Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagiert auf den aktuellen Datenklau von 18 Millionen Mail-Adressen und Passwörtern mit einer neuen Maßnahme. Die Mail-Provider werden aufgefordert, ihre Kunden über das Sicherheitsproblem zu informieren. Dies soll per E-Mail an den betroffenen Account geschehen.
Diese sollen ihre Kunden dann über das Sicherheitsproblem informieren. Dies gab das BSI am heutigen Montag bekannt. Diese Idee hat allerdings einen Haken: Die Nutzer werden per Mail informiert ? an ihren potenziell gehackten Account.
Insgesamt 21 Millionen Datensätze, bestehend aus jeweils einer E-Mail-Adresse und einem Passwort, hat die Staatsanwaltschaft Verden (Aller) dem BSI überlassen. Nach "technischer Analyse & Bereinigung" verblieben noch 18 Millionen Datensätze, drei Millionen davon lassen sich deutschen Mail-Providern zuordnen. Bei den Providern handelt es sich um Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Die Deutsche Telekom erklärte, dass sich 87․000 T-Online-Kunden unter den Opfern befinden, bei Vodafone sind es 80․000 Betroffene.
Provider infomieren Kunden per Mail
Das BSI hat den Providern die Mail-Adressen zur Verfügung gestellt, zu diesem Zweck diese ihre Kunden informieren können. Die Sache hat allerdings einen Haken: Die Kunden werden offenbar per E-Mail informiert und zwar an den potenziell gehackten Account. Auf Anfrage von heise Security bestätigten die Deutsche Telekom & Vodafone. Dass Kunden per Mail benachrichtigt werden. Die Antworten der anderen Provider stehen noch aus.
Derzeit ist noch unklar woher die Daten stammen und zu welchen Diensten sie passen. Es kann sich also um die Login-Daten zu den Mail-Accounts handeln, an die welche Sicherheitswarnungen der Provider geschickt werden. Damit kann nicht sichergestellt werden – dass der Kunde die Mail ebenfalls tatsächlich erhält. Schließlich könnte ein Angreifer sie vorher löschen um zu verhindern, dass sein Opfer gewarnt wird und das Passwort ändert.
BSI lädt erneut zum Selbsttest
Darüber hinaus hat das BSI die Daten in seinen Anfang des Jahres eingerichteten Prüfdienst eingepflegt über den der Nutzer selbst checken kann ob er zu den Betroffenen gehört. Nach der Eingabe einer Mail-Adresse schickt das BSI eine Mail dorthin, vorausgesetzt sich diese in dem aufgespürten Datensatz befindet.
Wer nicht betroffen ist erfährt das nur durch das Ausbleiben der Mail. Insbesondere wer einen Mail-Account bei einem Provider hat der seine Kunden nicht informiert, sollte den Selbsttest durchführen. Das gilt freilich auch für Nutzer – die welche eigenen Mailserver betreiben.
Herkunft weiter unklar
Das BSI geht davon aus, dass die Daten aus mehreren Quellen zusammengesetzt wurden. Eine mögliche Quelle sind Trojaner – die sämtliche Tastatureingaben des Opfers aufzeichnen und geradewegs an die Ganoven übertragen. " Es ist nicht auszuschließen, dass diese Schadsoftware auch zu anderen Zwecken genutzt werden kann, etwa zur Ausspähung weiterer Daten auf dem Computer oder zur Manipulation von Online-Transaktionen die die Anwender etwa beim Online-Shopping durchführen", warnt das BSI.
Passwörter ändern
Wer betroffen ist, soll seinen Rechner einem Virencheck unterziehen und anschließend das "E-Mail-Passwort und auch auch alle anderen Passwörter ändern die er zur Anmeldung bei Sozialen Netzwerken, Online-Shops und anderen Online-Diensten nutzt". Nach Angaben des BSI werden die Datensätze derzeit aktiv dazu ausgenutzt um über Botnetze Spam-Mails zu versenden. Die infizierten Bot-Rechner versuchen sich mit den Login-Daten bei den Mail-Providern einzuloggen. Im Erfolgsfall setzen sie die unerwünschten Werbebotschaften ab.
Kommentare