BSI warnt: 16 Mio. digitale Identitäten gestohlen // Sicherheitstest

Bild von joker0222
joker0222 101965 EXP - 28 Endgamer,R10,S1,A10,J5
Platin-Gamer: Hat den sehr hohen GamersGlobal-Rang 25 erreichtDieser User unterstützt GG seit vier Jahren mit einem Abonnement.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertGold-Jäger: Hat 75 Erfolge erreicht -- Wahnsinn!Gold-Gamer: Hat den GamersGlobal-Rang 20 erreichtDieser User hat uns an Weihnachten 2017 mit einer Spende von 5 Euro unterstützt.Alter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertScreenshot-Meister: Hat 5000 Screenshots hochgeladenDieser User hat uns zur TGS 2017 Aktion mit einer Spende von 5 Euro unterstützt.Debattierer: Hat 5000 EXP durch Comments erhaltenRedigier-Guru: Hat 5000 EXP fürs Verbessern von Beiträgen gesammeltIdol der Massen: Hat mindestens 10.000 Kudos bekommen

21. Januar 2014 - 14:30 — vor 3 Jahren zuletzt aktualisiert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit vor massenhaftem Identitätsdiebstahl digitaler Profile im Internet:

Bei der Analyse von Botnetzen wurden 16 Millionen gestohlene digitale Identitäten entdeckt. Online-Kriminelle betreiben Botnetze, den Zusammenschluss unzähliger gekaperter Rechner von Privatanwendern, insbesondere auch mit dem Ziel des Identitätdiebstahls. Bei den digitalen Identitäten handelt es sich jeweils um E-Mail-Adresse und Passwort. E-Mail-Adresse und Passwort werden als Zugangsdaten für Mail-Accounts, oft aber auch für Online-Shops oder andere Internetdienste genutzt.

Das BSI hat einen Sicherheitstest eingerichtet, mit dem überprüft werden kann, ob die eigene E-Mail-Adresse betroffen ist. Das Prozedere ist auf der Website beschrieben, allerdings ist diese aufgrund wahrscheinlich sehr vieler Zugriffe derzeit nur schlecht erreichbar. Solltet ihr betroffen sein, wird geraten den eigenen Rechner umgehend auf Schadsoftware mittels eines Virenscanners zu überprüfen und Zugangsdaten für Online-Profile zu ändern. 

 

DomKing 18 Doppel-Voter - 9954 - 21. Januar 2014 - 14:33 #

Wieso verschickt das BSI denn nicht direkt E-Mails an die betroffenen Konten?

So scheint es, als ob sie selber wissen wollen, welche Konten denn noch aktiv genutzt werden.

Sparky 10 Kommunikator - 358 - 21. Januar 2014 - 14:34 #

Weil innerhalb von ein paar Tagen die ersten Scam-Mails mit BSI Logo zum Thema unterwegs sein werden. So gibst du deine Email auf der BSI-Homepage an und bekommst einen Code, den sie in die Betreffzeile einer Email schreiben, die sie dir dann schicken, falls du betroffen bist.

DomKing 18 Doppel-Voter - 9954 - 21. Januar 2014 - 18:19 #

Nagut, aber was steht denn in der E-Mail drin? "Ja, ihr Konto ist betroffen, ändern Sie ihr Passwort"?

Gut, für Ottonormalnutzer ist es vllt schon sinnvoll, aber sonst weiß doch jeder, dass man keine Daten/Passwörter irgendwo angibt, keine Anhänge oder im Zweifel E-Mails öffnet, sich die Versenderadresse anguckt etc.

Naja, ich will nicht zu hart sein, ist ja schon richtig, dass gewarnt wird.

Sparky 10 Kommunikator - 358 - 21. Januar 2014 - 18:48 #

Du glaubst nicht, was das für ein Geschäft ist. Solche Mails gehen dann mal schnell an 10 Millionen Leute raus. Da viele sich denken "Oh ja, ich hab ja davon gelesen, dass da was war", wird es auch einen Teil geben, der auf Links klickt, die die Säuberung versprechen. Wenn es jeder 100. macht, dann reicht das ja völlig.

Vor ein paar Wochen, als die ganze Redtube Affäre losging kamen auch Ruck-Zuck die ersten Scam-Mails, mit Zahlungsaufforderung. Die waren absolut mies gemacht und hatten sogar das Datum der Urheberrechtsverletzung in der Zukunft. Trotzdem haben viele Leute sie für echt gehalten - ich habe auf einigen Nachrichtenportalen in den Kommentaren erboste Reden gegen U&C gelesen, die zum Kern hatten, dass das ja Betrüger seien, weil der 25.12.2013 ja in der Zukunft läge. Der Großteil der Menschen merkt, dass es ne Betrugsmail ist, aber bei weitem nicht alle. Erst recht nicht, wenn dann vllt sogar noch der Name stimmt. "Sehr geehrter Herr Müller,"

vicbrother (unregistriert) 21. Januar 2014 - 14:53 #

Das Passwort für ein E-Mail-Konto ist die digitale Identität?

UT1987 09 Triple-Talent - 346 - 21. Januar 2014 - 15:35 #

Klar, weil man somit auf alle Passwörter von anderen Seiten aus Zugriff hat.

Gorny1 16 Übertalent - 4728 - 21. Januar 2014 - 18:57 #

Bei vielen Diensten lässt sich über die "Passwort vergessen" Funktion das Passwort zurücksetzen. Da das per E-Mail geschieht, ist mit dem Zugang zum Postfach gleich alles offen was mit der E-Mail verknüpft ist.

MrFawlty 17 Shapeshifter - P - 7317 - 21. Januar 2014 - 22:09 #

Bei den meisten Internetnutzern: ja.

Die wenigsten haben für jede Anwendung (gamersglobal, Geldinstitut ebay, amazon, facebook, twitter, battle.net, steam, hellokittyforum etc) jeweils ein eigenes Mailkonto mit eigenem sicherem Passwort.

Anonhans (unregistriert) 22. Januar 2014 - 5:47 #

Ich schließe mich an. Mehr als 1-2 Mail-Adressen zu haben ist schon sehr ungewöhnlich und jeder einigermaßen wichtige Webdienst (abgesehen von reddit und Online-Banking vielleicht) lässt sich in der Regel mit Kontrolle über das damit verbundene E-Mail Konto kontrollieren.

Passatuner 14 Komm-Experte - P - 2302 - 21. Januar 2014 - 14:55 #

Warum können Sie nicht einfach gleich auf der Webseite anzeigen, ob man betroffen ist?
Nach Absenden des Formular binnen weniger Minuten eine Email an die abgefragte Adresse mit einem Link zur Anzeige, damit mancher nicht wild Emailadressen anderer austesten kann.

So wird mancher auf die Email warten, die braucht aber wohl länger (sonst wäre ja die Anzeige direkt möglich, oder?), der Code ist längst vergessen, und die Seite schon geschlossen...

Oder die Email ging in der Emailflut unter, landete im Spam oder whatever und wägt sich in falscher Sicherheit...

Necromanus 16 Übertalent - P - 4801 - 21. Januar 2014 - 15:20 #

Deswegen steht ja dabei, dass man sich den Code aufschreiben soll. Sicherheitstechnisch macht die angewendete Version am meisten Sinn.
Es empfiehlt sich halt dass man evtl nach ein paar Stunden nochmal in den Mail Ordner incl. Spam-Ordner schaut...

Bully3 15 Kenner - 2749 - 21. Januar 2014 - 15:00 #

Wie mans macht isses falsch. Man kann dem BSI eigentlich nur raten künftig gar keine Warnungen mehr rauszugeben, denn anstatt, dass sich die nutzer mal an die eigene nase packen wird daran rumgemäkelt, wie gewarnt wird.

Name (unregistriert) 21. Januar 2014 - 15:45 #

Ich gehe sogar davon aus, dass meine emailadresse irgendwo darin auftaucht. Zumindestens einige davon.
Aber so lange mir das BSI nicht mitteilt mit welchem Passwort nützt mir das herzlich wenig.

Eine emailadresse + Passwort kann durchaus auch wo anders als Logininformation gelten. Nur in dem Fall ermöglicht das ebend nicht den Zugriff auf das Emailkonto.
Und da schon bei einigen Shops, bei denen man sich mit der mail anmeldet die Logindaten verloren wurden, weiß ich ebend, dass meine Mailaddy bekannt ist.
Nur wünsche ich viel Spaß bei dem Bruteforce...

Nagrach 14 Komm-Experte - 2337 - 21. Januar 2014 - 16:33 #

Wird heute noch Bruteforce angewendet? Kann ich mir eigentlich nicht vorstellen...

Ist doch viel einfacher bei der NSA anzurufen^^

Name (unregistriert) 21. Januar 2014 - 19:36 #

Wenn du ein Passwort vor dir hast, dass in deinen Rainbows (mit verschiedenen Hashes) und in deinen Wörterbüchern nicht auftaucht und du willst da unbedingt ran an das Passwort, ja, dann brauchst du Brute.
Oder du hackst den Anbieter oder kaperst die Verbindung und schaust dir die Eingabe im Klartext an...

Kirkegard 19 Megatalent - 15931 - 21. Januar 2014 - 16:36 #

Sagt dir der Begriff "Eigenverantwortung" was?

Name (unregistriert) 22. Januar 2014 - 18:00 #

Wenn du mir den Begriff in dem Zusammenhang erklären magst, dann höre ich dir gerne zu.

Es gibt im Übrigen einen kleinen Nachtrag auf Golem. Es handelt sich NICHT nur um die Adressen von Emailpostfächern und deren Passwort. Sondern, was ich oben schon beschrieben habe, Emailadressen und ein Passwort für den Login bei anderen Diensten.

Und in diesem Fall würde ich mir durchaus wünschen, dass mir das BSI wenigstens einen Hinweiß darauf giebt, falls sie es wissen, wozu die Logininfos gehören.
Ich habe eine Adresse für Shops und eine für Registrierungen. Was ebend z.B. bedeutet, dass Email + ein Passwort für Amazon gilt und Email + ein anderes Passwort für einen anderen Shop.

Ich gehöre allerdings zu denen, die jedes mal ein anderes Passwort verwenden. Daher fände ich es schon gut, wenn das BSI darüber Informiert, welches Passwort und somit welcher Anbieter betroffen ist.

Ist für mich jetzt aber egal, meine Mailadresse ist nicht in der Liste. Dabei haben schon einige Anbieter sie "verloren". Dort habe ich meine Passwörter geändert. Was allerdings nicht dazu führt, dass ich gleichzeitig das Passwort meines Mailaccounts ändere, für das man selbst mit einem Supbercomputer noch ziemlich lange zum Bruten brauchen würde.
Und so lange ein Passwort nicht geknackt ist und der Account nicht aktiv und massiv angegriffen wird (Liste durchprobieren) ist es auch immer sehr Sinnfrei ein Passwort zu ändern. Es ändert sich entweder nichts oder man macht es unsicherer.

Daher ist der Tipp regelmäßig die Passwörter zu ändern ziemlicher Schwachsinn, wenn der eigene Rechner sauber bleibt, der Anbieter nicht gehackt wird und man überall ein einzigartiges und starkes Passwort verwendet.

vicbrother (unregistriert) 22. Januar 2014 - 20:43 #

Also das System des BSI hat ja ein Problem: Wenn jemand im Besitz des Zugangs zu der E-Mail-Adresse ist, dann ist es natürlich nur noch als GENIAL zu bezeichnen, wenn das BSI an diese Adresse eine Mail sendet. Der Täter könnte diese Mail automatisch abrufen und löschen.

Für uns gilt frei nach Faust: "Da steh ich nun, ich armer Tor und bin so klug als wie zuvor!"

Für das BSI gilt: "Ut desint vires tamen est laudanda voluntas..."

blobblond 19 Megatalent - 18584 - 23. Januar 2014 - 18:09 #

Was auch das BSI auch noch offen lässt,die Mailadresse kann auch durch Datendiebstahl bei Adobe,Sony und und ins Botnetzwerk gekommen sein,es muss sich noch nicht mal Maleware auf dem Rechner befinden.

"Ebenfalls ist möglich, dass Teile der Daten beim Hack eines Onlinedienstes erbeutet wurden und nun an verschiedenen anderen Diensten ausprobiert werden sollen. "
http://www.golem.de/news/bsi-warnung-fragen-und-antworten-zum-identitaetsdiebstahl-1401-104118.html

Wrongfifty 12 Trollwächter - 1148 - 21. Januar 2014 - 16:56 #

Kleine Geschichte in Sachen E-Mail:
Mein Arbeitskollege ist nach Kanada ausgewandert und hat vergessen bei Steam eine neue E-Mail einzutragen.
Er also good bye Deutschland und seine "deutsche"E-Mail"wurde gelöscht.
Er konnte weil er sein Passwort von Steam vergessen hatte Steam auch vergessen,weil die E-Mail Adresse gelöscht worden war.
Ich habe dann die selbe E-Mail Adresse angelegt die ihm gelöscht wurde und konnte seine Mails lesen(also auch Steam Account retten).Ich hätte im Leben nicht dran dedacht das sowas so einfach ist.
Das ganze hat mich sehr vorsichtig gemacht in Sachen E-Mail.

Barkeeper 16 Übertalent - 4285 - 21. Januar 2014 - 19:00 #

E-Mail ist nur ein Account.
Viel witziger wird es wenn du dir einfach mal die Domain der Konkurrenz kaperst. Z.B. über einen kleinen Rechtsstreit im Urheberrecht.

*zack* Hast du die gesamte Kommunikation der Konkurrenz ab dem Zeitpunkt der Inbesitznahme. (Sofern dein Mailserver die dann auch gleich annimmt.)

Was meinst du, weswegen Domain-Grabbing leider immer noch so ein einträgliches Geschäft ist.

http://de.wikipedia.org/wiki/Domaingrabbing

Anonhans (unregistriert) 22. Januar 2014 - 5:53 #

Würde mich ja jetzt doch mal interessieren, um welchen E-Mail Anbieter es da genau ging. Oder konntest du nur die Mails lesen, die an die Adresse geschickt wurden, nachdem er die gelöscht hat und du die neu angelegt hast?

Barkeeper 16 Übertalent - 4285 - 22. Januar 2014 - 13:24 #

Anonhans schrieb:
> Oder konntest du nur die Mails lesen, die an die Adresse geschickt wurden,
> nachdem er die gelöscht hat und du die neu angelegt hast?

Ja, so habe ich es verstanden. Alles andere wäre ein richtig grober Verstoß gegen das Bundesdatenschutzgesetzt, das Telekommunikationsgesetzt, Postgeheimnis und diverse andere Gesetze sicherlich auch.

Wrongfifty 12 Trollwächter - 1148 - 22. Januar 2014 - 16:05 #

Man konnte nur die neuen Mails lesen.

Skeptiker (unregistriert) 21. Januar 2014 - 16:57 #

Mir fehlen hier wichtige Hintergrundinfos, die das BSI leider verschweigt. Wurden die Passworte der E-Mail Konten mit Schadsoftware ermittelt und wenn ja, warum dann nur die Kennworte von E-Mails und nicht alle Kennworte, also auch Steam, Web-Shops, etc.
Welche Schadsoftware beschränkt sich denn nur auf Mail?
Und welche Betriebssysteme sind betroffen? Welche Virenscanner oder Spybots erkennen die Schadsoftware?
Wieso wird nicht viel dringender davor gewarnt, erst einmal den eigenen Rechner zu säubern, bevor man das neue Kennwort eingibt und damit den Hackern auch wieder verrät?
Oder wurden die Kennworte mit Brute-Force ermittelt?
Oder über Netzwerkzugriff auf den Mail-Ports?
Sind alle Email-Provider betroffen?
In der Vergangenheit gab es einmal Streit darüber, wie lange Bundesbehörden Zugangsdaten aufbewahren dürfen und deshalb stellt sich hier natürlich die Frage, ob das BSI meinen Zugriff auf die Seite auf Jahre hinaus archiviert.
Sicherheitsparanoiker haben ja sowieso ein eigenes Kennwort für das Mail-Konto und ändern dieses jetzt einfach, ohne auf der BSI-Seite Spuren zu hinterlassen! Aber wie gesagt, Kennwort ändern hilft wenig, wenn mein Rechner verseucht ist ...

Slaytanic 23 Langzeituser - P - 40715 - 21. Januar 2014 - 17:02 #

Laut Heise.de wird davon ausgegangen das der Rechner der betroffenen Personen verseucht ist.
("Über die von den Forschungseinrichtungen und Strafverfolgungsbehörden untersuchten Botnetze gibt es bisher keine weiteren Informationen. Betroffene Nutzer können sich momentan lediglich darüber im Klaren sein, dass ihre Computer mit Malware verseucht ist oder in der jüngeren Vergangenheit verseucht wurde. Es reicht also nicht, ausschließlich die E-Mail-Adresse beim BSI zu prüfen und daraufhin Zugangsdaten zu ändern.").

TSH-Lightning 19 Megatalent - P - 13068 - 21. Januar 2014 - 17:55 #

Ich weiß, dass irgendwann mal einer meiner Adressen durch einen gehackten Webshop bekannt wurde. SPAM bekomme ich aber äußerst selten darauf. Da das BSI meine IP + diese E-Mail-Adresse nicht kennen braucht hab ich das Passwort einfach direkt geändert. Die vom BSI betreiben Ihre Seite mit veralteten Apache Tomcat, erklären "DE-Mail" per Gesetz als "sicher" ohne Ende-zu-Ende-Verschlüsselung. Kurz die Inkompetenz hoch3. Vermutlich hat die NSA da garantiert ein halbes Dutzend Lücken in den Servern, so dass gerade die Nutzprofile mit IP und E-Mail wunderbar verknüpft werden können.

Einfach Rechner mit einer Linux-Live-CD booten und auf Maleware prüfen. Falls etwas gefunden wird Rechner neu aufsetzen (lassen) und Backup nutzen. Wenn kein Backup da, dann vorher Daten von einem Experten sicher lassen. Falls keine Malware gefunden wird, dann hat man auch kein Trojaner, der da PW ausspähen hätte können. Zur Sicherheit kann man aber trotzdem auf dem sauberen System (oder über die gebootete Live-CD) seine Passwörter ändern. Wenn jemand vergesslich ist, dann in nicht-digitaler-Form und händisch Verschlüsselt an einem sicher Ort hinterlegen.

Wer braucht schon das BSI?!

Barkeeper 16 Übertalent - 4285 - 21. Januar 2014 - 19:13 #

1. cd CATALINA_HOME/server/lib
2. jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties
3. Lustige Versionsnummer in den server.info String schreiben
4. jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
5. Tomcat sicherheitshalber restarten
6. Schauen wieviel super geschriebene "Websecurity-Scanner"-Software sich auf die Fresse legt :-)

Nur mal so: Versionsnummern müssen nicht zwangsläufig stimmen. ;-)

Aber beim BSI könnte es tatsächlich sein.

Nur auch dann gilt: Lieber eine alte getestete Software ohne bekannte Sicherheitslücken bzw. Indizien für unbekannte Sicherheitslücken (Zero-Day Exploits, etc.) als immer den neusten krassesten Scheiss.
Die Empfehlung immer die aktuellste Software zu verwenden taugt IMHO nur für Endbenutzer.

Ich als Admin von mehr als 1.000 Servern habe da andere Anforderungen.

Anonhans (unregistriert) 22. Januar 2014 - 6:19 #

Muss man grundsätzlich fast alles so unterschreiben :)
Allerdings stört mich folgender Satz: "Falls keine Malware gefunden wird, dann hat man auch kein Trojaner, der da PW ausspähen hätte können". "Auf Malware prüfen" ist zwar beliebig weit definierbar, aber man sollte sowas immer etwas vorsichtiger vermitteln. "Auf Malware prüfen" heißt für die meißten Menschen, dass man ein paar Tools drüberlaufen lässt, vielleicht mal in der Windows-Registry rumstöbert und im schlimmsten Fall Logs in Foren postet, damit Leute mit mehr Ahnung mal draufgucken. Selbst wenn das alles ohne böse Überraschungen erledigt wurde, ist das unter keinen Umständen eine 100%ige Garantie dafür, dass sich keine Malware auf dem Rechner befindet. Sicherheitstools laufen immer hinterher und selbst relativ weit verbreitete Malware kann heutzutage so komplex und versteckt sein, dass eigentlich nur ein Austausch der Festplatte (und selbst damit ist man nich ganz sicher 100%ig sauber) für kurzzeitige Beruhigung sorgen kann :D

Roherfisch (unregistriert) 21. Januar 2014 - 17:23 #

Ein Hoch auf 2 Faktor authentifizierung ;)

SicherbisZumEnde (unregistriert) 21. Januar 2014 - 19:56 #

Was in vielen Fällen das Problem auch nur verlagert, jedoch nicht löst. Jedenfalls verhindert es Identitäts-Diebstahl nicht langfristig und macht Dich unter Umständen sogar noch zum Mithaftenden, falls dadurch jemand geschädigt wird.

Bedenke wohl, was Du Dir wünscht, es könnte Dir gewährt werden ;)

Zaunpfahl 19 Megatalent - P - 15224 - 21. Januar 2014 - 17:31 #

Ok, Virenscanner anwerfen und Passwörter ändern - absolut empfehlenswerte Maßnahmen. Aber wieso sollte ich meine Adresse noch beim BSI hinterlassen?

Naja, dankenswerterweise ist die Seite ohnehin nicht erreichbar, hihi.

Was? sdas (unregistriert) 21. Januar 2014 - 17:33 #

Reicht es nicht auch wenn man sein email passwort einfach ändert wenn die email betroffen sein könnte?

MrFawlty 17 Shapeshifter - P - 7317 - 21. Januar 2014 - 22:01 #

Wenn Schadsoftware (z.B. Trojaner mit keylogger) auf deinem Computer ist, teilt diese dem Hacker sofort dein neues Passwort mit. Das bringt also nichts.
Du musst also zuerst sicher sein, dass dein Computer sauber ist. Am besten mit einem Virenscanner von CD / USB booten und alles gründlich scannen lassen. Wenn es keine Funde gibt, danach alle Passwörter ändern. Falls was gefunden wird, muss das erst entfernt werden.

blobblond 19 Megatalent - 18584 - 21. Januar 2014 - 17:41 #

Wem wunders wenn das beliebste Passwort 2013 "123456" war,gefolgt von "password" und "12345678"...

http://splashdata.com/press/worstpasswords2013.htm

"password1","adobe123","photoshop","trustno1" haben es auch in die Top25 geschafft.

Name (unregistriert) 21. Januar 2014 - 19:29 #

Du hast vergessen zu erwähnen, dass es sich bei dem Adobezeug vor allem um einen Zwangsaccount handelte den man benötigte um ein mal was zu beziehen.
Wenn du so willst, so war das ein Wegwerfaccount. Da würde ich auch nur 000000 nehmen.
Als wenn mich interessiert, was mit dem Ding dann später passiert.

icezolation 19 Megatalent - 19180 - 22. Januar 2014 - 14:35 #

http://howsecureismypassword.net/

Schick umgesetzte Hilfe für passwortfaule Menschen ^^

Darth Spengler 18 Doppel-Voter - 9295 - 21. Januar 2014 - 18:12 #

Oh nein, meine 700 Spammails der letzten Jahre ;(

vicbrother (unregistriert) 21. Januar 2014 - 20:55 #

In meinem Spamordner liegen >14.000 als Futter für die Spamerkennung...

Darth Spengler 18 Doppel-Voter - 9295 - 23. Januar 2014 - 18:08 #

Wenn Spam irgendwann mal was Wert ist bist du ein reicher Mann ^^

Barkeeper 16 Übertalent - 4285 - 21. Januar 2014 - 19:07 #

Kudos für Logauszug von iptables! :-)

Und Abzüge dafür das es höchstwahrscheinlich aus /var/log/messages oder /var/log/kern.log stammt.
Das ist doof, weil die Log-Facility von iptables in den meisen Distris so konfiguriert ist, das iptables Nachrichten in 2 Logs geschrieben werden. Eben erwähnt obige. Da werden aus 5GB Firewall-Logfiles pro Tag dann mal eben 10GB.

Will man nicht. Aus Erfahrung :-)

Lacerator 16 Übertalent - 4514 - 22. Januar 2014 - 21:24 #

Bitte, wie meinen? :)

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit