Gestohlene Nutzerdaten: BSI streut Verunsicherung statt klarer Worte
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit seiner gestrigen Pressemeldung zum millionenfachen Diebstahl von Internetidentitäten viel Aufmerksamkeit erlangt und zugleich unzählige Internetnutzer verunsichert.
Im Rahmen einer Analyse von Botnetzen wurde laut dem BSI entdeckt, dass die Zugänge zu rund 16 Millionen Benutzerkonten in falsche Hände gelangt sind. Es ist davon auszugehen, dass die gefundenen Kombinationen aus E-Mail-Adressen und Passwörtern nicht nur für die Anmeldung bei den betreffenden E-Mail-Anbietern „gut“ sind, sondern sich vor dem Hintergrund der Tatsache, dass ein Großteil der Internetnutzer keine getrennten Logins für unterschiedliche Dienste verwendet, auch für die Nutzung anderer Onlineangebote nutzen lassen. Eine entsprechende Warnung ist also mehr als angebracht.
Warum das BSI sich in diesem Zusammenhang allerdings mit Hintergrundinformationen zurückhält und stattdessen lediglich eine Webseite zur Überprüfung der eigenen Adressen anbietet, bleibt zunächst offen. Man möchte meinen, dass es sinnvollere Wege gäbe, beispielsweise das direkte Kontaktieren der Betroffenen in Kooperation mit den großen E-Mail-Providern oder zumindest das Nennen näherer Details, damit sich der Zirkel der Betroffenen entsprechend eingrenzen lässt. Schon ein Hinweis über die Art und Weise, wie die Daten erlangt wurden, würde möglicherweise dabei helfen bestimmte Nutzergruppen oder gar Betriebssyteme auzuschließen. Ein Verweis auf laufende Ermittlungen ist hier wohl weniger angebracht, die hinter dem Datenklau steckenden Botnetzbetreiber dürften mit Blick auf die Größenordnung auch ohne Nennung der näheren Umstände wissen, worum es hier geht.
Unvorbereitet und unsensibel
Wenn man sich nun in Sachen Informationspolitik wie das BSI entscheidet, und großflächig Paranoia streut, dann sollte man zumindest auf den zu erwartenden Ansturm der verunsicherten Bürger vorbereitet sein. Dies war gestern keineswegs der Fall und die vom BSI angebotene Webseite war über längere Zeit hinweg gar nicht oder nur eingeschränkt erreichbar. Schlimm in diesem Zusammenhang ist auch, dass selbst wenn man die Webseite erreicht und eine eigene E-Mail-Adresse zum Test eingegeben eine Unsicherheit bezüglich dessen, ob man nun betroffen ist, bleibt. Das BSI verschickt nur dann eine bestätigende E-Mail, wenn die eigene Adresse auf der Liste der 16 Millionen gefunden wurde. Bislang bleibt allerdings unbeantwortet, ob während der gestrigen Überlastung wenigstens die E-Mail-Server des BSI ihren Dienst zuverlässig verrichtet haben. Für eine Stellungnahme war dort niemand zu erreichen.
Abgesehen von den vorhersehbaren technischen Problemen lässt die Aktion des BSI auch einen gewissen Mangel an Sensibilität erkennen. Es mag paranoid klingen aber man kann es in der heutigen Zeit keinem Nutzer verübeln wenn er kein gutes Gefühl dabei hat, der Reihe nach alle von ihm verwendeten E-Mail-Adressen in ein staatlich bereitgestelltes Onlineformular einzutippen. Da helfen alle Datenschutzbeteuerungen nichts, auch diese Kritik am Verfahren wäre sicherlich vorhersehbar gewesen.
So geht ihr auf Nummer sicher
Ändert eure Kennwörter
Die einfachste Lösung für alle, die auf Nummer sicher gehen wollen, ist wohl zunächst das Ändern des persönlichen E-Mail-Kennworts. Darüber hinaus solltet ihr euer persönliches Sicherheitskonzept noch einmal überprüfen. Falls ihr tatsächlich die selbe E-Mail-Passwort-Kombination für mehrere Onlineangebote nutzt, ist die schnellstens zu ändern. In der Vergangenheit hat sich mehrfach gezeigt, dass Internetkriminelle auf genau dieses Fehlverhalten spekulieren.
Für den Überblick im persönlichen Passwort-Dschungel greift ihr am besten auf eine unterstützendes Programm zurück. Hier könnt ihr nicht nur sichere Kennwörter generieren, sondern diese auch überschaubar verwalten. 1Password beispielsweise bietet auch hilfreiche Werkzeuge wie die Suche nach doppelt verwendeten oder schwachen Kennwörtern an.
In SWR3 Nachrichten war von 17 Mio WELTWEIT!! die Rede. Das relativiert doch die Bedrohung. Aber so werden wir von Zahlen manipuliert.
Ich habe gleich 9 Benachrichtigungsmails bekommen. ^^
Naja, ändern wir alle Passwörter halt mal.
Wie jetzt: Für 9 Emailkonten oder ist deren Mailserver außer Rand und Band und schickt das für ein Konto?
Ich habe 6 Mailadressen eingetragen aber keine Mail bekommen. Kann heißen dass alles gut ist, man weiß es aber nicht sicher…
Vorher solltest du deinen Rechner auf Schädlingsbefall von jemanden überprüfen lassen, der weiß, wie sowas geht.
Sonst fütterst du das Botnetz nur mit neuen Daten.
Ich hatte auch 9 Mails auf eine Anfrage bekommen. Scheint also eher ein Problem beim BSI gewesen zu sein !?
Ihr macht es aber auch nicht besser!
…“Ändern des persönlichen E-Mail-Kennworts“…
Auch Nicht-Nerds haben mittlerweile zig verschiedene E-Mail-Konten. Nicht nur eins. Und was viel schlimmer ist:
Falls (was anzunehmen ist) der Rechner unbemerkt durch Schadsoftware kompromittiert worden ist, kann man 100 mal die Passwörter täglich ändern. Bringt dann blöder weise aber nix, weil die Kanäle vermutlich noch offen sind. Also: Als aller erstes den Rechner (vermutlich Windows) checken oder noch besser: Neu aufsetzen.
Selbst die Nachrichten am gestrigen Tag, verkündeten stdl. diese BSI Meldung. In Zeiten von NSA Schnüffeleien, kommt man da schnell auf krumme Gedanken. Und staatliche IT made in Germany, ist fast schon tiefstes Mittelalter. Ich erinnere mich noch an den 1. Online Auftritt des Verfassungsschutzes. Ein klappriger Rechner unter DOS in einer Besenkammer.
Ich möchte hier nochmals auf die Lücke (Backdoor) von etlichen Routern, die Heise publiziert hat, hinweisen. Über den folgenden Link kann jeder selbst testen ob sein Router betroffen ist. Meiner war es jedenfalls. Es ist davon auszugehen, dass nach Veröffentlichung solcher Schwachstellen, künftig diese auch kompromittiert werden.
http://www.heise.de/security/d.....?scanart=3
Danke dafür! Hier ist Gott sei dank alles gut.
Danke für den Link !
Da der Rechner in der Arbeit mit höherer wahrscheinlich Virenfrei ist: dort Passwörter Ändern. Und zu Hause den Rechner neu aufsetzen. Ist sicherer. Und das herunterladen „kostenloser“ Software überdenken.. ;)
Wie jetzt? Ich soll für Schadsoftware auch noch bezahlen? – Never! :P
YMMD! ;)
Wenn (fast) alle diese Meldung mit dem iPhone in der Hand lesen, warum dann nich auch mit diesem die Passwörter ändern? Dann muss ich auch keiner um die Vieren auf m PC fürchten!
Außerdem muss ich ja eh die Passwörter im phone hinterher anpassen…
Also warum das Gejammer???
Gmail mit authentificator nutzen und es ist gleich um welten sicherer. Es wäre wünschenswert dieses system bei anderen anbieter anzutreffen, dann wäre die internetwelt mal um ein kleines stückchen sicherer…
gibt einige wichtige, die das auch anbieten: Amazon, Facebook, Dropbox, Microsoft
Botnetz=NSA?
Komisch ist das schon. Ist die Diskussion um die NSA Enthüllung nicht klein zu kriegen, versucht man es jetzt wieder mit einer Diskussion zum Thema eMail Adressen Diebstahl? Solche Vorgänge gibt es doch schon seit bestehen der eMail. Trojaner nisten sich mit großer Vorliebe auf Windows Systemen ein und verwandeln den PC in eine Spammailschleuder. Der User bekommt davon in den meisten Fällen nichts mit, weil er kein Security Experte ist. Ikke hab ja nen Scanner wa? Problem: Der Scanner ist immer noch nur so schlau wie er auch mit Definitionen gefüttert wird. Es reicht also nicht aus die Einstellung zu überprüfen ob der Scanner nach Updates für solche Definitionen sucht, sondern ob er sie auch regelmäßig stündlich bekommt! Ist das also wieder eine Ablenkung oder eine absichtliche Aktion um den desinteressierten, nicht mehr selbstdenkenden und unmündigen Staatsbürger einen weiteren Grund zu geben: Jo die Überwachung is schon ok! Mein persönlicher Eindruck der BSI Testwebsite: Wieso läuft das mit der Unterstützung eines großen Telekommunikationsanbieters? Haben wir nur einen in Deutschland? Ich habe mal nachgezählt, ach nee lassen wir das mit den Zahlen im Zahlenraum von 1 bis… Zum Vorgang selbst: Wenn man dann seine eMail Adresse eingetragen hat, erscheint eine einzige Werbung eines Antivirenherstellers. In diesem Fall folgender Vorschlag: Liebes BSI, wenn Ihr schon Partei ergreift, was ich mir persönlich jetzt für eine eigentlich (und von Steuerzahlern bezahlte) unabhängige Einrichtung, nicht erklären kann: Wieso zeigt man den Menschen nicht unabhängige Testquellen im Internet für Virenscanner? In Magdeburg gibt es zum Beispiel eine solche Einrichtung. Wo liegen diese Datenbanken genau? Wo kommen sie her? Was passiert mit den eingetragenen eMail Adressen? Irgendwas stinkt da gewaltig und ist mächtig faul nachdem ich die Meldung beim BSI gelesen habe.
Apropos Paranoia. Auch bei einem Password-Manager sollte man sich überlegen wem man alle seine Zugangsdaten anvertraut. Ist 1Password sicher? Es ist ein kommerzielles Unternehmen mit Sitz in Kanada. Sind da schon mal Daten weggekommen? Funkt das Ding nach Hause? Ich benutze das plattformübergreifende Keepass ohne Sicherung in der Cloud. Aber auch bei Open Source bleiben Zweifel angebracht.
Open-Source ist bekanntlich Quellofen. Damit kann sich jeder selbst kundig machen. Für ganz hartgesottene bietet sich die selbstkompilierung an.
> Quellofen. … Damit kann sich jeder selbst kundig machen…
Welch Mähr. Sorry, aber wenn ich keinen Plan von Quellcode und/oder Programmierung habe nützt mir das „quelloffen“ überhaupt nichts. Gibt nicht wenige leute die könnten nichtmal die einfachsten Tags in einem HTML Code deuten. Welche Wahl habe ich also als „Otto-Normal-Nicht-Programmierer“ ?
Ich muss mich auf das Urteil „fremder“ Leute verlassen. Und auf deren Unfehlbarkeit, dass sie mögliche Risiken nicht etwa in dem Quellcode übersehen habe.
Von daher stimmt das Fazit: Auch bei Open Source bleiben Zweifel angebracht.
Klar gebt man alle eurer Mailadressen ein. Damit hat der Staat die Mailadresse und die IP die dazu gehört. Es gibt im Internet keine Geheimnisse.
Genau so sehe ich das auch. Ene schöne Art um an genutzte Adressen zu kommen. Ich frage mich ebenfalls wie der BSI an die 16 Millionen Adressen gekommen ist. Das Beste ist man ändert die Passwörter und gut ist.
Was haltet ihr eigentlich von Programmen wie 1Password usw? Ist es wirklich sicherer (denn nichts ist %100 sicher) für jedes Konto ein anderes Passwort zu verwenden und diese durch ein Masterpasswort dass man sich dann merkt zu schützen? Ich fühle mich komisch wenn ich meine Passwörter in ein Programm eintippen muss, welches sicherlich auch mit dem Internet verbunden ist…
1Password benutze ich seit Jahren und das mit ruhigem Gewissen. Denn alles was ich dort eingebe, wird zunächst einmal verschlüsselt. Sprich, selbst wenn meine persönliche 1Password-Datenbank geklaut würde, sind die Einträge gesichert.
Die Sicherheit steht und fällt natürlich mit dem Masterpasswort. Wenn ich da ein kurzes oder sonst wie unsicheres Passwort wähle, nützt das alles nicht.
Ansonsten aber benutze ich das Programm genau wie von dir beschrieben. Jede einzelne Anmeldung bekommt ein eigenes, unglaublich langes und kompliziertes Passwort. Wenn ich das irgendwo brauche, trägt mir 1Password das dann ein oder ich hole es mir aus der 1Password-Datenabnk.
Zudem trage ich im Programm sichere Notizen und sonstige geheime Einträge ein.
Nie mehr ohne!
Aha, der BSI soll die Nutzer mit ner Warnmail anschreiben?
Wie oft wird auch hier davor gewarnt solche Mails zu öffnen?
Ich bekomme in der Regel jeden Tag mindestens eine solche Warnung.
Von Paypal, Apple, Aol, Telekom, Vodafone, Sparkasse, Deutsche Bank, Postbank und und und.
Bei den meisten bin ich gar kein Kunde und bei den anderen meistens mit anderen Mails.. Und mit „sehr geehrter Herr 75dasistfuerspam“ bin ich bestimmt bei keiner Bank gemeldet :-)
Wer nimt also die Mail vom BSI dann ernst?
Deshalb bekommt man auch einen Zahlen / Buchstabencode angezeigt. Nur wenn dieser Code mit dem Betreff in der Mail überinstimmt soll man dies öffnen.
Vielleich erstmal informieren bevor man hier rumtönt…
Hast ja selber nicht gelesen! Der VP meinte ja den Vorschlag, dass das BSI einfach alle 16 Mio. E-Mail-Adresse mit einer Warnmail hätte versorgen sollen. Es ging ihm nicht um die E-Mail nach Eingabe der Adresse auf der BSI-Testseite.
Jetzt wäre m.E. eine Entschuldigung Deinerseits angezeigt…
Ich denke Michas Kommentar war auf die Kritik an deren Vorgehensweise bezogen…also dass man selbst seine Email Adressen eingeben muss und nicht automatisch benachrichtigt wird als Betroffene(r) ;)
Finde es übrigens sehr schade, dass hier jeder, der meint einen Fehler beim anderen entdeckt zu haben, erstmal frech werden muss. Korrigieren kann man auch in einem ganz anderen Ton…scheint hier aber leider so üblich zu sein :(
@Icke
Super Idee,
kann man auch kein Schindluder mit treiben alá … hier klicken um das neue passwort einzugeben zur Mailadresse.
Top Vorschlag!
@isch
Du raffst es nicht! Lies Dir doch nochmal den Post von Micha durch. Da steht nirgends was davon, dass er alle Adressen anschreiben will, sondern dass das im Gegenteil ja höchst blöd wäre. Wie Du da jetzt draus konstruierst, dass ich sowas möchte bleibt Dein Geheimnis.
Mir ging es um Deinen Post in dem Du diese (zum Glück nicht verwendete) Warnmail und die Benachrichtigung NACH Eingab der Adresse beim BSI in einen Topf geworfen hast…
Ad 1) wir sollten langsam alle gelernt haben, dass kein System der Welt ’sicher‘ in dem Sinn ist, dass niemand anderes, als der eigentlich Berechtigte Zugriff zu Daten bekommt. Selbst ein Stück Papier kann geklaut werden und die Wissenschaft kann zwischenzeitlich selbst Gehirnströme analysieren.
Ad 2) die Analyse einer Gefahr, eines Risikos beginnt somit nicht mit der Frage: besteht grundsätzlich ein Risiko, sondern mit der Frage welcher Schäden kann entstehen und wie hoch ist die Eintrittswahrscheinlichkeit
Ad 3) eine Menge Daten bergen kein Schadensrisiko. Das gilt sich für IT-bezogene Daten. Meine Login Daten für irgendwelche unwichtigen Seiten, auf denen ich (für mich unkritische) Informationen abfragen kann oder eine Emailadresse, die ich ausschließlich für Werbung etc. Benutze ist unkritisch. Hier benötige ich keine Schutzwälle,
Ad 3) einzelne Gefahren (wie z.B. Die Möglichkeit den Rechner durch ein Bot-Netz zu kapern sollten durch die Betriebssysteme so gut wie möglich ausgeschlossen werden. Hier müssten im Anbetracht der auch volkswirtschaftlichen Schäden gesetzliche Mindeststandards her! Wir fragen ja ich niemanden mehr, ob er sich im Auto Sicherheitsgurte leistet oder döse anlegt, sondern schreiben das vor. Dies wäre einmal ein sinnvolles Betätigungsfeld für die EU
Ad 5) umso höher der mögliche Schaden aus einem unberechtigten Zugriff, umso stärker muss ich die Eintrittswahrcheinlichkeit einschränken. Dazu gehört z.B., dass ich sensible Daten nicht Programmen aus unbekannten Quellen anvertraue. Dazu gehört auch, dass ich alle benutzten Dienstleister auf ihre Vertrauenswürdigkeit hin beurteile. Bei Apple bin ich z.B. Sehr sicher, dass sie Daten nicht für kriminelle Zwecke nutzen würden. Bin ich auch sicher, dass sie Daten nicht an staatliche Dienste weiterleiten? Wohl weniger! Aber auch hier kommt wieder die Schadensanalyse zum Einsatz. Kann ich Der Apple Cloud meine Login-Daten für meine Email und Bankkonten anvertrauen? Wohl durchaus. Würde ich das auch machen, wenn ich eine Persond es öffentlichen Interesses wäre, die unter Umständen Gefahr läuft, von Geheimdiensten erpresst zu werden? Vielleicht eher nicht. Würde ich der cloud die Informationen für die Entwicklung eines interessanten Patents anvertrauen? Auch eher nicht!
Fazit: weniger Panik, mehr Risikoanalyse! Gerade bei Windows Systemen, öfter einmal neu aufsetzen, das hilft sowieso der Performance des Rechners ;-), bei Mac fühle ich mich deutlich sicherer, dieses Gefühl sollte man aber auch immer wieder hinterfragen.
Und ansonsten: man muss nicht alles aufschreiben und speichern, manches ist im Kopf gut aufgehoben.
+1
Besonders gut ist Punkt 4!
Dass das gerade in Deutschland noch nicht reglementiert ist läßt eigentlich nur den Schluß zu, dass wir (bzw. die Regierenden) im IT Bereich nicht kompetent genug sind.
Glaubt ihr, das Millionen Nutzer eine solch direkt verschickte Mail ernst genommen hätten? Die wäre, wie viele andere auch, von jedem Einzelnen als Spam markiert oder angesehen worden. Und dann hätte die ganze Sache nichts gebracht… So, auf die jetzt praktizierte Weise, besteht wenigstens die notwendige Aufmerksamkeit!
Und jeder der Angst hat, dass nach Eingabe seiner Email-Adresse noch mehr Daten wie IP oder ähnliches freigibt… Hallo?? Das ist ohne größeren Aufwand viel stiller möglich…
Also komisch ist das schon: Ich habe gestern eine meiner Emailadressen überprüfen lassen. Darauf bekam ich dreimal die gleiche Mail mit dem gleichen Betreffcode. Allerdings stimmte der Betreffcode in der Mail nicht mit dem Betreffcode überein, den ich auf der Seite des BA bekam??? Was hat das jetzt zu bedeuten? Heute habe ich die gleiche Email-Adresse nochmal überprüfen lassen und keine Mail mehr bekommen. Hat jemand eine Erklärung dafür??
Ich warte eigentlich schon auf die BSI Pfishingmail Welle…
Es müsste sich doch auch eine andere Prüfmöglichkeit finden. Was machen den große Firmen mit ihren Adressen? Mal 1000 Stück so von Hand eingeben? Domains abzufragen wäre hier wohl das Mittel der Wahl.
Ich schlage vor, zunächst einen Virencheck zu machen und dann ein neues PW. Weil das sonst im Zweifel alles für die Katzenbilder war.
Auch ne Idee an Email Adressen zu kommen. In Zusammenarbeit mit der Telekom…
Wie hatte das BSI direkt an die Betroffenen heran treten sollen? Vielleicht per Email? In einer Form, vor der ALLE warnen: nicht auf Mails unbekannter oder möglicherweise dobioser Herkunft reagieren heisst es doch immer. Da ist die gewahlte Variante auf jeden fall die sinnigere!
Schön wäre es gewesen, wenn JEDER, der auf der Seite vom BSI seine Emailadr eingegeben hat, eine Antwortemail bekommen hätte. Inhalt jeweils „betroffen“ oder „nicht betroffen“. So wäre man sicher, dass die Anfrage stattgefunden hat.
Von 4 Mailadressen war eine betroffen, ausgerechnet die, die ich für meine Apple id- verwende. MPasswort geändert und in der Hoffnung dass es das dann war.
Die Lösung wäre doch einfach, den Mailprovider zu benachrichtigen. Dann in den Medien – wie geschehen – von der Sache zu berichten. Der Provider könnte dann den Usern ne Email schicken, von den Adressen aus, die der User schon kennt (- ich bekomme z.B. regelmäßig den GMX-Premium Newsletter). Die Aufmachung ist dann professionell, die Absender-Adresse kenn ich (kommt durch den Spamfilter von Thunderbird durch, weil bekannt)
Das unterscheidet sich dann doch alles deutlich von dem normalen Spam und Phishing-Dreck.
Der Provider kann mich persönlich anreden, er weiß was Vor und Nachname sein sollten.
In einer solchen Aufmachung, an einem Tag, an dem alle Radio und TV-sender sowas ankündigen, würde der Aufforderung zum neuen Passwort doch etwas Beachtung geschenkt werden, finde ich.
Aber das BSI wird es schon wissen, wie es zu gehen hat! ;-)
Was mich wundert ist, dass Avira vom BSI beworben wird, man aber auf der Landingpage bei Avira nichts besonderes zu dem Thema vorfindet. Die sollten doch zumindest ein/zwei Worte zu dem Nutzen Ihres Tools bei der Problematik verlieren.
Oder die User, die auf Zuruf von dem Tool bei Avira hören, das Finden des gepriesenen Tools erleichtern.
Schon komisch.
Ist eigentlich der 01.April dieses Jahr am 21.Januar?
Übrigens jagen E-Mail-Adressen unverschlüsselt durch das Netz. Staatliche Stellen hätten also ein leichtes Spiel an E-Mail-Adressen zu kommen, ohne den mündigen Bürger involvieren zu müssen.