Das BSI (Bundesamt für Sicherheit in der Informationstechnik ) geht nach dem Jahresanfangs-Desaster dieses Mal einen Schritt weiter: Deutschlands Nutzer, die Opfer des millionenfachen Datenklaus geworden sind, sollen demnächst eine Mail ihres Providers erhalten – offenbar direkt an den gehackten Account.
In der vergangenen Woche war bekanntgeworden, dass die Staatsanwaltschaft im niedersächsischen Verden bei ihren Ermittlungen zu Botnetzen in Sachen BKA-Trojaner auf einen neuen Datensatz mit Millionen E-Mail-Adressen samt Passwörtern eher zufällig gestoßen war.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt am heutigen Montag bekannt: Nach dem diesjährigen millionenfachen Identitätsdiebstahl werden die Daten der betroffenen Nutzer an die jeweiligen Provider weitergegeben. “Hierbei handelt es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können”, teilt die Behörde mit. Diese werden von dort aus per Mail über das Sicherheitsproblem informiert. Allerdings hat die Sache einen Haken: Es ist den Providern nur möglich, ihre Kunden auf ihrem potenziell gehackten Account zu informieren.
Da zurzeit noch unklar ist, woher die Daten stammen und zu welchen Diensten sie passen, kann es durchaus möglich sein, dass es sich um die Login-Daten zu den Mail-Accounts handelt, an die auch die Sicherheitswarnungen der Provider geschickt werden. Sollten die Sicherheitswarnungen dann an diese Adressen gehen, kann nicht sichergestellt werden, dass der Kunde die Mail auch tatsächlich erhält. Die Angreifer sind in der Lage, sie vorher löschen, um zu verhindern, dass sein Opfer gewarnt wird und das Passwort geändert wird.
Etliche Millionen User erhalten seit heute Morgen Nachricht von ihrem deutschen Provider. Die Betroffenen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in direkter Zusammenarbeit mit den Providern Kabel Deutschland, Deutsche Telekom, Vodafone, Freenet, Gmx.de und Web.de informiert. Dies teilte die Bonner Behörde am Montag mit.
Vodafone erklärte, dass es sich dort um ca. 80.000 betroffene Nutzer handele, die Deutsche Telekom teilte mit, dass ca. 87.000 Nutzer betroffen seien.
Am 27. März 2014 erhielt das BSI nach eigenen Angaben eine Datei mit ursprünglich rund 21 Millionen Adressen inklusive Passwörtern von der Staatsanwaltschaft in Verden (Aller). “Nach technischer Analyse und Bereinigung durch das BSI verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen”, heißt es vom BSI weiter.
Auf einer Pressekonferenz am Mittag gab das BSI dann weitere Details bekannt. Die betroffenen Nutzer werden von den Providern seit heute Morgen, 9:00 Uhr, informiert, sagte BSI-Präsident Michael Hange. Auch der aktualisierte BSI-Sicherheitstest steht seit diesem Zeitpunkt zur Verfügung.
Besonders die ca. 120.000 Nutzer mit eigenen Domains, die nicht bei den genannten Providern gehostet sind, müssen unter anderem auf den bereits seit Anfang des Jahres eingerichteten Prüfdienst vom BSI bereitgestellten webbasierten Sicherheitstest zurückgreifen. Sie können unter www.sicherheitstest.bsi.de mithilfe des Tests selbst überprüfen, ob sie von dem Identitätsdiebstahl betroffen sind. Der Test ist bereits mit dem neuen Datensatz aktualisiert worden. Das BSI kooperiert in diesem Fall nur mit solchen Providern, die ein Kontingent von mehr als 20.000 betroffenen Nutzern haben und die sich zu einem solchen Verfahren bereit erklärt hätten.
Wer nicht betroffen ist, erfährt das eigentlich nur durch das Ausbleiben der Mail. User, die einen Mail-Account bei einem Provider haben, welcher seine Kunden nicht informiert, sollten den Selbsttest dringend selbst durchführen. Das gilt natürlich auch für diejenigen Nutzer, die einen eigenen Mailserver betreiben.
Es wird berichtet, dass wohl vor allem die Lokalisierung der Adressen sehr zeitaufwendig gewesen sei. Mit den gestohlenen E-Mail-Adressen und den dazu gehörigen Passwörtern versuchten Kriminelle, sich mit Hilfe eines Botnetzes in E-Mail-Accounts der Nutzer einzuloggen und diese dann für den Versand von Spammails zu missbrauchen. Die infizierten Bot-Rechner versuchen, sich mit den Login-Daten bei den Mail-Providern einzuloggen. Im Erfolgsfall setzen sie die unerwünschten Werbebotschaften ab. Das wäre eher die noch harmlose Methode. Laut BSI ist das Botnetz noch in Betrieb, die gestohlenen Identitäten würden noch aktiv genutzt. Somit sei davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Onlineaccounts wie Onlineshops, Foren oder sozialen Netzwerken handelt. Damit wird schnell klar, dass auch weitaus weniger harmlose Machenschaften mit den entwendeten Passwörtern getätigt werden können.
Verbraucherschutzminister Heiko Maas (SPD) hatte zuletzt Kritik an Onlineanbietern und Providern geübt. “Die Verbraucher haben ein Anrecht darauf, dass ihre Daten und Passwörter bei digitalen Dienstleistern so sicher wie möglich sind”, sagte er Spiegel Online. Internetanbieter seien grundsätzlich in der Pflicht, größeren Schutz der Passwortdaten und der persönlichen Kundendaten zu gewährleisten. “Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen finden”, sagte Maas. Somit läge die Sicherheit durchaus im eigenen Interesse der Online-Anbieter.
Das BSI vermutet, dass die gestohlenen 21 Millionen Daten nicht aus einem einzelnen Angriff stammen. Sie könnten aus verschiedenen Angriffen zusammengestellt worden sein. Eine mögliche Quelle sind Trojaner, die sämtliche Tastatureingaben des Opfers aufzeichnen. Dieses Verfahren – auch Phishing genannt – überträgt die Daten direkt an die Hacker. Somit ist auch eine Weiterverwendung der Daten auf dem Computer nicht ausgeschlossen. Online-Transaktionen könnten manipuliert werden, es könnte im Namen und für Rechnung eines Nutzers im Online-Handel eingekauft werden.
Offenbar geht das BSI auch davon aus, dass es den Angreifern gelungen ist, auch Datenbanken von Onlineshops zu hacken. Höchstwahrscheinlich hätten nicht nur die vom infizierten Botnetz infizierten Clients die Daten geliefert. BSI-Präsident Michael Hangen appelliert daher an die Anbieter, ihre Kundendaten nur gehasht abzuspeichern, um zu erschweren, dass die Passwörter in die Hände von Kriminellen gelangen.
Wer jetzt wirklich von dem Datenklau betroffen ist, sollte seinen Rechner unbedingt einem Virencheck unterziehen. Kostenpflichtige Software scannt den Großteil der Schädlinge heraus. Anschließend sollten das E-Mail-Passwort sowie auch sämtliche anderen Passwörter geändert werden, die zur Anmeldung bei Online-Shops, Banken, Sozialen Netzwerken und anderen Online-Diensten genutzt werden.