BSI informiert über Passwort-Diebstahl

Erst denken, dann klicken

„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle anderen.

Das einfachste aller Passwörter. Bild: dpa

BERLIN taz | E-Mail NutzerInnen in Deutschland sollten sich am Montag ruhig zweimal fünf Minuten Zeit nehmen. Einmal, um am Abend ihre Mails zu checken. Und noch ein zweites Mal, doch dazu später mehr.

Nach dem Bekanntwerden des gigantischen Diebstahls von rund 18 Millionen E-Mail-Adressen und Passwörtern hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag weitere Informationen für betroffene NutzerInnen herausgegeben. In der vergangenen Woche war bekannt geworden, dass die Staatsanwaltschaft im niedersächsischen Verden auf den Datenfundus gestoßen war.

Betroffen vom Datendiebstahl sind potenziell alle Menschen, die das Internet nutzen. Unter den E-Mail-Adressen befinden sich rund drei Millionen Adressen, die eine deutsche Endung haben. Wieviele Menschen tatsächlich in Deutschland betroffen sind, lässt sich nicht seriös sagen.

Nach Angaben des BSI versuchen Kriminelle mit den E-Mail-Adressen und den zugehörigen Passwörtern, sich mithilfe eines sogenannten Botnetzes in E-Mail-Accounts einzuloggen und diese für den Versand von SPAM-Mails zu missbrauchen. Demnach ist dieses Botnetz noch in Betrieb, die gestohlenen Identitäten können also weiterhin genutzt werden. Dabei geht die Behörde davon aus, dass die Daten ebenso zum Zugriff auf Online-Shopping-Angebote, soziale Netzwerke oder andere Internetdienste genutzt werden können.

BSI bietet Prüfung an

Um zumindest die NutzerInnen, die eindeutig eine Mailadresse eines deutschen Anbieters nutzen zu informieren, haben sich die sechs großen Provider in Deutschland – das sind die Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de – verpflichtet, betroffenen Kunden am Montag eine Nachricht zu senden, in der sie auf den möglichen Missbrauch hingewiesen werden. Damit, so sagt das BSI, könnten 70 Prozent der deutschen Mail-Adressen erreicht werden.

Nicht informiert werden dagegen Kontoinhaber bei kleineren Providern oder die vermutlich große Masse von Google-Nutzern. Diese können auf einer Homepage des BSI überprüfen, ob sie von dem Datenklau betroffen sind. Dazu hat das BSI eine Datenbank mit den geklauten Adressen angelegt. In der Datenbank befinden sich ebenso die 16 Millionen geklauten Datensätze, deren Existenz bereits im Januar bekannt geworden war. Wer seine E-Mail-Adresse dort eingibt und betroffen ist, erhält eine E-Mail. Wer danach keine Bestätigungs-E-Mail erhält, gehört im aktuellen Fall dann vermutlich nicht zu den Betroffenen.

Das heißt aber lediglich, dass keine definitive Bestätigung vorliegt. Da das Botnetz noch immer aktiv ist, kann die eigene Mailadresse inzwischen dazu gekommen sein – oder auch Opfer anderer Attacken geworden ist.

Zeit nehmen sollte sich also auch, wer im aktuellen Fall nicht betroffen zu sein scheint. Dazu sind mindestens zwei Dinge nötig: Die Überprüfung des eigenen Rechners auf Schadsoftware sowie die Aktualisierung der eigenen Passwörter. Es schadet nicht, das von Zeit zu Zeit bei sämtlichen Online-Accounts durchzuführen. Zugegeben: Das kann auch mal länger als fünf Minuten dauern.

Einmal zahlen
.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de