mit Angstmacherei die Leute zu einem neuen Sicherheitsverständnis zu bewegen. Das Problem: Der Schu kann auch nach hinten los gehen. Ich höre bei meinen „35+“ Bekannten immer mehr raus, Elektronik und Internet immer weniger, teilweise gar nicht mehr zu nutzen und wieder zurück zur SMS und Telefon zu greifen!
Meine web.de freemail Adresse wurde auch „vorsorglich“ gesperrt. Die wurde damals bei Adobe abgegriffen. Beim BSI war die beim letzten Mal nicht dabei und dieses Mal gab es auch keine Bestätigung beim Selbsttest. Ob das jetzt so hilfreich ist, bezweifle ich. Dann lieber in einem regelmäßigen Turnus die Passwörter bei genutzten Diensten neu generieren lassen.
Was ich nicht blicke, erklär mir es bitte einer, der BSI hat also 18 Millionen Adressen? Und zum prüfen gibt die alle einer mal eben ein damit eventuell Betroffene das testen können? Das heißt der BSI bekommt diese Adressen als sauberen Datensatz oder wie?!?! Komme da nicht ganz mit???
Tja, wenn man so die „Kommentare“ (hier und anderswo) liest, dann muss man teils schon etwas lächeln. Mal ganz zurückhaltend formuliert. Da ist erstaunlich viel Vorurteil & Schlichtheit am Starte. etc.
Was soll das?
Das Bsi könnte es den meisten (hier und anderswo, als Beispiel mal Heise) doch eh nicht recht machen, nicht ansatzweise. Egal was die tun oder getan hätten. So what?
Inhaltlich habsch bisher wenig wirklich überzeugendes lesen dürfen, das meiste ist (teils dummes oder ahnungsloses) Gerülpse. Bsi gehört zum „Feindbild“. Klar, was dann meist kömmet. Aber vieles ist oft nicht mal unterhaltsam, nur schlecht.
Wenn man keine Ahnung hat, einfach mal… (nur mal so als Option. ;-))
Aber wer kann bzw. will schon das Wasser halten…
😛
Kurzfassung (aus BSI Sicht): Wir haben einen Haufen Schei**e wissen aber nicht wonach er stinkt!
Warum sollte ich auf der BSI-Seite meine E-Mail-Adresse eingeben, wenn es ausreicht das Passwort zu ändern?
Die Einverständniserklärung auf der BSI-Seite sieht eher danach aus, als ob man hier E-Mail-Adressen sammeln will. Das „… erhoben, verarbeitet und genutzt werden dürfen …“ kann doch auch bedeuten, dass meine E-Mail-Adresse an Werbefirmen oder Drei-Buchstaben-Organisationen weitergegeben werden.
Ich werde meine Mail-Adresse bei denen sicherlich nicht eingeben!
Frag mich ja immer noch was daran so schwer ist, einfach alle E-Mailadressen anzuschreiben mit dem behördlichen Hinweis, dass die folgenden X Accounts bei der gefundenen Datensammlung enthalten wollen. So kann man jeden abdecken und das BSI kann die Last auf ihre Seite selber steuern. Aber das wäre ja dann wieder zu einfach und die ganzen Leute beim BSI wären arbeitslos.
…also die meisten BSI kritischen Kommentare hier kann ich inhaltlich nicht nachvollziehen.
Ist es nicht zu kurz gedacht, wenn man meint, das BSI sollte einfach alle Betroffenen anschreiben? Ich denke, was sofort danach passiert ist doch klar. Eine riesen SPAM/Phishing-Welle mit Mails, die denen des BSI nachgebaut sind. Deshalb doch wohl der Weg über das eigene Anstoßen des Versandes, zusätzlich abgesichert mit dem Code. Der andere Weg, direkt über die Anbieter geht sicherheitstechnisch auch iO, ist aber nur bis zu einem bestimmten Verhältnis von Betroffenen/Provider praktikabel bei 18.000.000! Datensätzen. Die werden die Grenze bei 20.0000 wohl dort gezogen haben, wo noch keine zu krasse Zersplitterung eingesetzt hat. Aber hier unterstelle ich dem BSI einfach mal – positiv – dass es grundsätzlich sinnvoll handelt und nicht immer nur böses im Sinn hat bzw. „faul“ ist.
ja, is wohl doch besser man koppelt die Accounts an die handynr. das war doch bisher nicht zu knacken, oder?
Ich lese hier so viele schwachsinnige Beiträge, wie auch Blogposts (in diesem Fall Singular) – hier sollte mal realistisch geblieben werden:
1. Behörde schreibt alle automatisch an:
Es ist technisch nicht machbar. Sämtliche spam protection wird Alarm schlagen und schon steht der Absender (@bsi.de?) auf der schwarzen Liste.
Zudem: Wer öffnet schon Mails mit dem Betreff „Passwort ändern!“? Nur alte Omis. Jeder der mit Telnet weiß umzugehen wird mir bestätigen, dass es ein leichtes ist, einen falschen Absender vorzutäuschen.
2. Keine WildCard-Abfragen und kein „Online-Check“:
Ebenfalls technisch schwierig: Es muss eine 18mio Datenbank durchsucht werden, auf der in einer kurzen Zeitspanne extrem viele Nutzer zugreifen und dann evtl. noch mit WildCards – da knickt jeder Webserver ein. Caschys Blog bricht selbst durch 10k Anfragen ein (oder so), und der ist nur mies konfiguriert… rechnet das mal hoch.
3. Jeder Dienst, eine Mailadresse:
Was ist das denn für ein Schwachsinn? Niemand hat 50 Mailadressen und falls doch, wird er diese nicht separat, sondern gesammelt irgendwo abrufen. Wo ist da Sicherheit? Wenn ich auf „Passwort vergessen“ klicke, kommt die Mail so oder so im Sammelordner an und ich kann fröhlich auf deinen Dienst zugreifen… daher (weiter mit Punkt 4)
4. Welcher Dienst ist betroffen?
Das ist scheiß egal. Sollten Daten extrahiert worden sein gilt sowieso generell, all seine Passwörter zu ändern. Schließlich sind die Datensätze des BSI nur Stichprobenhaltig. Wer garantiert mir, dass nicht auch Dienst XY betroffen ist? Also wer glaubt, dass diese alle Informationen haben, rennt mit Scheuklappen durchs Leben.
Also dieser Blogeintrag ist echt ein Griff ins Klo. Absolut kein technisches Denken dahinter und dementsprechend qualitativ unter aller sau.
my two cents..
Mir pers. isset völlig egal, ob irgendwo ein Account von mir gehackt wurde oder sonstwas.
Wenn ich den Dienst noch nutzen sollte, werd ich das wohl selber merken, und falls ich den Dienst nicht mehr nutze…so what?!
Wurde ein Account gehackt und leitet nun alle Daten, die ich produziere zusätzlich noch woanders hin, kann ich sowieso nichts dagegen tun, egal, ob ich davon weiss, oder nicht.
Ich finde, das wirkliche Leben is wichtiger, als ein paar Dienste im Internet.
Warum geht das nicht einfach so: Ich tippe auf der BSI-Seite (m)eine Email-Adresse ein. Nach dem Absenden gleicht irgendein Script diese Adresse mit den 18 Mio. Datensätzen ab und meldet dann (vereinfacht) „Sie sind (nicht) dabei“ – kann doch nicht so schwierig sein, oder?
Die Problematik ist eine beständig wiederkehrende. Als Normalnutzer braucht man nur 3 E-Mail Adressen: 1. offizielle, für Behörden, Banken 2. Eine mit Pseudonym für wichtige Accounts wie Facebook oder Google 3. Eine für den ganzen Mist wie Foren, Chats und Co
Dann nimmt man für jede E-Mail ein Standardpasswort mit dem man die anderen Accounts anlegt und fügt z.B. in der MItte des Passwortes eine Phrase ein die man mit dem Account in Verbindung: Beispiel Standardpasswort: „ifg$$%(gesichtsbuch)KG“ als PW für Facebook. Wichtig ist hier nur das die eingefügte Phrase nicht gleich von jedermann mit der Domain in Verbindung gebracht wird.
Dann hat man i.d.R. keine Probleme. Zumindest solange bis kein Trojaner / Rootkit / Keylogger oder ähnliches das System infiziert hat und die Passwörter mitloggt.