Neuer Fall von großflächigem Identitätsdiebstahl: BSI informiert Betroffene

Helios

Active member
Themenstarter
Registriert
23 Sep. 2009
Beiträge
12.633
Neuer Fall von großflächigem Identitätsdiebstahl: BSI informiert Betroffene

Bonn, 07.04.2014.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert angesichts eines erneuten Falles von großflächigem Identitätsdiebstahl betroffene Bürgerinnen und Bürger in Deutschland. Die Staatsanwaltschaft Verden (Aller) hat dem BSI einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt. Nach technischer Analyse und Bereinigung durch das BSI verblieben rund 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen, darunter rund 3 Millionen deutsche E-Mail-Adressen. Die Inhaber der E-Mail-Adressen werden vom BSI in Zusammenarbeit mit den Online-Dienstleistern Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de informiert. Zudem stellt das BSI wieder einen webbasierten Sicherheitstest zur Verfügung.

Die digitalen Identitäten sind im Rahmen eines laufenden Ermittlungsverfahrens gefunden worden. Mit den E-Mail-Adressen und den zugehörigen Passwörtern versuchen Kriminelle mithilfe eines Botnetzes, sich in E-Mail-Accounts einzuloggen und diese für den Versand von SPAM-Mails zu missbrauchen. Das Botnetz ist noch in Betrieb, die gestohlenen Identitäten werden aktiv ausgenutzt. Es ist davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt.

Information per E-Mail und Prüfmöglichkeit auf Internetseite

Aufgrund dieser aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Das BSI hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese im Rahmen ihrer bestehenden Kundenbeziehungen ihre Kunden informieren. Hierbei handelt es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können.
Internetnutzer, die ein E-Mail-Account bei einem anderen als den oben genannten Dienstleistern haben oder einen eigenen Webserver betreiben, sind aufgerufen, mithilfe des vom BSI bereitgestellten webbasierten Sicherheitstests unter https://www.sicherheitstest.bsi.de zu überprüfen, ob sie von dem erneuten Identitätsdiebstahl betroffen sind. Der neue Datensatz wurde in den seit Januar bestehenden Sicherheitstest eingepflegt. Die eingegebene Adresse wird in einem technischen Verfahren vom BSI mit den Daten abgeglichen, die die Staatsanwaltschaft Verden (Aller) zur Verfügung gestellt hat. Ist die Adresse und damit auch die digitale Identität des Nutzers betroffen, so erhält dieser eine entsprechende Information per E-Mail an die angegebene Adresse. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Betroffene sollten Rechner bereinigen und Passwörter ändern

Das BSI geht derzeit davon aus, dass sich die Online-Kriminellen verschiedener Quellen bedient haben, um an die Zugangsdaten zu gelangen. Eine dieser möglichen Quellen sind die Rechner von Internetnutzern, zu denen sich die Angreifer Zugriff verschafft haben können. Dazu wird der Rechner in der Regel mit einer Schadsoftware infiziert, die dann die Eingabe der Zugangsdaten mitliest. Es ist nicht auszuschließen, dass diese Schadsoftware auch zu anderen Zwecken genutzt werden kann, etwa zur Ausspähung weiterer Daten auf dem Computer oder zur Manipulation von Online-Transaktionen, die die Anwender etwa beim Online-Shopping durchführen.

Betroffene, die von ihrem Provider informiert wurden oder ihre Betroffenheit über den webbasierten Sicherheitstest herausgefunden haben, erhalten mit der Information daher auch Empfehlungen zu erforderlichen Bereinigungs- und Schutzmaßnahmen:

  1. Der eigene Computer ebenso wie andere genutzte Rechner sollten mit einem Virenschutzprogramm auf Befall mit Schadsoftware überprüft und bereinigt werden. Als zusätzliche Möglichkeit der Überprüfung kann der "PC-Cleaner" verwendet werden, zu dem auf der Webseite "BSI für Bürger" verlinkt ist.
  2. Nach der Überprüfung und Bereinigung des Rechners sollten Anwender ihr E-Mail-Passwort sowie auch alle anderen Passwörter ändern, die sie zur Anmeldung bei Sozialen Netzwerken, Online-Shops und anderen Online-Diensten nutzen.
  3. Um generell zu verhindern, dass Schadsoftware auf den Rechner gelangt, sollten Anwender die grundlegenden Sicherheitsregeln beachten, die das BSI auf seiner Webseite "BSI für Bürger" zusammengestellt hat.
  4. Anwender sollten zukünftig in regelmäßigen Abständen überprüfen, ob ihr Computer verwundbar für Angriffe aus dem Internet ist. Eine schnelle Testmöglichkeit bietet das Angebot "Check and Secure" der Initiative botfrei.de des eco-Verbands.
Quelle: BSI - Bundesamt für Sicherheit in der Informationstechnik
 
Warum müssen solch gutgemeinte Hinweise hier eigentlich immer/meist in Diskussionen ausarten?

Nehmt den Hinweis an oder klickt einfach weiter, aber hört mit einer Diskussion auf, wo es nichts zu diskutieren gibt!
 
Naiverweise könnte man annehmen, dass ein Forum für Diskussionen da ist. Aber das war dann wohl ein Misverständnis. Abgesehen davon hat gut gemeint noch lange nichts mit gut gemacht zu tun.
 
Ich schlage vor, daß du erstmal liest, was das BSI hier macht.
Es schickt dir nicht einfach so eine Email an irgendwelche Emailadressen, sondern nur, wenn du (oder jemand, der deine Adresse kennt) das über ein Webinterface anfordert. Und eben auch nur, wenn die angegebene Emailadresse in der Liste von entwendeten Anmeldedaten enthalten ist.
So wie ich das jetzt verstanden habe, leider nein :(
Alle betroffenen Adressen der größten deutschen Mailanbieter werden einfach über spamähnliche Methoden informiert, jeder der solch eine Mail bekommt ist daher dazu aufgefordert, erst mal deren Echtheit zu überprüfen :pinch:
Das tolle daran: Bei der letzten Aktion wurde genau dies aufgrund der Missbrauchbarkeit vom BSI abgelehnt :wacko:

Aufgrund dieser aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de. Das BSI hat diesen Providern die in ihren Domänenbereich fallenden E-Mail-Adressen zur Verfügung gestellt, damit diese im Rahmen ihrer bestehenden Kundenbeziehungen ihre Kunden informieren. Hierbei handelt es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können.
Internetnutzer, die ein E-Mail-Account bei einem anderen als den oben genannten Dienstleistern[...]
 
Das tolle daran: Bei der letzten Aktion wurde genau dies aufgrund der Missbrauchbarkeit vom BSI abgelehnt
falls dir das Probleme bereitet: du kannst ja auch den Link zum Check aufrufen, Mail-Adresse eingeben, Verifikations-Code notieren und alle Spam-Mails ohne diesen Code löschen

ich gehe davon aus, dass diese Massenmails ohne Check deshalb verschickt werden, will die Melde/Checkquote bei der letzten Aktion zu niedrig war
 
So wie ich das jetzt verstanden habe, leider nein :(
Alle betroffenen Adressen der größten deutschen Mailanbieter werden einfach über spamähnliche Methoden informiert, jeder der solch eine Mail bekommt ist daher dazu aufgefordert, erst mal deren Echtheit zu überprüfen :pinch:
Da PandorasThinkpad mehrfach explizit das BSI angesprochen hat, habe ich seinen Beitrag auf die Webseite des BSI bezogen, und meine Antwort entsprechend darauf ausgerichtet ("was das BSI hier macht").


Das tolle daran: Bei der letzten Aktion wurde genau dies aufgrund der Missbrauchbarkeit vom BSI abgelehnt :wacko:
Hmm, wo eine einmalige Email direkt vom Provider nur an die Emails aus der Liste eine Missbrauchsgefahr mit sich bringt, kann ich gerade nicht erkennen. Vor allem, da die Provider die Echtheit dieser Email ja problemlos über eine entsprechende Einblendung bei Anmeldung am Webinterface deutlich machen können.
Aber vielleicht denke ich ja nicht weit genug.
 
falls dir das Probleme bereitet[...]
Mir nicht, da ich durch mein Studium auf sowas ausreichend sensibilisiert bin :p
Aber ich bin mir genauso sicher, dass auf Dauer mehr Fälschungen als originale BSI-Mails unterwegs sein werden,
von der Fischereiindustrie mal ganz zu schweigen, die da sicher wieder naive Nutzer ausnutzt um neue Passwörter oder gar noch sensiblere Daten abzufangen :Ich sag nix:
 
ok, bei den unerfahrenen Usern, die auf alles klicken, kann man eben nur hoffen, dass das BSI-Mail das schnellste ist
 
Das BSI hat bei der Überprüfung meiner Mailadressen geschrieben, sie würden sich mit einer PGP-signierten Mail melden. Das ist doch schonmal ein Fortschritt! :thumbup:

Nun ist nur noch offen, woher man den PublicKey beziehen soll, um die Unterschrift zu prüfen. Auf dem https://keyserver.pgp.com/vkd/GetWelcomeScreen.event PGP-Keyserver ist kein Schlüssel und auf den üblichen GPG-Keyservern finde ich nur https://hkps.pool.sks-keyservers.net/pks/lookup?op=vindex&search=0xD1FF438B den hier - lediglich mit Eigenbeglaubigung und ohne konkrete Namensangabe. Ich würde den nicht signieren.

Wenn jemand hier eine Mail von BSI erhalten sollte, dann wäre ich sehr am signierten Hash interessiert, einfach, weil ich gerne sehen möchte, mit welchem Schlüssel sie die Mail unterschreiben.

Von den Providern kann man sowas natürlich nicht erwarten. :facepalm:

edit: Im Übrigen bin ich der festen Überzeugung, dass die Spam-Mailer sich mangels der Fähigkeit der allermeisten E-Mailclienten (sofern vorhanden) und Menschen, eine digitale Signatur zu prüfen, an diesem Stück Weisheit orientieren werden: https://xkcd.com/1181/ :whistling:
 
Zuletzt bearbeitet:
Den Link "Unser GPG-Zertifikat" links auf der BSI-Seite hast Du gesehen?
 
Hehe, guter Einwand. :facepalm: Habe ich in der Tat nicht. Hab jemanden gebeten, meine E-Mailadressen da mit einzugeben, als er gerade auf der Seite war und habe nur das Pop-Up mit dem Hinweis gesehen, dass die Mails signiert sein sollen.

Den Schlüssel habe ich mir gerade mal angeschaut. Hat auch nur eine Eigenbeglaubigung. Insofern ist man in der Vertrauenskette vollständig auf den Aussteller des SSL-Zertifikats angewiesen, also auf T-Systems. Aber: Das sollte Spammer zuverlässig abhalten, wenn die User die Signatur wirklich prüfen.
 
Und wieder rund 60.000 gestohlene Passwörter aufgetaucht:

Erneut kursieren massenhaft Zugangsdaten für Mail-Accounts, die vermutlich über Phishing oder von Trojanern abgegriffen wurden. Unter den Opfern befinden sich auch zehntausende Deutsche.
Quelle: Heise Security (19.06.)
 
Der bisher größte Fall von Datendiebstahl ging heute durch die Medien:

Bei Heise:
... Für Nutzer gibt es bisher überhaupt keine Hinweise darauf, ob sie betroffen sein könnten.

Es könnte der bisher größte Datendiebstahl im Internet sein: Russische Hacker haben nach Erkenntnissen US-amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die US-Sicherheitsfirma Hold Security der New York Times. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen.

Da dem BSI derzeit Geld fehlt und einige Projekte auf Eis gelegt werden mussten, bin ich mal gespannt, ob und wie sie sich dazu einbringen wollen/können.
 
Der bisher größte Fall von Datendiebstahl ging heute durch die Medien:
Nee, Mornsgrans, da muss ich Dir erstmals widersprechen: der größte Datenklau ist der von der US-amerikanischen Regierung, egal ob NSA oder Cia oder wie die Dinger nun heißen. Der ist genauso illegal wie der von den Hackern aus Süd-Zentralrussland.
Und wer das kommerzieller ausnutzt, muss sich in den nächsten Monaten erst einmal herausstellen.

Gruß in't Huus

gatasa
 
Ich muß Gatasa uneingeschränkt zustimmen. Gegen so einen Moloch wie die NSA (und die anderen Geheimdienste) sind die "10 russischen Hacker" eine Witztruppe.
 
Mornsgrans, da muss ich Dir erstmals widersprechen:
Tust Du nicht, denn der Satz stammt nicht von mir, sondern steht so bei heise.de (siehe Zitat in meinem Beitrag oben).

der größte Datenklau ist der von der US-amerikanischen Regierung, egal ob NSA oder Cia oder wie die Dinger nun heißen.
Das ist kein Datenklau, sondern Arbeit zu unser aller Sicherheit :D
Wie heißt es so schön in George Orwell's Animal Farm? - "Alle Tiere sind gleich, bis auf die Schweine, die sind gleicher":whistling:
 
Zuletzt bearbeitet:
Wie heißt es so schön in Orson Wells' Animal Farm? -
"Animal Farm" ist von George Orwell, von dem ja sinnigerweise auch "1984" stammt. Orson Welles ist der mit der Invasion vom Mars – als Hörspiel; wobei die Buchfassung "The War of the Worlds" von H.G. Wells ist. Ziemlich viele Wells und Os, da kann man schon mal durcheinandergeraten ... :D
 
Zuletzt bearbeitet:
:facepalm: Danke, habe es korrigiert - ich verwechsele immer die beiden "well"s
 
Update bei heise.de

Die Meldung des wohl bisher größten Identitätsdiebstahls im Internet durch Hold Security aus Milwaukee hat eingeschlagen wie eine Bombe: Sage und schreibe 1,2 Milliarden Profildaten sollen russische Hacker erbeutet haben.

Dass die Nachricht gerade jetzt auftaucht, ist wohl alles andere als ein Zufall, denn noch bis Donnerstag läuft mit der Black Hat in Las Vegas eine der weltweit renommiertesten Hacker-Konferenzen der Welt. So wollte Hold Security dann auch prompt aus dem Scoop Kapital schlagen...
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben