Millionenfacher Identitätsklau: "Fiktive" Mail-Adressen in BSI-Sammlung

Inhaltsverzeichnis

Die Anfang der Woche in den Blickpunkt der Öffentlichkeit gerückte Datensammlung des BSI enthält offenbar eine Menge Datenmüll. Die behördliche E-Mail mit der entsprechenden Warnung ist bei diversen von der iX-Redaktion eingerichteten Freemailer-Adressen eingegangen, die lediglich dem Einsammeln von Spam dienen, darunter bei web.de und freenet.

Nicht geschützt

Von einem Identitätsdiebstahl kann in diesen Fällen keine Rede sein, denn die iX setzt die Spamfallen rein passiv ein und niemals als Benutzernamen für Online-Dienste. Bereits nach einer Handvoll Stichproben lagen mehrere positive Ergebnisse vor. Außerdem trafen etliche E-Mails ein, die offenbar von unbekannten Dritten auf der Test-Webseite des BSI ausgelöst worden waren. Manche Accounts erhielten sogar mehrere E-Mails innerhalb weniger Minuten. Wie ein weiterer Test mit dem Kommandozeilen-Werkzeug wget ergab, ist die BSI-Webseite zudem offenbar nicht gegen automatisierte Abfragen geschützt.

Ein Identitätsdiebstahl in großem Ausmaß stünde zu befürchten, wenn zum Beispiel Kundendaten direkt bei den betreffenden Mail-Providern abgegriffen werden. Doch das hält das BSI selbst für unwahrscheinlich: "Nach den uns vorliegenden Informationen gibt es bisher keinen Anhaltspunkt dafür, dass Nutzerdaten direkt bei Providern ausspioniert wurden. Da die E-Mail-Adresse [...]@web.de gleich mehrfach in den gefundenen Daten vorkommt, liegt [...] eher die Vermutung nahe, dass die Adresse von verschiedenen Nutzern als "fiktive" Adresse bei der Registrierung für einen Onlinedienst eingegeben wurde."

Von den Empfängern der mehr als 1,3 Millionen E-Mails, die laut BSI bis zum gestrigen Donnerstagnachmittag versendet worden waren, nimmt das BSI an, "dass sie in aller Regel ihre eigene, also eine tatsächlich genutzte Mailadresse eingeben haben". Auch die Spamfallen im BSI-Datenbestand sind jedoch tatsächlich im Einsatz, stehen aber keineswegs für einen Identitätsdiebstahl.

Grobe Schätzung

Die Vermutung der iX, dass die Daten zum großen Teil frei erfunden sind, weist die Behörde jedoch zurück. Dennoch erscheint die Zahl von 16 Millionen gestohlenen "Identitäten" als sehr grobe Schätzung des BSI, solange es nicht offenlegt, über welche Art von Daten es verfügt und auf welche Weise die Adressensammlung zustande kam. Sie könnte zum Beispiel Datensätze von Brute-Force-Angriffen enthalten, mit denen die Täter massenhaft Username-Passwort-Kombinationen ausprobieren, die aber zum größten Teil ungültig sind.

Konkretere Anhaltspunkte erhalten auch die zahllosen Empfänger der Warn-Mails nicht. Es heißt lediglich: "Die von Ihnen angegebene E-Mail-Adresse ... wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst."

Die BSI-Warnung kann vielmehr als Musterbeispiel herhalten, wie eine sicherheitsrelevante E-Mail eben nicht beschaffen sein sollte. So beginnt sie mit einer unpersönlichen Anrede, erklärt die Abkürzung "BSI" nicht und enthält kein Impressum. Ein Sicherheitscode im Betreff, der mit dem auf der Test-Seite ausgebenen übereinstimmt, soll die Empfänger vor gefälschten E-Mails schützen. Doch wer den Code nach längerer Wartezeit vergessen oder die Aktion gar nicht selbst ausgelöst hat, könnte eine vermeintliche BSI-Mail dennoch öffnen und eventuell auf schädliche Inhalte oder Links hereinfallen. Sinnvoller als der Umweg über eine fälschbare E-Mail wäre es, die Prüfung komplett auf der Webseite stattfinden zu lassen.

Chance für Trittbrettfahrer

Besonders heikel erscheint die Aufforderung, ein GPG-Zertifikat von der Webseite herunterzuladen, um die Authentizität der E-Mail prüfen. Es scheint nur eine Frage der Zeit, dass Trittbrettfahrer mit nachgemachten Mails und Webseiten aufspringen, die die Neugierde der Empfänger dafür ausnutzen, Malware zu verbreiten. Wer auf Sicherheit Wert legt, sollte sein Virenschutzprogramm ohnehin aktuell halten und seine Passwörter gelegentlich ändern – auch ohne eine Webseite von zweifelhaftem Nutzen zu besuchen. (un)