Neuer Fall von großflächigem Identitätsdiebstahl: BSI informiert Betroffene

[Helios]

Neuer Fall von großflächigem Identitätsdiebstahl: BSI informiert Betroffene

Bonn, 07.04.2014.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert angesichts eines erneuten Falles von großflächigem Identitätsdiebstahl betroffene Bürgerinnen und Bürger in Deutschland. Die Staatsanwaltschaft Verden (Aller) hat dem BSI einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt. Nach technischer Analyse und Bereinigung durch das BSI verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen. Die Inhaber der E-Mail-Adressen werden vom BSI in Zusammenarbeit mit den Online-Dienstleistern Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de informiert. Zudem stellt das BSI wieder einen webbasierten Sicherheitstest zur Verfügung.

Die digitalen Identitäten sind im Rahmen eines laufenden Ermittlungsverfahrens gefunden worden. Mit den E-Mail-Adressen und den zugehörigen Passwörtern versuchen Kriminelle mithilfe eines Botnetzes, sich in E-Mail-Accounts einzuloggen und diese für den Versand von SPAM-Mails zu missbrauchen. Das Botnetz ist noch in Betrieb, die gestohlenen Identitäten werden aktiv ausgenutzt. Es ist davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt.

Information per E-Mail und Prüfmöglichkeit auf Internetseite

Aufgrund dieser aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Das BSI hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese im Rahmen ihrer bestehenden Kundenbeziehungen ihre Kunden informieren. Hierbei handelt es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können.
Internetnutzer, die ein E-Mail-Account bei einem anderen als den oben genannten Dienstleistern haben oder einen eigenen Webserver betreiben, sind aufgerufen, mithilfe des vom BSI bereitgestellten webbasierten Sicherheitstests unter https://www.sicherheitstest.bsi.de zu überprüfen, ob sie von dem erneuten Identitätsdiebstahl betroffen sind. Der neue Datensatz wurde in den seit Januar bestehenden Sicherheitstest eingepflegt. Die eingegebene Adresse wird in einem technischen Verfahren vom BSI mit den Daten abgeglichen, die die Staatsanwaltschaft Verden (Aller) zur Verfügung gestellt hat. Ist die Adresse und damit auch die digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Betroffene sollten Rechner bereinigen und Passwörter ändern

Das BSI geht derzeit davon aus, dass sich die Online-Kriminellen verschiedener Quellen bedient haben, um an die Zugangsdaten zu gelangen. Eine dieser möglichen Quellen sind die Rechner von Internetnutzern, zu denen sich die Angreifer Zugriff verschafft haben können. Dazu wird der Rechner in der Regel mit einer Schadsoftware infiziert, die dann die Eingabe der Zugangsdaten mitliest. Es ist nicht auszuschließen, dass diese Schadsoftware auch zu anderen Zwecken genutzt werden kann, etwa zur Ausspähung weiterer Daten auf dem Computer oder zur Manipulation von Online-Transaktionen, die die Anwender etwa beim Online-Shopping durchführen.

Betroffene, die von ihrem Provider informiert wurden oder ihre Betroffenheit über den webbasierten Sicherheitstest herausgefunden haben, erhalten mit der Information daher auch Empfehlungen zu erforderlichen Bereinigungs- und Schutzmaßnahmen:

1. Der eigene Computer ebenso wie andere genutzte Rechner sollten mit einem Virenschutzprogramm auf Befall mit Schadsoftware überprüft und bereinigt werden. Als zusätzliche Möglichkeit der Überprüfung kann der "PC-Cleaner" verwendet werden, zu dem auf der Webseite "BSI für Bürger" verlinkt ist.
2. Nach der Überprüfung und Bereinigung des Rechners sollten Anwender ihr E-Mail-Passwort sowie auch alle anderen Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzwerken, Online-Shops und anderen Online-Diensten nutzen.
3. Um generell zu verhindern, dass Schadsoftware auf den Rechner gelangt, sollten Anwender die grundlegenden Sicherheitsregeln beachten, die das BSI auf seiner Webseite "BSI für Bürger" zusammengestellt hat.
4. Anwender sollten zukünftig in regelmäßigen Abständen überprüfen, ob ihr Computer verwundbar für Angriffe aus dem Internet ist. Eine schnelle Testmöglichkeit bietet das Angebot "Check and Secure" der Initiative botfrei.de des eco-Verbands.

Quelle: BSI - Bundesamt für Sicherheit in der Informationstechnik

 

[think_pad]

Lassen wir die Kirche im Dorf und die Politik im Regierungsviertel: Es sind keine "Identitäten" entwendet worden, sondern Passwörter für bestimmte Email-Konten; und sie wurden auch nicht "gestohlen", sondern einfach kopiert.

Jeder kann seine eigenen Schlussfolgerungen daraus ziehen und sein Email-Passwort jetzt ändern: Es sollte ein Passwort sein, dass man sonst nirgends verwendet, weil es sonst Rückschlüsse auf andere Accounts (paypal, ebay u.ä.) zulässt.

ThinkPad-Nutzer können auf den ausgezeichneten Password-Manager (WIN7, WIN8) zurückgreifen, noch besser und aufwändiger ist KeePass.

Und jetzt das Wetter: Von den Azoren zieht ein Hochdruckgebiet über die Biscaya bis nach Mitteleuropa und bringt warme Luft....

 

[Helios]

Eine Überprüfung schadet ja nicht .

Übrigens zu KeePass Password Safe... ist gestern in der Version 1.27 erschienen. Werde ich ggf. der Softwareliste hinzufügen, da das Programm wirklich tolle Arbeit verrichtet... zumindest gemäss meiner Ansicht nach.

 

[hikaru]

ThinkPad-Nutzer können auf den ausgezeichneten Password-Manager (WIN7, WIN8) zurückgreifen

Wer hat diesen Password-Manager womit ausgezeichnet?
Wie lässt sich die Vertrauenswürdigkeit dieser Software überprüfen?

 

[think_pad]

Wer hat diesen Password-Manager womit ausgezeichnet?

Er ist ausgezeichnet geeignet, um verschiedene Passwörter zu sammeln und bei Bedarf sogar per Fingerprint einzugeben.

Wie lässt sich die Vertrauenswürdigkeit dieser Software überprüfen?

Paranoia hat gerade für sich einsam fühlende Menschen den unschätzbaren Vorteil, nie allein zu sein.

 

[Helios]

Wer hat diesen Password-Manager womit ausgezeichnet?
Wie lässt sich die Vertrauenswürdigkeit dieser Software überprüfen?

Naja... 4.8 von 5 Sternen bei ComputerBase. Im Grossen und Ganzen liegen sie gar nicht schlecht, was die Qualität der Software anbelangt. Die Vertrauenswürdigkeit ist natürlich zu hinterfragen und in dieser Statistik nicht eingeschlossen.

Selbst habe ich die Passwörter im Kopf oder verwende bei Firefox den Passwortmanager (natürlich mit Master-Passwort).

Paranoia hat gerade für sich einsam fühlende Menschen den unschätzbaren Vorteil, nie allein zu sein.

Deine "Kommentare" sind nicht hilfreich. hikaru stellt schon die richtige Frage... was übrigens viele User ebenfalls tun sollten, aber eben hinsichtlich gewissen Defiziten schlussendlich doch unterlassen.

 

[hikaru]

Paranoia hat gerade für sich einsam fühlende Menschen den unschätzbaren Vorteil, nie allein zu sein.

Nach dem was im letzten Jahr alles los war fällt es mir schwer so paranoid zu sein wie ich gern wäre.

Naja... 4.8 von 5 Sternen bei ComputerBase. Im Grossen und Ganzen liegen sie gar nicht schlecht, was die Qualität der Software anbelangt. Die Vertrauenswürdigkeit ist natürlich zu hinterfragen und in dieser Statistik nicht eingeschlossen.

Ich habe keine Zweifel, dass das Teil die Aufgaben die der Nutzer erwartet gut erledigt.
Darüber hinaus stellt sich aber zur Beurteilung der Qualität einer Software die Frage, ob sie nur das macht, was der Nutzer erwartet - insbesondere, aber nicht nur bei einer Software der man alle seine Zugangsdaten anvertrauen soll.
Wenn nicht überprüfbar ist wie die Software arbeitet kann man folglich auch keine Aussagen zur Qualität machen.

 

[think_pad]

Deine "Kommentare" sind nicht hilfreich. hikaru stellt schon die richtige Frage... was übrigens viele User ebenfalls tun sollten, aber eben hinsichtlich gewissen Defiziten schlussendlich doch unterlassen.

Dann muss man in den sauren Apfel beißen und sich mit KeePass auseinandersetzen, was aber schon daran scheitert, dass die meisten nicht wissen, was eine KeyDisc ist.

Wenn ich nachts meine Wohnungstür von einem Schlüsseldienst öffnen lasse, überprüfe ich dann aufwendig im Internet die Vertrauenswürdigkeit des Schlüsseldienstes oder gehe ich einfach davon aus, dass er vertrauenswürdig ist, weil ich endlich ins Bett will?

Wenn ich ThinkPads verkaufen will und dafür einen Fingerprint und einen Password-Manger anbiete, lebt der Verkauf der ThinkPads von der Vertrauenswürdigkeit der Sicherheitssoftware. Das ist eine Frage des gesunden Menschenverstandes und niemandem ist geholfen, sich zum "digitalen Analphabeten" zu entwickeln, weil Angst Menschen daran hindert, ein Passwort einzugeben oder sich irgendwo anzumelden. Wenn ich Auto fahre, muss ich auch damit rechnen, mal einen Unfall zu bauen. Lassen wir die Kirche im Dorf und die Politik im Regierungsviertel...

 

[Helios]

Wenn nicht überprüfbar ist wie die Software arbeitet kann man folglich auch keine Aussagen zur Qualität machen.

Ja, mit Qualität meine ich hier jetzt die Handhabung und den Funktionsumfang der Software. Wie es jedoch mit der Vertrauenswürdigkeit/Sicherheit wirklich aussieht, kann ich nicht beurteilen und meinte dies mit dem Ausdruck Qualität ja auch nicht.

Eine gesunde Portion Paranoia ist in diesen Zeiten allemal erwünschenswert und wird als solche nicht mehr wie vor noch 10 Jahren als geistige Erkrankung betrachtet .

 

[Freddy Crueger]

Hi Helios
ich bin da skeptisch mit dem BSI in meine Rechner zu Installieren, man weiss ja gar nicht was die SAMMELN.
Gruss
Freddy

 

[PeterWa]

hier stand Unsinn, sorry

 

[mectst]

Ich sag ja immer: Alles was mit Computer-Sicherheit, Viren-Schutz etc. zu tun hat ist mit der Kirchlichen gleichzusetzen: Es hat viel mit Hoffen und Glauben zu tun .

Grüße Thomas

 

[HansBr]

Wenn ich nachts meine Wohnungstür von einem Schlüsseldienst öffnen lasse, überprüfe ich dann aufwendig im Internet die Vertrauenswürdigkeit des Schlüsseldienstes oder gehe ich einfach davon aus, dass er vertrauenswürdig ist, weil ich endlich ins Bett will?

Der Schlüsseldienst öffnet dir die Tür, einmalig und in der Regel beschädigungsfrei. Deinen Schlüssel hat er nicht.
Ein Passwortmanager, hat deine Schlüssel für immer und kann jederzeit diese hinter deinem Rücken benutzen.
Wie das mit Keepass ist weiß ich nicht, nutze solche Dienstleistungen aber auch nicht.

 

[moronoxyd]

Naja... 4.8 von 5 Sternen bei ComputerBase. Im Grossen und Ganzen liegen sie gar nicht schlecht, was die Qualität der Software anbelangt. Die Vertrauenswürdigkeit ist natürlich zu hinterfragen und in dieser Statistik nicht eingeschlossen.

Hikaru fragte danach, wer den LENOVO-Passwort ausgezeichnet hat, du verweist auf die Bewertung von KeePass...

 

[beserene]

...
Es ist davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt.
...

...so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Danke BSI, das ist eine überaus hilfreiche Warnung! :facepalm:

 

[d1zZy]

KeePass ist keine Dienstleistung, sondern eine lokal zu installierende Software. Die Features von KeyPass sind gut dokumentiert, der Source Code ist einsehbar und es existieren alternative Implementierungen auf Basis der Datenbankdefinition von KeePass (siehe z.B. KeePassX). Dies alles bietet keine Garantie für Sicherheit, aber der Einsatz von offenen Standards und die Überprüfbarkeit machen es doch wahrscheinlicher, dass Sicherheitslücken auffallen würden...

 

[hikaru]

Hikaru fragte danach, wer den LENOVO-Passwort ausgezeichnet hat, du verweist auf die Bewertung von KeePass...

Danke für den Hinweis!
Nach Helios' Bemerkung, dass die Vertrauenswürdigkeit nicht geprüft wurde hatte ich den Link gar nicht mehr angeschaut.

 

[think_pad]

Danke BSI, das ist eine überaus hilfreiche Warnung!

Die machen nur ihren Job.

Dies alles bietet keine Garantie für Sicherheit, aber der Einsatz von offenen Standards und die Überprüfbarkeit machen es doch wahrscheinlicher, dass Sicherheitslücken auffallen würden...

Absolut korrekt: Wer wirklich auf "Nummer Sicher" gehen muss, verwendet KeePass-Portable im TrueCrypt-Container mit externer KeyDisc. Mehr Sicherheit geht nicht... :thumbup:

 

[moronoxyd]

Danke BSI, das ist eine überaus hilfreiche Warnung! :facepalm:

Was stört dich daran? Daß du keine Benachrichtigung erhälst, wenn deine Emailadresse nicht auf der Liste steht?

Das ist sinnvoll, weil die Webseite des BSI andernfalls zum Spammen missbraucht werden könnte.
Das BSI hat ja keine Möglichkeit, festzustellen, daß du wirklich der Emailinhaber bist.

 

[d1zZy]

Die machen nur ihren Job.



Absolut korrekt: Wer wirklich auf "Nummer Sicher" gehen muss, verwendet KeePass-Portable im TrueCrypt-Container mit externer KeyDisc. Mehr Sicherheit geht nicht... :thumbup:

Leider nein...eher KeePass in einer abgeschotteten, mit TC verschlüsselten VM ohne die Möglichkeit von Netzwerkkommunikation. Aber irgendwann wirds dann auch Overkill.