BSI-Warnung Hacker knacken 16 Millionen Online-Nutzerkonten

mandy28

Deutsche Behörden sind auf einen riesigen Datensatz von gestohlenen Nutzerkonten gestoßen. Dank des BSI kann jeder Internet-Nutzer sofort überprüfen, ob er von der Attacke betroffen ist.Mehrere Millionen Zugangsdaten für Online-Dienste sind nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gekapert wurden. Forschungseinrichtungen und Strafverfolgungsbehörden seien auf 16 Millionen kompromittierte Benutzerkonten gestoßen, teilte das BSI mit.

Die Datensätze enthielten meist eine E-Mail-Adresse und ein Passwort. Die Forscher und Strafverfolger hätten die Daten an das BSI übergeben. Die Behörde hat eine Web-Seite eingerichtet, auf der Nutzer überprüfen können, ob sie betroffen sind. Am Dienstagmittag war sie allerdings wegen Überlastung nicht mehr erreichbar.

Internetnutzer können dort ihre E-Mail-Adresse eingeben, die dann mit den Daten abgeglichen wird. Bei einem Treffer bekommen die Nutzer eine Nachricht an die angegebene Mailadresse. "Wenn das passiert, ist Ihr Rechner wahrscheinlich mit einer Schadsoftware infiziert", sagte Tim Griese vom BSI.

Die Nachricht des BSI enthalte Tipps, was in diesem Fall zu tun sei. Mehr als die Hälfte der Mailadressen endeten auf .de und gehörten daher wahrscheinlich Internetnutzern aus Deutschland, sagte Griese.

Betroffene sollten ihren Computer säubern

Die Zugangsdaten seien bei der Analyse von Botnetzen aufgetaucht. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden.

Kriminelle benutzen die Zombie-Rechner beispielsweise, um massenhaft ungewollte E-Mails zu versenden. Weil noch ermittelt werde, wollte das BSI keine weiteren Angaben zur Quelle der Daten machen.

Die Datensätze könnten auf gekaperte E-Mail-Konten hindeuten. Doch die Kombination aus Mail-Adresse und Passwort wird häufig auch zum Anmelden bei anderen Dienste benutzt, etwa für Online-Netzwerke oder Shopping-Seiten.

Betroffene sollten ihren Computer digital säubern und Zugangsdaten für ihre Online-Profile ändern, empfiehlt das BSI.

Avira Free Antivirus 2013:
Ausgerechnet beim Erkennen von bislang unbekannten Schädlingen machte Avira keine gute Figur. Wer die Software nutzt, hat ein etwa 15-mal höheres Infektionsrisiko als mit einer kostenpflichtigen Security-Suite. Bekannte Viren erfasste und blockierte Avira dagegen recht zuverlässig. Ebenfalls gut: Beim PC-Start, beim Surfen im Internet oder bei der Arbeit mit Dateien sorgte die Software nur für geringe Verzögerungen. Als einziges Gratis-Programm bot Avira gute Schutzfunktionen fürs Online-Banking. Eine Firewall besitzt die Software jedoch nicht.
Testnote: 3,15 ("befriedigend")
Download: Avira Free Antivirus herunterladen

BSI-Warnung : Hacker knacken 16 Millionen Online-Nutzerkonten - Nachrichten Wirtschaft - Webwelt & Technik - DIE WELT

Monarch

Also wenn ich aktive Emailadressen sammeln wollte, würde ich das genau so machen

Und wenn man mal mit nslookup verfolgt, wo denn sicherheitstest.bsi.de hinführt, komm ich doch echt ins grübeln:
85.214.10.5 - IP-Adresse - utrace - IP-Adressen und Domainnamen lokalisieren

Warum sollte das BSI seine Seiten bei Strato Hosten?

Die Seite http://www.bsi.de führt übrigens ganz woanders hin:
77.87.229.76 - IP-Adresse - utrace - IP-Adressen und Domainnamen lokalisieren

Das BSI ist also durchaus in der Lage, Seiten selbst zu hosten. Und nun sollen sie die Datenbankauswertung auf einen einfachen Webhoster übertragen? Sorry, aber ich würde da auf gar keinen Fall auch nur eine einzige meine Emailadressen angeben

**BurnStar**

Naja die Seite ist auf deren Homepage verlinkt. Passt also schon.

Monarch

Und? Wir reden hier vom BSI und dann gibts so eine Datenschutzerklärung?:

Zitat

1. Diensteanbieter und verantwortliche Stelle
Diensteanbieter und verantwortliche Stelle für diese Webseite ist das Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 185-189, 53175 Bonn, E-Mail-Adresse: &quot;[email protected]&quot;[/email].
2. Erhebung, Verarbeitung und Nutzung personenbezogener DatenDer auf dieser Webseite angebotene Sicherheitstest kann nur bei Angabe einer E-Mail-Adresse genutzt werden, da diese nur so mit den betroffenen E-Mail-Adressen abgeglichen werden kann. Bei Ihrer Nutzung des Sicherheitstests wird die Anzahl der Nutzer der Webseite sowie die Anzahl der versendeten E-Mails erfasst, um den Umfang der Nutzung der Webseite statistisch zu erfassen. Zur Abwehr des Missbrauchs des Dienstes werden zudem kurzfristig für die Dauer des Sicherheitstests Hashes von IP-Adressen sowie von E-Mail-Adressen erhoben. Sämtliche personenbezogene Daten, die bei der Nutzung des Tests erhoben werden, werden vollständig gelöscht, sobald sie zur Durchführung des Tests nicht mehr benötigt werden. Die angegebene E-Mail-Adresse wird zu keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet.

Das BSI gibt sich selbst als Diensteanbieter an, Strato wird mit keinem Wort erwähnt. Auch nicht, dass die Daten offensichtlich nicht nur beim BSI landen. Und das soll so vom Bundesdatenschutzbeautragten abgesegnet sein? Na dann gute Nacht Marie...

Du kannst mich gern Alluhutträger nennen, aber ich trau dem ganzen kein bisschen über den Weg. Aber muss ja jeder selbst wissen, wem er wann seine Daten zur Verfügung stellt. Man könnte aber auch ganz einfach die eigenen Passwörter ändern, ist immer eine gute Idee wenn Zweifel an der Sicherheit der eigenen Zugangsdaten aufkommen.

Badly

Eine Email hats bei mir auch erwischt.
Irgendwie bin ich mir aber über die Tragweite nicht ganz sicher.
Die gehen davon aus, dass die Email - PW Kombi auch für z.B. Amazon verwendet wird.
Sofern ich die Kombi nur beim Emailanbieter benutze - bin ich nach der Passwortänderungen SAFE?

Alles sehr suspekt.... 16 Millionen.
Zumindest verdient Antivir an mir. Lizenz gleich mal um ein Jahr verlängert.

Wir langsam affig mit dem Internet. Ich würde mich mal als sicheren User bezeichnen. Keine offenen Ports, Firewall, Antivir, Malewarescanner aktiv.
Und trotzdem...

@ Monarch.
Finds gut, dass auch jemand über den Tellerrand hinaus denkt. Da wäre ich in meiner Gutgläubigkeit auch nicht drauf gekommen. Strato und Co.

Der Inhalt kann nicht angezeigt werden, da er nicht mehr verfügbar ist.

mandy28

22.01.14
Datendiebstahl
Bundesamt weist jegliche Schuld von sich

Datendiebstahl : Bundesamt weist jegliche Schuld von sich - Nachrichten Wirtschaft - Webwelt & Technik - DIE WELT

Blechverdreher

Da habe ich was für dich.
CHIPDRIVE® MyKey? Passwort-Manager Formular-Manager Stick im Conrad Online Shop | 971780
Der Online Passwort Generator auf www.wenzlaff.de

Aber ich denk mal das kennste schon

Blech

EverythingZen · Lest mal den Blog von Felix, 22.01.2014 Fefes Blog

Lest mal den Blog von Felix, 22.01.2014

Fefes Blog

Homer

[h=1]Millionenfacher Identitätsklau: "Fiktive" Mail-Adressen in BSI-Sammlung[/h] Nicht jede E-Mail-Warnung des Bundesamts für Sicherheit in der Informationstechnik lässt auf einen geknackten Online-Zugang schließen. Laut BSI könnte der Datenberg "fiktive" Adressen enthalten, und die sogar mehrfach.
Die Anfang der Woche in den Blickpunkt der Öffentlichkeit gerückte Datensammlung des BSI enthält offenbar eine Menge Datenmüll. Die behördliche E-Mail mit der entsprechenden Warnung ist bei diversen von der iX-Redaktion eingerichteten Freemailer-Adressen eingegangen, die lediglich dem Einsammeln von Spam dienen, darunter bei web.de und freenet.
[h=5]Nicht geschützt[/h] Von einem Identitätsdiebstahl kann in diesen Fällen keine Rede sein, denn die iX setzt die Spamfallen rein passiv ein und niemals als Benutzernamen für Online-Dienste. Bereits nach einer Handvoll Stichproben lagen mehrere positive Ergebnisse vor. Außerdem trafen etliche E-Mails ein, die offenbar von unbekannten Dritten auf der Test-Webseite des BSI ausgelöst worden waren. Manche Accounts erhielten sogar mehrere E-Mails innerhalb weniger Minuten. Wie ein weiterer Test mit dem Kommandozeilen-Werkzeug wget ergab, ist die BSI-Webseite zudem offenbar nicht gegen automatisierte Abfragen geschützt.

Ein Treffer in der Datenbank des BSI muss nicht heißen, dass die digitale Identität kompromittiert ist.
Bild: dpa Ein Identitätsdiebstahl in großem Ausmaß stünde zu befürchten, wenn zum Beispiel Kundendaten direkt bei den betreffenden Mail-Providern abgegriffen werden. Doch das hält das BSI selbst für unwahrscheinlich: "Nach den uns vorliegenden Informationen gibt es bisher keinen Anhaltspunkt dafür, dass Nutzerdaten direkt bei Providern ausspioniert wurden. Da die E-Mail-Adresse [...]@web.de gleich mehrfach in den gefundenen Daten vorkommt, liegt [...] eher die Vermutung nahe, dass die Adresse von verschiedenen Nutzern als "fiktive" Adresse bei der Registrierung für einen Onlinedienst eingegeben wurde."

Von den Empfängern der mehr als 1,3 Millionen E-Mails, die laut BSI bis zum gestrigen Donnerstagnachmittag versendet worden waren, nimmt das BSI an, "dass sie in aller Regel ihre eigene, also eine tatsächlich genutzte Mailadresse eingeben haben". Auch die Spamfallen im BSI-Datenbestand sind jedoch tatsächlich im Einsatz, stehen aber keineswegs für einen Identitätsdiebstahl.
[h=5]Grobe Schätzung[/h] Die Vermutung der iX, dass die Daten zum großen Teil frei erfunden sind, weist die Behörde jedoch zurück. Dennoch erscheint die Zahl von 16 Millionen gestohlenen "Identitäten" als sehr grobe Schätzung des BSI, solange es nicht offenlegt, über welche Art von Daten es verfügt und auf welche Weise die Adressensammlung zustande kam. Sie könnte zum Beispiel Datensätze von Brute-Force-Angriffen enthalten, mit denen die Täter massenhaft Username-Passwort-Kombinationen ausprobieren, die aber zum größten Teil ungültig sind.

Konkretere Anhaltspunkte erhalten auch die zahllosen Empfänger der Warn-Mails nicht. Es heißt lediglich: "Die von Ihnen angegebene E-Mail-Adresse ... wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst."

Die BSI-Warnung kann vielmehr als Musterbeispiel herhalten, wie eine sicherheitsrelevante E-Mail eben nicht beschaffen sein sollte. So beginnt sie mit einer unpersönlichen Anrede, erklärt die Abkürzung "BSI" nicht und enthält kein Impressum. Ein Sicherheitscode im Betreff, der mit dem auf der Test-Seite ausgebenen übereinstimmt, soll die Empfänger vor gefälschten E-Mails schützen. Doch wer den Code nach längerer Wartezeit vergessen oder die Aktion gar nicht selbst ausgelöst hat, könnte eine vermeintliche BSI-Mail dennoch öffnen und eventuell auf schädliche Inhalte oder Links hereinfallen. Sinnvoller als der Umweg über eine fälschbare E-Mail wäre es, die Prüfung komplett auf der Webseite stattfinden zu lassen.
[h=5]Chance für Trittbrettfahrer[/h] Besonders heikel erscheint die Aufforderung, ein GPG-Zertifikat von der Webseite herunterzuladen, um die Authentizität der E-Mail prüfen. Es scheint nur eine Frage der Zeit, dass Trittbrettfahrer mit nachgemachten Mails und Webseiten aufspringen, die die Neugierde der Empfänger dafür ausnutzen, Malware zu verbreiten. Wer auf Sicherheit Wert legt, sollte sein Virenschutzprogramm ohnehin aktuell halten und seine Passwörter gelegentlich ändern – auch ohne eine Webseite von zweifelhaftem Nutzen zu besuchen.

Quelle: heise.de

Gruß: Homer

Komposter

Ich verwende zwar eine eMail-Adresse für die Anmeldung auf mehreren Webseiten / Portalen / Online-Shops ... aber immer mit einem individuellen Kennwort.

Preisfrage: Welche Anmeldung sollte ich denn nun ändern?

Würde ich alle ändern, hätte ich einiges zu tun und mir auch einiges zu merken. Hätte mir das BSI zumindest einen Hinweis auf das bekannt gewordene Kennwort gegeben, würde mich das viel weiter bringen....

mandy28

Muss jeder selbst wissen was er für seine Sicherheit macht
Für verschiedene Accounts das selbe Passwort zu nehmen ist jedendalls eine Schwachstelle die ausgenutzt wird wie hier anscheinend auch
Passwörter speichern auf dem Pc ist auch so eine Schwachstelle

Man sollte schon sichere und unterschiedliche Passwörter auswählen

Monarch

Da gebe ich dir vollkommen Recht mandy. Wiederlegt aber nicht das Argument von Komposter.
Dass das BSI aufklären möchte find ich gut (wenn es denn so ist). Wie das ganze abgelaufen ist, war leider mehr als stümperhaft. Den Betroffenen wurde nur bedingt damit geholfen. Die meisten stehen aber eher vor einem Rätsel und tun im Endeffekt vermutlich garnichts. Traurig aber wahr.
Es hätte deutlich bessere Wege gegeben, zu helfen. Und wie sich ja nun im Nachhinein herausgestellt hat, hatte das BSI die Listen ja schon etwas länger und hatte somit genug Zeit eine Strategie zu entwickeln.

Das einzig Gute bei dieser PR Aktion ist doch, dass die Leute mal wieder über Passwörter reden. Ansonsten war die Aktion quasi für den Popo

BSI-Warnung Hacker knacken 16 Millionen Online-Nutzerkonten

Jetzt mitmachen!

KJM kritisiert öffentliche Sperrlisten

Elektronische Patientenakte: Sicherheitsbedenken durch den CCC

Plex Live TV / LG Channels / Wedo TV

Samsung TV Plus/Rakuten TV

Deutsche Bank Sicherheitsvorfall: Romantische Eskapaden im Rechenzentrum

Social-Media-Verbot für Kinder: Ein Blick auf Deutschlands Herausforderungen

Die Pornhub-Sperre in Deutschland: Ein kurzes Fazit

Pluto TV

IPTV-Piraterie 2025: Ein Blick auf das illegale Streaming

Gefahr durch Fake-Bewertungen bei Telegram

Sky führt Kartentausch von S02-Smartcards inklusive HD-Leihreceiver durch!

Sky - Checken welches Angebot möglich ist zur Verlängerung

Störung bei Sky

Bei Premiere gehen die Lichter aus

Sammel Topic ...Premiere zu & ORF über nagra

Premiere: Fast alle EMUS sind ausgefallen

Premiere AG: Neue Verschlüsselungstechnologie

Bastelt Premier wieder?

EMM aktiviert??

ORF wechselt im März?