Drei Millionen gehackte E-Mail-Konten: Nicht jeder wird vom BSI informiert

18 Millionen Zugangsdaten zu E-Mail-Konten, von denen nach Angaben des BSI 3 Millionen deutsche Eigentümer haben, hat die Staatsanwaltschaft Verden im Internet sichergestellt. Man könnte meinen, dass man jetzt nur noch die Eigentümer der E-Mail-Adressen benachrichtigen muss, damit diese die notwendigen Maßnahmen treffen können. Dazu gehören beispielsweise die Überprüfung des PCs auf Schadsoftware und vor allem die Vergabe eines neuen Passwortes für den Zugang zum Konto. Ganz so einfach ist es aber leider nicht.

Der erste Schritt: Herausfinden, ob man zu den Opfern gehört

Ungefähr 70 % der drei Millionen gehackten E-Mail-Konten deutscher Eigentümer werden von den großen deutschen Providern wie Deutsche Telekom, Freenet, GMX, Kabel Deutschland, Vodafone oder Web.de verwaltet. Für diesen Teil der gehackten Konten hat das BSI mit den Providern verabredet, dass die Eigentümer direkt von ihnen benachrichtigt werden.

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Ingenieur Projektmanagement Hochspannung (w/m/d) Stuttgart Netze GmbH

Stuttgart Zum Job 

Bauingenieur (m/w/d) für Straßenausstattungsanlagen und Verkehrsführung Die Autobahn GmbH des Bundes

Osnabrück Zum Job 

Bauingenieur (w/m/d) konstruktiver Ingenieurbau Die Autobahn GmbH des Bundes

Hamm Zum Job 

Bauingenieur TGA (m/w/d) im Bereich der Gebäudesanierung und Instandhaltung Kassenärztliche Vereinigung Baden-Württemberg

Stuttgart Zum Job 

Entwicklungsingenieur (m/w/d) Vakuumfüller Albert Handtmann Maschinenfabrik GmbH & Co. KG

Biberach an der Riß Zum Job 

Professur (m/w/d) für Maschinenbau (Schwerpunkt: Versorgungs- und Energiemanagement) DHBW Duale Hochschule Baden-Württemberg Stuttgart Campus Horb

Horb am Neckar Zum Job 

Ingenieur*in / Fachplaner*in für Technische Gebäudeausrüstung (m/w/d) Kreis Pinneberg

Elmshorn Zum Job 

Ingenieur (m/w/d) Apparatetechnik Stadtwerke Leipzig GmbH

Leipzig Zum Job 

Controls Engineer (m/w/d) - Hourly Cummins Deutschland GmbH

Marktheidenfeld Zum Job 

Prozessingenieur / Ingenieur (m/w/d) Produktion CoorsTek GmbH

Mönchengladbach Zum Job 

Spezialist für Steuerungen im intelligenten Stromnetz mittels Smart Meter (m/w/d) Stadtwerke München GmbH

München Zum Job 

Bauingenieur als Abteilungsleitung Planung (w/m/d) Die Autobahn GmbH des Bundes

Kempten (Allgäu) Zum Job 

Projektcontroller (m/w/d) Herrenknecht AG

Kehl Zum Job 

Senior Entwicklungsingenieur (m/w/d) Mechanik Collins Aerospace HS Elektronik Systeme GmbH

Nördlingen Zum Job 

Projektleiter (m/w/d) Isoliertechnik Bohle Isoliertechnik GmbH

Pastetten Zum Job 

Verkehrsingenieur:in im Bereich Behörden-Genehmigungsmangement (w/m/d) Berliner Wasserbetriebe

Berlin Zum Job 

Manager/in Automotive und Mobilität 4.0 (w/m/d) ZVEI e. V. Verband der Elektro- und Digitalindustrie

Berlin, Frankfurt am Main Zum Job 

Qualitätsingenieur (m/w/d) Nord-Micro GmbH & Co. OHG

Frankfurt am Main Zum Job 

Production Engineer (m/w/d) Nord-Micro GmbH & Co. OHG

Frankfurt am Main Zum Job 

Trainee Verfahrenstechnik / Chemieingenieurwesen / Chemie / Maschinenbau (m/w/d) Südzucker AG

verschiedene Standorte Zum Job 

Das klingt, als sei der Großteil der Betroffenen auf diese Weise einfach zu informieren, aber Vorsicht: Zurzeit ist noch weitgehend unklar, woher die Daten eigentlich stammen und zu welchen Diensten sie passen. Es kann sich also zwar um die Login-Daten zu den E-Mail-Accounts handeln, an die die Sicherheitswarnungen der Provider geschickt werden – muss aber nicht.

Aber selbst wenn es wirklich die Zugangsdaten zum E-Mail-Konto sind, ist bei diesem Verfahren nicht sichergestellt, dass der Kunde die Mail von seinem Provider auch wirklich erhält. Denn ein Angreifer könnte sie ja vorher löschen, um zu verhindern, dass sein Opfer gewarnt wird und das Passwort ändert.

Lesen Sie auch:

Anzeige:

Willkommen in der Industrie der Zukunft

Ranking

Das sind die schnellsten Züge der Welt

IT-Gehälter

Was Informatiker und IT-Fachkräfte wirklich verdienen

Eine weitere Gruppe von Betroffenen hat ein E-Mail-Konto bei einem anderen Provider, der nicht an der mit dem BSI verabredeten Mailing-Aktion teilnimmt und wird deshalb ebenfalls keine Benachrichtigung erhalten. Und dann gibt es noch die Betroffenen, die ihre E-Mail-Konten auf einem eigenen oder angemieteten Server verwalten. Auch sie werden nicht automatisch benachrichtigt.

Für die schwierigen Fälle gibt es den BSI-Sicherheitstest

Für diese schwierigen Fälle hat das BSI den aus dem Hack von 16 Millionen Emailkonten im Januar bekannten, webbasierten Sicherheitstest aktualisiert. Diese Internetseite zeigt kurze Hinweise für die Nutzung und darunter ein Eingabeformular für die Emailadresse.

Nach dem Abhaken des Disclaimers und dem Eintragen der zu prüfenden Email-Adresse ins Formularfeld klickt man auf die Schaltfläche „Überprüfung starten“. Als Antwort erhält man eine Bestätigung mit einem sogenannten „Betreff-Code“ darin und wird nochmals darauf hingewiesen, dass man nur dann eine E-Mail mit Verhaltenstipps bekommt, wenn die eingegebene E-Mail-Adresse auch in der Sammlung der gestohlenen Daten vorkommt. Nur wer diesen Sicherheitstest gemacht und keine E-Mail zurückbekommen hat, kann sichergehen, dass sein E-Mail-Konto nicht zu den gehackten gehört und deshalb keine weiteren Maßnahmen erforderlich sind.

Das sollte die Eigentümer aber nicht davon abhalten, trotzdem darüber nachzudenken, ob man die Sicherheit seines E-Mail-Kontos nicht noch verbessern kann. Ein stärkeres Passwort mit mindestens zehn Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen erhöht die Chance, auch beim nächsten Datenklau wieder nicht dabei zu sein, unter Umständen deutlich.

Verschiedene Passwörter für verschiedene Dienste

Auch einfache Veränderungen lieb gewordener schlechter Angewohnheiten können die Sicherheit deutlich erhöhen und auch den Schaden bei einem solchen Vorfall klein halten. Dazu gehört zum Beispiel, dass man für sein E-Mail-Konto kein Passwort verwenden sollte, das man schon für den Zugang zu anderen Diensten im Internet benutzt.

Die Kriminellen kennen diese weit verbreitete Nachlässigkeit und sind auch gerne bereit, als Dreingabe zu einem E-Mail-Konto, über das sie ihre Spam-Emails absetzen können, auch noch Werbung über Facebook und WhatsApp im Namen des Konten-Eigentümers zu versenden oder sogar mit seinem Paypal-Konto bezahlte Ware an eine alternative Lieferadresse senden zu lassen.