BSI: 16 Millionen E-Mail-Konten gehackt – jetzt eigene Konten prüfen

it_sicherheit_datenschutz_gfk_studie

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, wurden über 16 Millionen E-Mail-Konten gehackt. Entdeckt wurden die kompromittierten Konten bei einer Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden. Die Konten bestehen aus einem Nutzernamen in der Form einer E-Mail-Adresse und einem Passwort. Die Anmeldedaten stammen offenbar von E-Mail- und anderen Internetdiensten, Onlineshops oder Sozialen Netzen. Das BSI stellt eine Seite zur Verfügung um zu prüfen, ob eigene Konten betroffen sind.

Die betroffenen Konten wurden dem BSI überreicht, damit das Bundesamt erforderliche Maßnahmen ergreifen kann, um betroffene zu informieren und Handlungsvorschläge zu geben. So kann nun auf einer von der Behörde eingerichteten Webseite überprüft werden, ob man selbst von dem Identitätsdiebstahl betroffen ist. (Allerdings sind auf Grund des großen Ansturms die Server des BSI momentan überlastet.)

bsi-testseite

Zur Prüfung müssen Internetnutzer unter www.sicherheitstest.bsi.de nur ihre E-Mail-Adresse angeben. Diese wird dann in einem technischen Verfahren vom BSI mit den Daten aus den Botnetzen abgeglichen. Ist die Adresse und damit auch die digitale Identität des Nutzers betroffen, erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Diese Antwort-Mail enthält auch Empfehlungen zu erforderlichen Schutzmaßnahmen. Ist die eingegebene E-Mail-Adresse nicht betroffen, erhält der Nutzer keine Benachrichtigung.

Das BSI empfiehlt Betroffenen, in jedem Fall zwei Maßnahmen zu ergreifen. Erstens sollten sie ihren Rechner mit einem Virenschutzprogramm auf Befall mit Schadsoftware überprüfen. Zweitens sollten sie alle Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzen, Onlineshops, E-Mail-Konten und anderen Online-Diensten verwenden.

Das gilt auch für Passwörter, die nicht in Verbindung mit der kompromittierten E-Mail-Adresse als Log-in genutzt werden. Denn falls der Rechner mit einer Schadsoftware infiziert ist, kann diese neben den in den Botnetzen aufgetrauchten Benutzerkennungen auch andere Zugangsdaten ausgespäht haben. Hinweise zur Nutzung sicherer Passwörter gibt das BSI auf seiner Website.

Identitätsdiebstahl ist dem Bundesamt zufolge eines der größten Risiken bei der Internetnutzung. Cyberkriminelle stehlen die digitalen Identitäten von Anwendern, um in deren Namen aufzutreten, E-Mails zu versenden, auf fremde Kosten online einzukaufen oder sich auf andere Weise zu bereichern oder den Betroffenen zu schaden. Meist schleusen die Angreifer eine Schadsoftware auf dem Rechner ihres Opfers ein, die etwa Tastatureingaben und Anmeldevorgänge protokolliert oder Transaktionen direkt manipuliert. Die aufgezeichneten Daten werden dann vom Nutzer unbemerkt an von den Angreifern präparierte Rechner gesendet (“Dropzones”) und anschließend von dort heruntergeladen.

[mit Material von Björn Greif, ZDNet.de]

Tags :
  1. Ich frage mich in der Tat, ob es nur „Fake“ ist. Denn die versprochene E-Mail habe ich auch nach 30min noch nicht erhalten. Entweder, das System ist überlastet, oder gewisse Leute haben recht…

  2. @Froggy, wer Lesen kann ist klar im Vorteil !
    es steht geschrieben : Ist die eingegebene E-Mail-Adresse NICHT betroffen, erhält der Nutzer keine Benachrichtigung.

    es sei denn Du hättest gerne eine mailaddi die davon betroffen ist, dann musst Du noch ein bisschen üben.^^

  3. Die Überschrift passt so aber nicht. Es wird nur geprüft ob die Mailadresse mit einer Passwortkombination irgendwo vorhanden ist. Das Email Konto wurde deswegen noch lange nicht gehackt!

  4. Ich weiss nicht ob Ihr es schon gehört habt… Der BSI wusste schon seit Dezember von den 16 Mio. gehackten E-Mail Adressen. Aber man konnte es noch nicht publik machen, weil man erst noch die Seite zum Überprüfen, ob man betroffen ist, programmieren musste.

    Wenn ihr mich fragt, dient die Seite einzig dem Zweck, zu überprüfen, welche Adressen sich lohnen, überwacht zu werden.

    Mein Tipp: Einfach alle Passwörter abändern, die mit eurer E-Mail Adresse zusammenhängen (egal ob für den E-Mail-Provider oder irgendwelche Shops, bei denen euer Anmeldename eure E-Mail Adresse ist) und gut ist.

  5. Da die meisten mehrere Adressen haben und man zur Sicherheit ja alle abfragen sollte, bekommt das BSI schöne Querverweise zwischen den Accounts. Das macht das Bild vollständiger.

  6. Die Homepage mit BSI- Sicherheitstest, stellt selbst eine Gefahr für Datenschutz !
    >
    Wenn der BSI- Server durch Schnüffler wie NSA oder NSA- Vasallen oder z.B. BKA angezapft ist,
    können abgefragte Emailadressen über IPs, mit Identitäten verknüpft und ausgespäht werden.
    (Den solche großen Schnüffler dürften auch Zugang zu Provider Server haben, um IP zu verknüpfen.)

    Und wenn Nutzer mehrere Emailadressen überprüfen, könnte über die gleiche IP, die Zusammenhörigkeit der Emailadressen ausgespäht werden…

    Die Schnüffler könnten so auch die zugehörigen Identitäten der kompromittierten und abgefragten Emailadressen zuordnen, und mit den bekannten Passwort, die Inhalte der Mailkonten ausschnüffeln.
    >
    Den die Homepage mit BSI- Sicherheitstest, verlangt Eingabe von vollständigen Emailadresse !
    Für eine Überprüfung ist aber eine Eingabe vollständiger Emailadresse nicht notwendig,
    und stellt eine überflüssige Weitergabe von Daten dar !
    Es würde reichen nur wenige die Anfangszeichen einer Emailadresse einzugeben,
    die abgeglichen werden, mit Datei die indexierte betroffenen Emailadressen enthält.
    Nur wenn die Anfangszeichen einer Emailadresse in dem Index sind, wäre es sinnvoll / notwendig weitere Zeichen einzugeben, um vollständige Emailadressen preiszugeben !

    1. Eigenkorrektur:
      Die Empfehlung „sinnvoll / notwendig“ möchte ich hiermit stornieren.
      Besser ist nur präventiv Passwörter abzuändern (wie Andreas oben schrieb)
      Und überhaupt keine Emailadressen durch Abfragen von BSI- Sicherheitstest freiwillig einliefern !!!
      BSI ist ein Verein des Staates, genauso wie viele Schnüfflerdienste, die u.a. Vasallen der NSA sind…

  7. Warum nicht Freundevin anderen Städten oder Ländern bitten, die eigene Mailadresse zu checken und im Geenzug dann selber die Adresse des Freundes ;-)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising