BSI-Sicherheitstest: Deutsche Provider informieren ihre Kunden selbst

Nutzer, deren Onlinekonten gehackt wurden, sollen demnächst eine Mail ihres Providers erhalten. Der frühere Sicherheitstest des BSI wird zudem um neue Daten ergänzt.

Artikel veröffentlicht am ,
BSI-Präsident Michael Hange informiert über den neuen Fall von Identitätsdiebstahl.
BSI-Präsident Michael Hange informiert über den neuen Fall von Identitätsdiebstahl. (Bild: ntv.de/Screenshot: Golem.de)

Millionen Nutzer gehackter Onlinekonten erhalten seit Montagmorgen Mails von ihren Providern. Die Betroffenen würden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit den Providern Deutsche Telekom, Freenet, Gmx.de, Kabel Deutschland, Vodafone und Web.de informiert, teilte die Bonner Behörde am Montag mit. Zudem stelle das BSI wieder einen webbasierten Sicherheitstest zur Verfügung. In der vergangenen Woche war bekanntgeworden, dass die Staatsanwaltschaft im niedersächsischen Verden bei Ermittlungen zu Botnetzen auf einen neuen Datensatz mit Millionen E-Mail-Adressen samt Passwörtern gestoßen war.

Stellenmarkt
  1. HR IT-Spezialist (m/w/d)
    RATIONAL Aktiengesellschaft, Landsberg am Lech
  2. Inhouse Consultant (m/w/d) Salesforce CRM
    Mainova AG, Frankfurt am Main
Detailsuche

Das BSI erhielt nach eigenen Angaben die Datei mit ursprünglich rund 21 Millionen Adressen und Passwörtern am 27. März 2014 von der Staatsanwaltschaft. "Nach technischer Analyse und Bereinigung durch das BSI verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen", heißt es weiter. Vor allem die Lokalisierung der Adressen sei sehr zeitaufwendig gewesen. Mit den E-Mail-Adressen und den zugehörigen Passwörtern versuchten Kriminelle, sich mit Hilfe eines Botnetzes in E-Mail-Accounts einzuloggen und diese für den Versand von Spammails zu missbrauchen. Das Botnetz sei noch in Betrieb, die gestohlenen Identitäten würden aktiv genutzt, schreibt das BSI. Es sei davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Onlineaccounts wie Onlineshops, Foren oder sozialen Netzwerken handelt.

Provider erhalten Daten vom BSI

Das BSI stellte nach eigenen Angaben den deutschen Providern die E-Mail-Adressen zur Verfügung, die in ihren Domänenbereich fielen. "Hierbei handelt es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können", teilt die Behörde mit. Nutzer, deren E-Mail-Account nicht bei den genannten Providern gehostet wird, könnten mit Hilfe des bereits im Januar vom BSI bereitgestellten webbasierten Sicherheitstests unter www.sicherheitstest.bsi.de überprüfen, ob sie von dem Identitätsdiebstahl betroffen sind. Der neue Datensatz sei in den bestehenden Sicherheitstest eingepflegt worden.

Auf einer Pressekonferenz am Montagmittag gab das BSI weitere Details bekannt. Die Betroffenen würden von den Providern seit 9:00 Uhr informiert, sagte BSI-Präsident Michael Hange. Auch stehe der aktualisierte BSI-Sicherheitstest seit diesem Zeitpunkt zur Verfügung. Auf den Test müssen unter anderem 120.000 Nutzer mit eigenen Domains zurückgreifen. Zudem kooperierte das BSI nur mit solchen Providern, bei denen mehr als 20.000 Nutzer betroffen seien und die sich zu dem Verfahren bereiterklärt hätten. Über das Bundeskriminalamt (BKA) seien auch Polizeibehörden anderer Länder informiert worden.

Kritik an Onlineanbietern

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
Weitere IT-Trainings

Das BSI geht offenbar davon aus, dass es den Kriminellen auch gelungen ist, die Datenbanken von Internetanbietern wie Onlineshops zu hacken. Die 21 Millionen Daten stammten vermutlich nicht von einem einzelnen Angriff, sondern seien aus verschiedenen Angriffen zusammengestellt worden. Es sei davon auszugehen, dass nicht nur die vom infizierten Botnetz infizierten Clients die Daten geliefert hätten. Hange appellierte daher an die Anbieter, die Daten ihrer Kunden nur gehasht abzuspeichern, damit die Passwörter nicht in die Hände von Kriminellen gelangen können.

Verbraucherschutzminister Heiko Maas (SPD) hatte zuletzt ebenfalls mehr Anstrengungen von den Onlineanbietern verlangt. "Die Verbraucher haben ein Anrecht darauf, dass ihre Daten und Passwörter bei digitalen Dienstleistern so sicher wie möglich sind", sagte er Spiegel Online. Angesichts der bekanntgewordenen Fälle seien die Internetanbieter in der Pflicht, mehr zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun. Das liege auch in deren eigenem Interesse: "Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen finden", sagte Maas.

Nachtrag vom 7. April 2014, 12:30 Uhr

Wir haben Angaben aus der Pressekonferenz des BSI und Aussagen von Verbraucherschutzminister Maas ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Spaghetticode 09. Apr 2014

In der Praxis gibt es diese 15-Minuten-Sperre seit einigen Monaten nicht mehr. Im...

johnmcwho 08. Apr 2014

Hab es mal die letzte Zeit ausgetestet und festgestellt es handelt sich um zumeist...

stuempel 08. Apr 2014

"Vodafone Sicherheitswarnung Warnung vor gehackten E-Mail-Postfächern Sehr geehrte E-Mail...

monkeybrain 08. Apr 2014

Er geht davon aus, dass das erstellen und löschen des Alias weniger aufwendig ist, als...

Kaworu 07. Apr 2014

Zumindest web.de und gmx.net "informieren" mich im Wochentakt mehrmals - da wird diese...



Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Hohe Kosten, halbherzige Umsetzung

Die digitalen Tools zur Pandemiebekämpfung wie die Corona-Warn-App sind nicht billig. Gerade deshalb sollten sie sinnvoll und effektiv genutzt werden.
Ein IMHO von Friedhelm Greis

Corona-Warn-App: Hohe Kosten, halbherzige Umsetzung
Artikel
  1. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

  2. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  3. Shopping: Google legt Einspruch gegen 2,42-Milliarden-Strafe ein
    Shopping
    Google legt Einspruch gegen 2,42-Milliarden-Strafe ein

    Nun muss der EuGH entscheiden, ob Google mit der Anzeige seiner Shopping-Angebote in der Suche seine Marktmacht missbraucht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /