piwik no script img

BSI informiert über Passwort-DiebstahlErst denken, dann klicken

„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle anderen.

BERLIN taz | E-Mail NutzerInnen in Deutschland sollten sich am Montag ruhig zweimal fünf Minuten Zeit nehmen. Einmal, um am Abend ihre Mails zu checken. Und noch ein zweites Mal, doch dazu später mehr.

Nach dem Bekanntwerden des gigantischen Diebstahls von rund 18 Millionen E-Mail-Adressen und Passwörtern hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag weitere Informationen für betroffene NutzerInnen herausgegeben. In der vergangenen Woche war bekannt geworden, dass die Staatsanwaltschaft im niedersächsischen Verden auf den Datenfundus gestoßen war.

Betroffen vom Datendiebstahl sind potenziell alle Menschen, die das Internet nutzen. Unter den E-Mail-Adressen befinden sich rund drei Millionen Adressen, die eine deutsche Endung haben. Wieviele Menschen tatsächlich in Deutschland betroffen sind, lässt sich nicht seriös sagen.

Nach Angaben des BSI versuchen Kriminelle mit den E-Mail-Adressen und den zugehörigen Passwörtern, sich mithilfe eines sogenannten Botnetzes in E-Mail-Accounts einzuloggen und diese für den Versand von SPAM-Mails zu missbrauchen. Demnach ist dieses Botnetz noch in Betrieb, die gestohlenen Identitäten können also weiterhin genutzt werden. Dabei geht die Behörde davon aus, dass die Daten ebenso zum Zugriff auf Online-Shopping-Angebote, soziale Netzwerke oder andere Internetdienste genutzt werden können.

BSI bietet Prüfung an

Um zumindest die NutzerInnen, die eindeutig eine Mailadresse eines deutschen Anbieters nutzen zu informieren, haben sich die sechs großen Provider in Deutschland – das sind die Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de – verpflichtet, betroffenen Kunden am Montag eine Nachricht zu senden, in der sie auf den möglichen Missbrauch hingewiesen werden. Damit, so sagt das BSI, könnten 70 Prozent der deutschen Mail-Adressen erreicht werden.

Nicht informiert werden dagegen Kontoinhaber bei kleineren Providern oder die vermutlich große Masse von Google-Nutzern. Diese können auf einer Homepage des BSI überprüfen, ob sie von dem Datenklau betroffen sind. Dazu hat das BSI eine Datenbank mit den geklauten Adressen angelegt. In der Datenbank befinden sich ebenso die 16 Millionen geklauten Datensätze, deren Existenz bereits im Januar bekannt geworden war. Wer seine E-Mail-Adresse dort eingibt und betroffen ist, erhält eine E-Mail. Wer danach keine Bestätigungs-E-Mail erhält, gehört im aktuellen Fall dann vermutlich nicht zu den Betroffenen.

Das heißt aber lediglich, dass keine definitive Bestätigung vorliegt. Da das Botnetz noch immer aktiv ist, kann die eigene Mailadresse inzwischen dazu gekommen sein – oder auch Opfer anderer Attacken geworden ist.

Zeit nehmen sollte sich also auch, wer im aktuellen Fall nicht betroffen zu sein scheint. Dazu sind mindestens zwei Dinge nötig: Die Überprüfung des eigenen Rechners auf Schadsoftware sowie die Aktualisierung der eigenen Passwörter. Es schadet nicht, das von Zeit zu Zeit bei sämtlichen Online-Accounts durchzuführen. Zugegeben: Das kann auch mal länger als fünf Minuten dauern.

50.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr Leser*innen machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Denn wir suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus und unterstützen Sie die taz – schon ab 5 Euro. Jetzt unterstützen

Mehr zum Thema

0 Kommentare