16 Millionen E-Mail-Zugangsdaten gestohlen

Bei Nutzern von Onlineshops und sozialen Netzwerken sind millionenfach E-Mail-Adresse und Passwort abgeschöpft worden. Das zuständige Bundesamt bietet einen Test an.


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem "großflächigen Identitätsdiebstahl" in Deutschland. Nach Angaben des BSI sind Millionen Zugangsdaten für Onlinedienste gekapert worden. Forschungseinrichtungen und Strafverfolgungsbehörden seien auf 16 Millionen kompromittierte Benutzerkonten gestoßen, teilte das BSI mit.

Die Datensätze enthielten meist eine E-Mail-Adresse und das dazu gehörende Passwort, mit denen sich Internetnutzer bei Onlineshops oder sozialen Netzwerken anmeldeten. Die Daten seien an das BSI übergeben worden. Weil noch ermittelt werde, wollte das BSI keine weiteren Angaben zur Quelle der Daten machen.

Die Behörde hat eine Website eingerichtet, auf der Nutzer überprüfen können, ob ihre eigene E-Mail davon betroffen ist. Internetnutzer können dort ihre E-Mail-Adresse eingeben, die dann mit den Daten abgeglichen wird. Bei einem Treffer bekommen die Nutzer eine Nachricht vom BSI an die angegebene Mailadresse. Die Nachricht enthält als Betreff einen vierstelligen Code, der sicherstellen soll, dass es eine der Testmails ist und kein Spam.

"Wenn das passiert, ist Ihr Rechner wahrscheinlich mit einer Schadsoftware infiziert", sagte Tim Griese vom BSI. Die Nachricht des BSI enthalte Tipps, was in diesem Fall zu tun sei.  

Die Hälfte sind .de-Adressen

Die Zugangsdaten seien bei der Analyse von Botnetzen aufgetaucht. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen solche Rechner etwa, um massenhaft ungewollte E-Mails zu versenden.

Mehr als die Hälfte der gefundenen Mailadressen endeten auf .de und gehörten daher wahrscheinlich Internetnutzern aus Deutschland, sagte Griese.

Die Datensätze könnten auf gekaperte E-Mail-Konten hindeuten. Doch die Kombination aus Mail-Adresse und Passwort wird häufig auch zum Anmelden bei anderen Diensten benutzt, etwa für soziale Netzwerke oder Shoppingseiten. Daher können die Daten auch aus Einbrüchen bei solchen Angeboten stammen.

Betroffene sollten ihren Computer digital säubern und Zugangsdaten für ihre Onlineprofile ändern, empfiehlt das BSI.

zeit.de

zum BSI-Sicherheitstest
[Sie müssen registriert oder eingeloggt sein, um diesen Link sehen zu können]

Allerdings ist die Seite z. Z. total überlastet!

 

danke...

(die info wollte ich auch grad einstellen..)

die seite geht jetzt wieder ganz gut..

 

Komet13 schrieb:

die seite geht jetzt wieder ganz gut..

Ich bin gestern abend nicht mehr reingekommen, dafür dann aber heute ganz früh.

....
hilfe, noch immer keine smileys..

ich hoffe, du hast auch keine mail bekommen..

diese attacke war riesig....
momentan bin ich froh, dass es mich nicht erwischt hat..

aber ich werde jetzt mal alle meine accounts und passwörter zusammensuchen..
ist echte arbeit, weniger wegen bestellungen, sondern wegen meinungsäusserungen bei zeitungen..

liebe grüsse
komet

   Hallo komet13,

ich habe keine mail zurück bekommen.

Komet13 schrieb:

aber ich werde jetzt mal alle meine accounts und passwörter zusammensuchen..

   ...Das habe ich heute auch gemacht, jetzt hat wenigstens alles wieder seine Ordnung.



Ein paar News ...

BSI erntet harsche Kritik für Sicherheitstest

Der Sicherheitstest des Bundesamts für Sicherheit in der Informationstechnik (BSI) sorgt für Verärgerung bei vielen Internetnutzern. Zahlreiche ratsuchende Bürger, die die Seite des BSI besuchten, bekamen lediglich eine Fehlermeldung zu sehen, nachdem sie ihre E-Mail-Adresse eingegeben hatten. Andere Nutzer argwöhnten, die Behörde wolle mit dem Test vor allem Daten sammeln.

Die Behörde bemühe sich, mit dem Ansturm an Anfragen fertig zu werden, sagte BSI-Präsident Michael Hange am Rande einer Konferenz zur Cybersicherheit. Trotzdem seien bereits 14 Millionen Anfragen bearbeitet worden. 933.000 Personen seien darüber informiert worden, dass sie von dem Datendiebstahl betroffen sind. Das BSI verschickt nur Antwort-Mails, wenn die Adresse gehackt wurde, also in der Datenbank der betroffenen Adressen gespeichert ist. Alle anderen Anfragen bleiben unbeantwortet.

Viele Internetnutzer machten ihren Unmut darüber laut, persönliche Daten preisgeben zu müssen. Auch die Leserkommentare bei t-online.de weisen darauf hin. So vermuten einzelne Leser, dass hinter dieser Aktion nichts Geringeres als die Stasi stecke, ein anderer Leser stellt in Bezug auf das BSI die Frage: "Sind das Sammler oder selbst Jäger?" Ein weiterer vermutet, das BSI wolle "nur Emailadressen erfahren und tischt uns deswegen eine solche Geschichte auf."

BSI schützt vor Bedrohungen im Internet

Auch machten Gerüchte die Runde, das BSI wolle über die Seite staatliche Schnüffelsoftware, den so genannten Staatstrojaner, installieren. Ein Vorwurf, der im Widerspruch zum gesetzlichen Auftrag (PDF) der nationalen Sicherheitsbehörde steht.

Das BSI schützt vor Bedrohungen im Internet und versichert, dass weder die eingegebenen E-Mail-Adressen, noch IP-Adressen dauerhaft gespeichert würden. Die Daten würden umgehend nach dem Test wieder gelöscht, heißt es auf der Internetseite des Bundesamtes.

Mail-Adressen werden nicht dauerhaft gespeichert

Da keine Passwörter abgefragt werden, wäre der Wert dieser Daten auch äußerst begrenzt. Um einem Missbrauch – etwa für Phishing-Angriffe – vorzubeugen, erhält jede beim BSI gestellte Adress-Abfrage einen Sicherheits-Code, die der Antwort-Mail beigefügt ist. Auch wird die E-Mail-Adresse nicht in Reinform an die Behörde übermittelt, sondern verschlüsselt als so genannter Hash-Code. Dieser wird mit den Datensätzen der Behörde abgeglichen.

Auch der Bundesbeauftragte für den Datenschutz sei über dieses Verfahren informiert worden und habe keine Einwände erhoben, berichtet das Nachrichtenmagazin Spiegel online. "Was soll ich denn mit E-Mail-Adressen anfangen? Ich weiß, wir haben momentan eine Situation, in der solche Fragen vielleicht sogar auf der Hand liegen. Aber ich kann Ihnen versichern, dass nichts gespeichert wird", so zitiert das Magazin BSI-Pressesprecher Tim Griese.

"Schneller geht es nicht"

Ebenfalls viele Leser sind darüber verstimmt, dass das BSI erst jetzt den Datendiebstahl bekannt gibt, obwohl sie bereits seit Dezember darüber Bescheid wusste. "Eine solche Aktion muss extrem gut vorbereitet sein", erklärte Hange der dpa. Das BSI habe beispielsweise Zeit gebraucht, um den Sicherheitscheck zu programmieren und Datenschutzfragen zu klären. Der Behördenchef versicherte: "Wir haben schon sehr schnell gemacht. Schneller geht es nicht."
t-online.de

hi sunflower,

leider gehen die smileys bei mir immer noch nicht..mensch..

wenn ich deine eingestellte info jetzt richtig interpretiere..
ich denke, dass der bsi wirklich einige wochen benötigt hat, um diese anfragen bewältigen zu können
(organisieren, programmieren, etc..das geht nicht von heute auf morgen )..

also, in diesem fall habe ich jetzt keine gesteigerte ängste, dass mit meinen daten missbrauch getrieben werden könnte..

WIESO HAB ICH IMMER NOCH KEINEN SMILEY::schluchz..

alles liebe
komet

Zitat :

leider gehen die smileys bei mir immer noch nicht..mensch..

Komisch, bei mir gehen sie.   
Benutzt du den "Post reply" Button links unten? Oder antwortest du einfach im Schnell-Antwort Feld direkt unter dem Beitrag?
Wenn du ersteres tust, müsste links vom Textfeld die Smiley-Liste zu sehen sein.
Beim Schnell-Antwort Feld existiert keine Smiley Funktion.

 


hi liebe zoey,


danke für deine antwort..
ich schreib normalerweise immer direkt in das eingabefeld (..reply-knöpfchenunten links hab ich nicht)..


jetzt hab ich bei dem direkten antworten wieder alle smileys..