Gestohlene Mailidentität 09.04.2014, 08:32 Uhr

Drei Millionen gehackte E-Mail-Konten: Nicht jeder wird vom BSI informiert

Millionen deutsche Eigentümer gehackter E-Mail-Konten erhalten aktuell E-Mails von ihren Providern, wenn ihr E-Mail-Konto zu den 18 Millionen gehackten Accounts aus dem neuesten Datenfund der Staatsanwaltschaft Verden im Internet gehört. 

18 Millionen Zugangsdaten zu E-Mail-Konten, von denen nach Angaben des BSI 3 Millionen deutsche Eigentümer haben, hat die Staatsanwaltschaft Verden im Internet sichergestellt. Man könnte meinen, dass man jetzt nur noch die Eigentümer der E-Mail-Adressen benachrichtigen muss, damit diese die notwendigen Maßnahmen treffen können. Dazu gehören beispielsweise die Überprüfung des PCs auf Schadsoftware und vor allem die Vergabe eines neuen Passwortes für den Zugang zum Konto. Ganz so einfach ist es aber leider nicht.

Der erste Schritt: Herausfinden, ob man zu den Opfern gehört

Ungefähr 70 % der drei Millionen gehackten E-Mail-Konten deutscher Eigentümer werden von den großen deutschen Providern wie Deutsche Telekom, Freenet, GMX, Kabel Deutschland, Vodafone oder Web.de verwaltet. Für diesen Teil der gehackten Konten hat das BSI mit den Providern verabredet, dass die Eigentümer direkt von ihnen benachrichtigt werden.

Das klingt, als sei der Großteil der Betroffenen auf diese Weise einfach zu informieren, aber Vorsicht: Zurzeit ist noch weitgehend unklar, woher die Daten eigentlich stammen und zu welchen Diensten sie passen. Es kann sich also zwar um die Login-Daten zu den E-Mail-Accounts handeln, an die die Sicherheitswarnungen der Provider geschickt werden – muss aber nicht.

Aber selbst wenn es wirklich die Zugangsdaten zum E-Mail-Konto sind, ist bei diesem Verfahren nicht sichergestellt, dass der Kunde die Mail von seinem Provider auch wirklich erhält. Denn ein Angreifer könnte sie ja vorher löschen, um zu verhindern, dass sein Opfer gewarnt wird und das Passwort ändert.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Mercer Stendal GmbH-Firmenlogo
Betriebstechniker (m/w/d) Prozessleittechnik Mercer Stendal GmbH
Arneburg Zum Job 
Wirtgen GmbH-Firmenlogo
Project Manager Product Lifecycle Management (m/w/d) Wirtgen GmbH
Windhagen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) Informationssicherheit Die Autobahn GmbH des Bundes
Frankfurt Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Evonik Operations GmbH-Firmenlogo
Ingenieur (m/w/d) Informatik / Elektrotechnik / Automatisierungstechnik / Chemische Produktion Evonik Operations GmbH
Essen Zum Job 
Fachhochschule Dortmund-Firmenlogo
Zukunftsmacher*in Fachhochschule Dortmund
Dortmund Zum Job 
Hochschule Reutlingen-Firmenlogo
Akademische:r Mitarbeiter:in (m/w/x) "SMARTE ASSISTENZSYSTEME" Hochschule Reutlingen
Reutlingen Zum Job 
Stadtwerke Verkehrsgesellschaft Frankfurt am Main mbH-Firmenlogo
Planungsingenieur:in / Projektleiter:in Fahrgastinformation (d/m/w) Stadtwerke Verkehrsgesellschaft Frankfurt am Main mbH
Frankfurt am Main Zum Job 
Wirtgen GmbH-Firmenlogo
Software-Testingenieur (m/w/d) Testautomatisierung -Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH
Windhagen Zum Job 
WIRTGEN GROUP Branch of John Deere GmbH & Co. KG-Firmenlogo
Project Manager Surveying and Designfor Machine Control (m/w/d) WIRTGEN GROUP Branch of John Deere GmbH & Co. KG
Ludwigshafen am Rhein Zum Job 
Bundespolizei-Firmenlogo
Ingenieur/in Elektro-/Nachrichtentechnik o. ä. für Satellitenkommunikation (w/m/d) Projektgruppe EU Bundespolizei
Neustadt in Holstein Zum Job 
Bundespolizei-Firmenlogo
Ingenieur/in Elektro-/Nachrichtentechnik o. ä. für Satellitenkommunikation (w/m/d) Projektgruppe EU Bundespolizei
Sankt Augustin Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Hochschule Hamm-Lippstadt-Firmenlogo
wissenschaftliche*r Mitarbeiter*in (m/w/d) für die Entwicklung einer Wissensdatenbank im Bereich der Sektorenkopplung Hochschule Hamm-Lippstadt
Hamm Zum Job 
Hochschule Bielefeld-Firmenlogo
W2-Professur Software Engineering Hochschule Bielefeld
Gütersloh Zum Job 
Safran Data Systems GmbH-Firmenlogo
Embedded Software Engineer (m/w/d) Safran Data Systems GmbH
Bergisch Gladbach Zum Job 
Hochschule Bielefeld (HSBI)-Firmenlogo
W2-Professur Software Engineering Hochschule Bielefeld (HSBI)
Gütersloh Zum Job 
TU Bergakademie Freiberg-Firmenlogo
W2-Professur "Deep Learning" TU Bergakademie Freiberg
Freiberg Zum Job 
Fresenius Kabi Deutschland GmbH-Firmenlogo
Projekt IT-Ingenieur (m/w/d) Fresenius Kabi Deutschland GmbH
Friedberg Zum Job 
Regierungspräsidium Freiburg-Firmenlogo
BIM-Manager (w/m/d) Regierungspräsidium Freiburg
Freiburg im Breisgau Zum Job 

Eine weitere Gruppe von Betroffenen hat ein E-Mail-Konto bei einem anderen Provider, der nicht an der mit dem BSI verabredeten Mailing-Aktion teilnimmt und wird deshalb ebenfalls keine Benachrichtigung erhalten. Und dann gibt es noch die Betroffenen, die ihre E-Mail-Konten auf einem eigenen oder angemieteten Server verwalten. Auch sie werden nicht automatisch benachrichtigt.

Für die schwierigen Fälle gibt es den BSI-Sicherheitstest

Für diese schwierigen Fälle hat das BSI den aus dem Hack von 16 Millionen Emailkonten im Januar bekannten, webbasierten Sicherheitstest aktualisiert. Diese Internetseite zeigt kurze Hinweise für die Nutzung und darunter ein Eingabeformular für die Emailadresse.

Nach dem Abhaken des Disclaimers und dem Eintragen der zu prüfenden Email-Adresse ins Formularfeld klickt man auf die Schaltfläche „Überprüfung starten“. Als Antwort erhält man eine Bestätigung mit einem sogenannten „Betreff-Code“ darin und wird nochmals darauf hingewiesen, dass man nur dann eine E-Mail mit Verhaltenstipps bekommt, wenn die eingegebene E-Mail-Adresse auch in der Sammlung der gestohlenen Daten vorkommt. Nur wer diesen Sicherheitstest gemacht und keine E-Mail zurückbekommen hat, kann sichergehen, dass sein E-Mail-Konto nicht zu den gehackten gehört und deshalb keine weiteren Maßnahmen erforderlich sind.

Das sollte die Eigentümer aber nicht davon abhalten, trotzdem darüber nachzudenken, ob man die Sicherheit seines E-Mail-Kontos nicht noch verbessern kann. Ein stärkeres Passwort mit mindestens zehn Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen erhöht die Chance, auch beim nächsten Datenklau wieder nicht dabei zu sein, unter Umständen deutlich.

Verschiedene Passwörter für verschiedene Dienste

Auch einfache Veränderungen lieb gewordener schlechter Angewohnheiten können die Sicherheit deutlich erhöhen und auch den Schaden bei einem solchen Vorfall klein halten. Dazu gehört zum Beispiel, dass man für sein E-Mail-Konto kein Passwort verwenden sollte, das man schon für den Zugang zu anderen Diensten im Internet benutzt.

Die Kriminellen kennen diese weit verbreitete Nachlässigkeit und sind auch gerne bereit, als Dreingabe zu einem E-Mail-Konto, über das sie ihre Spam-Emails absetzen können, auch noch Werbung über Facebook und WhatsApp im Namen des Konten-Eigentümers zu versenden oder sogar mit seinem Paypal-Konto bezahlte Ware an eine alternative Lieferadresse senden zu lassen.

 

Ein Beitrag von:

  • Klaus Ahrens

    Klaus Ahrens fühlt sich im Bereich Techniknews Zuhause. Vor allem die Bereiche Programmierung, Wissenschaft und Technik begeistern ihn.

Themen im Artikel

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools
Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt
Messe

Hannover Messe Special

Ähnliche Artikel

Blick auf ein Smartphone mit der SBB-App
Computersicherheit

Standortdaten auf Smartphones sind keine sicheren Daten
Internet of Things
IT-Sicherheit

IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit
Hand auf Tastatur mit Computer-Monitor im Hintergrund
IT-Sicherheit

Schwachstelle in der CPU: Neues Risiko für Datendiebstahl
Tastatur mit post-it Passwort
Eigene Daten schützen

Die beliebtesten Passwörter 2022 sind keine guten Beispiele

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos