Millionenfacher Datenklau: Provider sollen Opfer des Identitätsdiebstahls informieren
Das BSI geht nach dem Fund von 18 Millionen Mail-Adressen und Passwörtern einen Schritt weiter als beim vorigen Mal: Die Mail-Provider sollen Ihre Kunden über das Sicherheitsproblem informieren – das geschieht offenbar per E-Mail an den gehackten Account.
- Ronald Eikenberg
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt die Daten der von dem millionenfachen Identitätsdiebstahl betroffenen Nutzer an die jeweiligen Provider weiter. Diese sollen ihre Kunden dann über das Sicherheitsproblem informieren. Dies gab das BSI am heutigen Montag bekannt. Diese Idee hat allerdings einen Haken: Die Nutzer werden per Mail informiert – an ihren potenziell gehackten Account.
Insgesamt 21 Millionen Datensätze, bestehend aus jeweils einer E-Mail-Adresse und einem Passwort, hat die Staatsanwaltschaft Verden (Aller) dem BSI überlassen. Nach "technischer Analyse und Bereinigung" verblieben noch 18 Millionen Datensätze, drei Millionen davon lassen sich deutschen Mail-Providern zuordnen. Bei den Providern handelt es sich um Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Die Deutsche Telekom erklärte, dass sich 87.000 T-Online-Kunden unter den Opfern befinden, bei Vodafone sind es 80.000 Betroffene.
Provider informieren Kunden per Mail
Das BSI hat den Providern die Mail-Adressen zur Verfügung gestellt, damit diese ihre Kunden informieren können. Die Sache hat allerdings einen Haken: Die Kunden werden offenbar per E-Mail informiert, und zwar an den potenziell gehackten Account. Auf Anfrage von heise Security bestätigten die Deutsche Telekom und Vodafone, dass die Kunden per Mail benachrichtigt werden. Die Antworten der anderen Provider stehen noch aus.
Derzeit ist noch unklar, woher die Daten stammen und zu welchen Diensten sie passen. Es kann sich also um die Login-Daten zu den Mail-Accounts handeln, an die die Sicherheitswarnungen der Provider geschickt werden. Damit kann nicht sichergestellt werden, dass der Kunde die Mail auch tatsächlich erhält. Schließlich könnte ein Angreifer sie vorher löschen, um zu verhindern, dass sein Opfer gewarnt wird und das Passwort ändert.
BSI lädt erneut zum Selbsttest
Darüber hinaus hat das BSI die Daten in seinen Anfang des Jahres eingerichteten Prüfdienst eingepflegt, über den der Nutzer selbst checken kann, ob er zu den Betroffenen gehört. Nach der Eingabe einer Mail-Adresse schickt das BSI eine Mail dorthin, sofern sich diese in dem aufgespürten Datensatz befindet.
Wer nicht betroffen ist, erfährt das nur durch das Ausbleiben der Mail. Insbesondere wer einen Mail-Account bei einem Provider hat, der seine Kunden nicht informiert, sollte den Selbsttest durchführen. Das gilt freilich auch für Nutzer, die einen eigenen Mailserver betreiben.
Herkunft weiter unklar
Das BSI geht davon aus, dass die Daten aus mehreren Quellen zusammengesetzt wurden. Eine mögliche Quelle sind Trojaner, die sämtliche Tastatureingaben des Opfers aufzeichnen und geradewegs an die Ganoven übertragen. " Es ist nicht auszuschließen, dass diese Schadsoftware auch zu anderen Zwecken genutzt werden kann, etwa zur Ausspähung weiterer Daten auf dem Computer oder zur Manipulation von Online-Transaktionen, die die Anwender etwa beim Online-Shopping durchführen", warnt das BSI.
Passwörter ändern
Wer betroffen ist, soll seinen Rechner einem Virencheck unterziehen und anschließend das "E-Mail-Passwort sowie auch alle anderen Passwörter ändern, die er zur Anmeldung bei Sozialen Netzwerken, Online-Shops und anderen Online-Diensten nutzt". Nach Angaben des BSI werden die Datensätze derzeit aktiv dazu ausgenutzt, um über Botnetze Spam-Mails zu versenden. Die infizierten Bot-Rechner versuchen sich mit den Login-Daten bei den Mail-Providern einzuloggen. Im Erfolgsfall setzen sie die unerwünschten Werbebotschaften ab. (rei)
