Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Sicherheitswarnung: Hacker infiltrieren 16 Millionen E-Mail-Konten

Millionen E-Mail-Konten infiltriert. (Foto: © pn_photo - Fotolia.com)

Kriminellen Hackern sind nach Informationen des Bundes die Zugangsdaten von 16 Millionen E-Mail-Konten in die Hände gefallen. Ob ihr selbst betroffen seid, kann jetzt mit einem Schnellcheck geprüft werden.

Hacker verfügen über 16 Millionen fremde E-Mail-Konten

Das Bundesamt für Sicherheit und Informationstechnik warnt aktuell vor einem großflächigen Identitätsdiebstahl. Im Rahmen einer Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden demnach rund 16 Millionen kompromittierte E-Mail-Konten entdeckt. Das heißt: Kriminellen sind 16 Millionen E-Mail-Adressen mitsamt der dazugehörigen Passwörter bekannt. Dem BSI wurden die entsprechenden Adressen übergeben, um die Betroffenen warnen zu können.

e-mail hacker
Das Bundesamt für Sicherheit und Informationstechnik warnt: Kriminelle haben Zugang zu 16 Millionen E-Mail-Konten. (Foto: © pn_photo - Fotolia.com)

Zu diesem Zweck hat das BSI einen Schnellcheck eingerichtet. Mit ihm können Nutzer in Sekundenschnelle überprüfen, ob auch ihre Kontodaten in den Händen krimineller Hacker liegen. Die eingegebene Adresse wird dann in einem technischen Verfahren vom BSI mit den Daten aus den Botnetzen abgeglichen. Ist die Adresse und damit auch die Digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Problematisch ist dieser Fall vor allem deshalb, da ein Großteil der Nutzer die Zugangsdaten für das E-Mail-Konto in identischer Form auch für andere Accounts wie zum Beispiel in Sozialen Netzwerken oder Online-Shops verwendet.

Erste Hilfe: Passwörter ändern und eigenen Rechner säubern

„Passwörter sollten dringend geändert werden.“

Ist man laut dem Sicherheitscheck betroffen, empfiehlt das BSI dringend die Umsetzung folgender Maßnahmen: Anwender sollten zunächst alle Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzwerken, Online-Shops, E-Mail-Accounts und anderen Online-Diensten nutzen. Es sollten auch diejenigen Passwörter geändert werden, die nicht zusammen mit der betroffenen E-Mail-Adresse als Login genutzt werden. Dies ist deshalb empfehlenswert, weil im Falle einer Betroffenheit die Möglichkeit besteht, dass ein benutzter Rechner mit einer Schadsoftware infiziert ist. Diese kann neben den in den Botnetzen aufgetauchten Benutzerkennungen auch andere Zugangsdaten, Passwörter oder sonstige Informationen des Nutzers ausgespäht haben. Hinweise zur Nutzung sicherer Passwörter erhalten Anwender unter https://www.bsi-fuer-buerger.de/Passwoerter

Darüber hinaus sollten der eigene Rechner ebenso wie andere genutzte Rechner auf Befall mit Schadsoftware überprüft werden. In den Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt, die hierfür genutzt werden können.

Identitätsdiebstahl eine der größten Gefahrenquellen im Netz

Identitätsdiebstahl gehört zu den größten Gefahrenquellen bei der Internetnutzung. Online-Kriminelle stehlen die digitalen Identitäten von Internetnutzern, um in deren Namen aufzutreten, E-Mails zu versenden, auf fremde Kosten in einem Online-Shop einzukaufen oder sich auf andere Weise zu bereichern oder den Betroffenen zu schaden. Personenbezogene Anwendungen wie E-Mail- oder Messenger-Dienste, Online-Shops oder Soziale Netzwerke bieten personalisierte Services, für die man sich anmelden muss, um seine Daten zu erhalten oder die Dienstleistung in Anspruch nehmen zu können. Zur Authentifizierung wird in den meisten Fällen immer noch die Kombination aus Benutzername und Passwort genutzt. Geraten diese Authentifzierungsmerkmale in die falschen Hände, können sie für Identitätsmissbrauch verwendet werden.

Bitte beachte unsere Community-Richtlinien

19 Reaktionen
Dirk

Man greift sich an den Kopf, wenn man hört, dass sie angeblich private Daten sammeln oder die NSA dahinter stecken könnte.

Es ist unglaublich, dass manche denken, dass private Adressen privat und geheim ist und nur die diese Adresse kennen, denen man die Adresse mitgeteilt hat.

1. BND &&/|| BKA arbeiten gut mit der NSA zusammen. BSI ist sicherlich stark verknüpft mit BND &&/|| BKA.
2. Die Listen an Emailadressen können die Dienste vielleicht von den Betreibern erhalten.
3. Z.B. mail@ oder andere Namen werden von den Spammern erhalten. Und die Spammer wissen dann, dass eine Adresse vermutlich funktioniert, wenn sie vom Server keine Fehlermeldung bekommen. In Spams werden dennoch hidden pixel oder ähnliches integriert, damit sie hoffentlich herausfinden, ob die funktionierende Adresse lebt (also die Spams vermutlich gelesen werden). Bei Gmail ist durch das automatische vorhergehendem Laden aller Inline-Bilder/-Pixel nicht mehr klar, ob die Adresse noch lebt.
4. Diese Punkte 2 und 3 sind zum Bekanntwerden der Emailadressen eigentlich nicht nötig. Alle Emails werden unverschlüsselt geschickt. Auch die PGP/GPG-Emails sind natürlich unverschlüsselt. Schließlich müssen die Server wissen, wohin eine Email soll. Der Inhalt ist natürlich verschlüsselt, aber die Metadaten können nie verschlüsselt werden, wofür sich diese Geheimdienste (nicht nur NSA) interessieren. Vielleicht gibt es freundliche Provider (also Provider, die wegen finanziellen Zuwendungen einem oder mehreren Geheimdienste "Dienste" bereitstellen), wodurch z.B. in deren Netzwerken ein spezielles DIP-System (deep packet inspection) integriert wird.

=> Also kann nur in einem Fall geheime Emailadressen geben: wenn es eingerichtet wurde, aber nie genutzt wird, also nur sinnlose Adressen können geheim sein

Andreas

Ich weiss nicht ob Ihr es schon gehört habt... Der BSI wusste schon seit Dezember von den 16 Mio. gehackten E-Mail Adressen. Aber man konnte es noch nicht publik machen, weil man erst noch die Seite zum Überprüfen, ob man betroffen ist, programmieren musste.

Wenn ihr mich fragt, dient die Seite einzig dem Zweck, zu überprüfen, welche Adressen sich lohnen, überwacht zu werden.

Mein Tipp: Einfach alle Passwörter abändern, die mit eurer E-Mail Adresse zusammenhängen (egal ob für den E-Mail-Provider oder irgendwelche Shops, bei denen euer Anmeldename eure E-Mail Adresse ist) und gut ist.

Manfred

Und was die neue Gesundheitskarte ecard der Krankenkassen angeht, da geben doch selbst Mitarbeiter in persönlichen Gesprächen zu, dass diese nur zu Sammelzwecken für die Pharmaindustrie und KKs genutzt werden und was ist heute schon im Internet oder online sicher, meinte eine Bekannte von der Barmer zu mir! Die Server der Krankenkasse sind sicherlich nicht sicherer als andere!

Manfred

Diese Prüfseite würde ich nicht ansteuern, denn hier werden ebenfalls fleißig Daten gesammelt und was das Staatsfernsehen oder irgendwelche Bild-Zeitungs Käseblätter (gesponsert bei der Hochfinanz) schreiben, muss nicht immer stimmen. Das beste Mittel ist vorsichtig zu sein, Passwörter jetzt umändern und eben per Virenscaner, AntiSypwäre Software etc. zu prüfen!

246277 (abgemeldet)

Wieso will das BSI beim Schnelltest meine personenbezogenen Daten speichern? Ich würd mich nicht wundern wenn diese in wenigen Tagen ebenfalls entwendet sind.

Alex

Nachts um 00:15 lässt sich die Seite problemlos laden. Mal schauen was dabei herauskommt. Vielleicht ist das ja auch nur eine verstecke Aktion der NSA, um ein paar Benutzerdaten zu sammeln ;)
Gruß

Michael

STICHWORT NEUE GESUNDHEITSKARTE! Bin mal gespannt, wann die Server mit den Daten inkl. Foto der neuen Gesundheitskarte, welche die Krankenkassen-Mitglieder sich faktisch freiwillig haben andrehen lassen, gehackt werden und es zu ersten Erpressungen etc. kommt! ;-)

Torsten

Leider wurde hier, wie in vielen anderen Medien die originale Meldung in vollkommen falscher Weise wieder gegeben, weil es sich nicht um E-Mail-Konten, sondern um Nutzerkonten von Onlinediensten handelt, bei denen eine E-Mail-Adresse als Benutzername benutzt wird. Anderenfalls wüßte man ja, daß es sich Nutzerkonten des Providers A oder B handelt, je doch hat man eine Ansammlung von vielen verschiedenen E-Mails bei verschiedenen Providern gefunden.
Manchmal hilft es die Quelle eine Meldung zu konsultieren:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html

Mike Alter

Die Reihenfolge der Erstmassnahmen ist etwas sinnfrei ... erst die Passwörter zu ändern und dann in einem weiteren Schritt darüberhinaus den eigenen Rechner auf Schadsoftware zu prüfen ^^ ... andersherum würde es wohl wesentlich mehr Sinn machen!

Dirk

Was für ein Sinn macht überhaupt die Anfrage?
Der Test setzt voraus, dass man das Passwort nie geändert hat. Normalerweise hat man bei einer Emailadresse idR mind. ein Mal das Passwort geändert. Dann kann man also nicht erfahren, ob das aktuelle Passwort oder ein älteres betroffen ist.

Standartisieren

Als staatliche Organisationen denen man glauben kann könnte man die Mailprovider direkt informieren und ihnen die Listen ihrer betroffenen Kunden übertragen. Auch weil ständig neue Botnetze aufgedeckt werden sollte sowas Standard sein und ständig stattfinden.
Bisher war eher Microsoft der Antreiber für Botnetz-Abschaltung hatte ich bisher den Eindruck.

Als zweites Standbein sollte man natürlich auch den Selftest anbieten um selber sehen zu können, ob der Email-Provider nicht vielleicht Informationen unterschlägt.

Einen Email-Hash nachzusehen sollte nicht so schwer sein. Aber weil es ja eine Pipeline ist, auf deren Ende man nicht warten muss, reicht es ja, die Email-Adresse an ein File anzuhängen (ein File pro Thread oder wie auch immer) oder in eine schnelle (No)SQL-Datenbank einzutragen und die Antwortseite auszugeben wofür ja nicht viel auszurechnen ist. Das kann man also recht superschlank aufsetzen. Die Listen mit den Email-Adressen arbeitet man auf anderen Servern oder sonstwo ab und das kann auch was länger dauern was man auf der Antwortseite mitteilen kann.
Bei sofortiger Antwort in der Antwort-Seite könnte man eine Überlastung nachvollziehen. Sowas ist mal ein Beispiel welches man nicht in einer Cloud hosten sollte.
Andererseits reichen 2 Gigabyte RAM bei 16 Mio Email-Adressen für im Schnitt 134 Byte lange Email-Adressen (ohne Verwaltungsdaten und 00 am Ende oder Länge am Anfang) wenn ich mich nicht verrechnet habe. Wie schon richtig bemerkt, sollte man aber per Email antworten und nicht in der Antwort-Seite des des Abfrage-Formulars.

Rabenknecht

Schade, dass man nirgends mehr Informationen lesen kann. Ich habe solchen Tests noch nie getraut.

cephei

Cooles Bild zum Artikel. Genau so cool wie das von Golem zum selben Thema.

Jens V

Wäre es nicht sinnvoller, eine Meldung an die betroffenen E-Mails zu senden und gut ist? Statt dessen wird eine Website mit einer Testroutine gebaut und der Server geht in die Knie. Wieso über Bande (Medien) spielen, wenn man direkt adressieren kann?
Wenn wirklich Gefahr in Verzug wäre, wäre es doch auch sinnvoll, die Nutzer zu informieren, statt darauf zu warten, dass auch der Letzte davon gelesen hat, dass er seine E-Mail-Adresse irgendwo im Internet eingeben soll.

Ich finde das schon komisch.

Lars

Ich finde diese sehr unvollständige Meldung äußerst kurios. Wo wurden die Daten gefunden? "In einem Botnetz" ist doch recht dürftig. Wieso sollte ich jetzt meine E-Mail an den BSI übergeben? Damit ich den BSI bei Erhalt des "Codes" als "vertrauenswürdigen" Empfänger hinterlege?
Der BSI hat zur Zeit zwei schwer zu bewältigende Aufgaben vor der Brust: Allen eine De-Mail zu verpassen und der Staats-Trojaner dürfte auch bald zur Verteilung fertig sein. Brauchen die vielleicht nur ein paar Adressen von willigen Testern? Ich finde diese "Panik"-Schlagzeile ohne nennenwerten Informationsgehalt äußerst verdächtig... Aber jedem das seine.

PfalzMike

@Sebastian
Die Seite wird momentan überall im Radio und in sämtlichen Online-Medien gepusht, kein Wunder, dass die Server das nicht alles mitmachen

Zumindest haben sie das wohl ganz gut gelöst, dass man im Falle einer gestohlenen Email eine Antwort an die Mail-Adresse selbst kriegt. Das ist immerhin besser, als wenn jeder öffentlich jede Mail-Adresse prüfen könnte.

me

cool, so kommt man auch an e-mail-adressdaten, einfach ein bisschen angst machen und die "prüfung" der e-mail-adressen anbieten ;-)

unbekannter nummer 1

Schonmal drauf gekommen, dass der BSI Server gnadenlos überlastet ist?
So wie du hat sich jeder gedacht, dass er wissen möchte, ob seine Daten in falschen Händen liegen.
Also nicht rummeckern, sondern später nochmal versuchen!

Sebastian

Toller Schnellcheck - https://www.sicherheitstest.bsi.de/
Funktioniert nicht. Bzw. nur einmal in 20 Fällen. Top!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst