BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken
„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle anderen.
BERLIN taz | E-Mail NutzerInnen in Deutschland sollten sich am Montag ruhig zweimal fünf Minuten Zeit nehmen. Einmal, um am Abend ihre Mails zu checken. Und noch ein zweites Mal, doch dazu später mehr.
Nach dem Bekanntwerden des gigantischen Diebstahls von rund 18 Millionen E-Mail-Adressen und Passwörtern hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag weitere Informationen für betroffene NutzerInnen herausgegeben. In der vergangenen Woche war bekannt geworden, dass die Staatsanwaltschaft im niedersächsischen Verden auf den Datenfundus gestoßen war.
Betroffen vom Datendiebstahl sind potenziell alle Menschen, die das Internet nutzen. Unter den E-Mail-Adressen befinden sich rund drei Millionen Adressen, die eine deutsche Endung haben. Wieviele Menschen tatsächlich in Deutschland betroffen sind, lässt sich nicht seriös sagen.
Nach Angaben des BSI versuchen Kriminelle mit den E-Mail-Adressen und den zugehörigen Passwörtern, sich mithilfe eines sogenannten Botnetzes in E-Mail-Accounts einzuloggen und diese für den Versand von SPAM-Mails zu missbrauchen. Demnach ist dieses Botnetz noch in Betrieb, die gestohlenen Identitäten können also weiterhin genutzt werden. Dabei geht die Behörde davon aus, dass die Daten ebenso zum Zugriff auf Online-Shopping-Angebote, soziale Netzwerke oder andere Internetdienste genutzt werden können.
BSI bietet Prüfung an
Um zumindest die NutzerInnen, die eindeutig eine Mailadresse eines deutschen Anbieters nutzen zu informieren, haben sich die sechs großen Provider in Deutschland – das sind die Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de – verpflichtet, betroffenen Kunden am Montag eine Nachricht zu senden, in der sie auf den möglichen Missbrauch hingewiesen werden. Damit, so sagt das BSI, könnten 70 Prozent der deutschen Mail-Adressen erreicht werden.
Nicht informiert werden dagegen Kontoinhaber bei kleineren Providern oder die vermutlich große Masse von Google-Nutzern. Diese können auf einer Homepage des BSI überprüfen, ob sie von dem Datenklau betroffen sind. Dazu hat das BSI eine Datenbank mit den geklauten Adressen angelegt. In der Datenbank befinden sich ebenso die 16 Millionen geklauten Datensätze, deren Existenz bereits im Januar bekannt geworden war. Wer seine E-Mail-Adresse dort eingibt und betroffen ist, erhält eine E-Mail. Wer danach keine Bestätigungs-E-Mail erhält, gehört im aktuellen Fall dann vermutlich nicht zu den Betroffenen.
Das heißt aber lediglich, dass keine definitive Bestätigung vorliegt. Da das Botnetz noch immer aktiv ist, kann die eigene Mailadresse inzwischen dazu gekommen sein – oder auch Opfer anderer Attacken geworden ist.
Zeit nehmen sollte sich also auch, wer im aktuellen Fall nicht betroffen zu sein scheint. Dazu sind mindestens zwei Dinge nötig: Die Überprüfung des eigenen Rechners auf Schadsoftware sowie die Aktualisierung der eigenen Passwörter. Es schadet nicht, das von Zeit zu Zeit bei sämtlichen Online-Accounts durchzuführen. Zugegeben: Das kann auch mal länger als fünf Minuten dauern.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!