Internetnutzer sollten auf den Webseiten des BSI dringend prüfen, ob ihre E-Mail-Adressen und dazugehörige Passwörter von Botnetzen abgegriffen wurden. Betroffen sind mehrere Millionen E-Mail-Adressen. Dem Bundesamt für Sicherheit in der Informationstechnik wurden von Forschern und Strafverfolgern Daten übergeben, die auf millionenfachen Identitätsdiebstahl hinweisen. Insgesamt sollen 16 Millionen digitale Identitäten betroffen sein. Nutzer können auf einer vom BSI eingerichteten Webseite überprüfen, ob sie betroffen sind […] Über die von den Forschungseinrichtungen und Strafverfolgungsbehörden untersuchten Botnetze gibt es bisher keine weiteren Informationen. Betroffene Nutzer können sich momentan lediglich darüber im Klaren sein, dass ihr Computer mit Malware verseucht ist oder in der jüngeren Vergangenheit verseucht wurde. Es reicht also nicht, ausschließlich die E-Mail-Adresse beim BSI zu prüfen und daraufhin Zugangsdaten zu ändern.
Da mich in den letzten Tagen so viele Leute darauf hingewiesen haben, möchte ich die Sache für alle Fälle nochmal mit Euch teilen. Geht auf die Website und testet, ob Euer Mail-Account betroffen ist!
Quelle: Heise.de
Anzeige
Also ich habe eine Positivmeldung erhalten, doch das Problem dabei ist… es wird nicht mitgeteilt welches Passwort zu dieser Emailadresse hinterlegt ist. Es muss nämlich nicht das Emailpasswort sein, sondern es kann eben einfach nur ein Forumsaccount sein bei dem man ein schwaches Passwort hatte.
Der Text der BSI Mail schreibt dazu :
__________________________________________________________________
Die von Ihnen angegebene E-Mail-Adresse ##########@###.de wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.
___________________________________________________________________
Das Problem dabei ist leider das ich so nicht nachvollziehen kann wo die Sicherheitslücke besteht….
Mitzuteilen wie das beim BSI gespeicherte Passwort zu dieser Emailadresse lautet wäre wohl sinnvoll gewesen, zumal dieses Passwort ja offenbar auch bereits bekannt ist.
Sinnvoll?
Das wäre das Schlimmste was sie machen könnten.
Denn dan würden andere, die auch irgendwie wissen wie eine gültige E-Mailadresse lautet direkt per Abfrage an das Passwort kommen und überall mal Testen bis was zuschlägt.
„Einfach“ alle PWs zu dieser Adresse ändern wäre das Beste
In einem Comment von der heise News hat einer das Vorgehen des BSI anschaulich erklärt:
Was ein Blödsinn 😀
Man muss ja außer der Mail-Adresse keine Daten angeben. Würden Sie zum Beispiel noch Name und Adresse abfragen wär es schon wieder was ganz anderes.
In Zeiten wo jeder Apps nutzt, die jeden Scheiß auf seinem Handy machen dürfen regt man sich drüber auf, dass man hier kostenlos und freiwillig seine Mail-Adresse in Zusammenhang mit diesem Botnetz überprüfen darf.
Haben die Vorredner denke ich schon richtig erläutert. Unter den gegebenen Umständen finde ich das wirklich eine gelungene Lösung des BSI.
Gott wo kommen diese paranoiden Spinner nur immer wieder her? Du sollst nur deine verdammte E-Mail Adresse angeben, das kann man doch nicht mit dem Wohnungsschlüssel+Adresse und Arbeitszeiten vergleichen (sofern man geistig gesund ist zumindest).
Auf Spiegel Online gabs genug die direkt Verschwörungen gesehen haben a la das BSI will nur für die NSA Mailadressen sammeln und in Wirklichkeit wurde niemand gehackt..
Da hätte ich ausrasten können. Und solche Menschen unterstellen der Masse sie sei dumm (weil sie den Check macht).. no comment!
Word!!!
Mir gehen diese Verschwörungsmenschen eh auf den Keks. Hinter ALLES und JEDEM steckt natürlich immer irgendeine Verschwörung, diese geballte Naivität und Dummheit macht mich manchmal wahnsinnig. Ich will garnicht wissen wo sich die Leute schon überall mit ihrer Email angemeldet haben, von ihrem Surfverhalten und Verständnis von digitalem Datenschutz mal ganz zu schweigen.
Das halte ich aber für eine böse Verschwörung gegen Verschwörungstheoretiker… so schnell kann es gehen Üffes!
Vor Allem ist das Weltbild dieser „erleuchteten“ Menschen so simpel, dass sich einem die Fußnägel hochrollen…
Also solang ich nach dem eingeben meiner Mail-Adresse keine Antwort vom BSI kriege, ist alles cool, oder wie soll ich das sehen?
Das heisst im Prinzip nur, dass du nicht von den Botnetzen betroffen bist von denen das BSI die Daten hat. Falls du es länger nicht gemacht hast kannst du ja trotzdem mal deine Passwörter ändern. :p
Das tu ich ja sowieso regelmäßig. Is einfach sicherer, wenn man PWs hin und wieder mal ändert.
Hm ich hab nach dem BSI Test eine Email von den bekommen in der auch steht was ich jetzt zu tun hab, allerdings hat weder Kaspersky noch Avira etwas gefunden, heißt das ich kann beruhigt sein oder sollte ich Rechner doch neu aufsetzen + Passwörter ändern?
Da kann Dir glaub ich keiner das eine oder andere raten. Das BSI muss halt zur letzten Konsequenz greifen. Immerhin kriegen die Mail sicherlich auch sehr, sehr viele Leute die gar nicht wissen was ein Virenscanner ist.
Habe auch alle Adressen gecheckt und kam zum Glück nix zurück. Noch weiß man ja auch gar nicht genau, ob die Adressen + Passwörter wirklich per Eingriff auf Deinem Rechner (Keylogger etc) abgegriffen wurden, oder nicht doch über direkten Zugriff beim Maildienstleister oder per Phishing erlangt wurden.
Im zweiten Fall musst Du halt nix machen weil Dein Rechner da nix für kann.
Wenn ich auch eine Mail nach Test vom BSI erhalten hätte, dann würde ich glaub ich 1-2 Virenscanner und auch so Dinger wie den AdwCleaner, Malwarebytes, Search&Destroy durchlaufen lassen. Vorher mit CCleaner alles wegputzen, Registry aufräumen. Wenn das alles durchläuft, wäre ich erstmal ausreichend beruhigt und würde warten ob man dazu nochmal etwas hört.
Auf jeden Fall aber das Passwort ändern und auch bei allen anderen Diensten, bei denen man das gleiche Passwort benutzt hat. Wir sind ja alle faul und irgendwie nutzt ja jeder normale Mensch seine Passwörter mehrfach. Dann jetzt aber unbedingt drauf achten, das Mailpasswort und andere eben nicht mehr gleich sind. Und immer aufpassen dass man wirklich auf der Seite des Dienstes ist, bei dem man auch sein möchte. Also nicht webd.de statt web.de und so Scherze.
wahrscheinlich wurde durch die mein battle.net-acc gehackt..
das blöde: heutzutage hat man sich bei so vielen seiten angemeldet, dass man da gar keinen überblick mehr drüber hat. passwort-wechseln unmöglich. zum glück benutz ich die „gehackte“ e-mailadresse nur für unwichtigere konten, weshalb da selbst mit passwort nichts schlimmeres passieren sollte..
Kauf dir eben eine Domain und leg darauf mails an.
Erstelle für jede Seite eine eigene mail. Dadurch erkennst du auch immer haargenau, von welcher Seite spamer deine mails haben.
Natürlich kannst du alle mails auf ein Hauptkonto weiterleiten (das du am besten nicht bei Seiten nutzt) und bist dadurch relativ sicher, da das Herausfinden der mail/pass-Kombination recht unmöglich ist.
Du kannst auch davon ausgehen, dass ein Botnet dein Spiele-Konto am Arsch vorbei geht. Was wollen sie damit machen? Deinen uber-Krieger ne Runde zocken oder für 50€ verkaufen? Also bitte!
Wenn du „gehackte“ mails hast, dann liegt die Vermutung sehr sehr nahe, dass du dir auch anderweitig über die Zeit genug eingefangen hast.
„passwort-wechseln unmöglich.“
Du meinst, du nutzt das gleiche Passwort auf Webseiten UND deinen mails?
Nein, ist er nicht. Und nun?
Tanz!
Hackt ihn!
Ich muss ja gestehen, dass ich mich sehr schwer damit tue, jetzt auf die Seite eines Amtes zu gehen, von dem ich vorher noch nie was gehört habe, und dort alle meine emailadressen einzutickern…
Ich kann in meinem Emailadressen keine verdächtigen Aktivitäten feststellen und auch ansonsten scheint mein Rechner gesund zu sein.
Wenn denen Emailadressen vorliegen, warum mailen sie die nicht an inkl. entsprechender Info? (Oder habe ich irgendwas überlesen?)
Würdest du es denn lesen, wenn sie dich anmailen? Oder ernstnehmen? Du misstraust ihnen ja so schon…
…haste sogesehen auch wieder recht. 🙂
Genau die selbe Frage hab ich mir auch gestellt, naja, habs jetzt sein lassen …
Dass sie einem nicht einfach mailen finde ich nachvollziehbar. Da ist ja auch so nen Code und so damit Trittbrettfahrer es nicht so leicht haben. Und wer schonmal vom Bundestrojaner gehört hat, der wird mit Sicherheit nicht auf eine Mail von einem Institut reagieren, dass er nicht kennt und sie einfach ungelesen löschen.
Mein Mailkonto war übrigens betroffen, aber mein eigener PC frei von Schadsoftware. Habe mich aber auch an PCs von Freunden und Verwandten in der Vergangenheit mal eingeloggt.
Das ist halt ein guter Punkt. Ich nutze zwar selten PCs oder Laptops anderer Leute, aber öfters mal das eine oder andere offene WLAN im Cafe, Flughafen, Hotel usw. Wenn da halt ein „Man in the middle“ hängt, mach ich da auch nicht mehr viel und mein Rechner kann auch nix dafür :/
Ich bin echt gespannt ob man zur tatsächliche Quelle der Adressen nochmal etwas hört. Wäre schon interessant.
Hm okay, auch wieder war. 🙂
*fügt an entsprechender Stelle noch schnell ein ‚h‘ hinzu*
Du hast noch nie etwas vom BSI gehört? Das spricht nun allerdings nicht unbedingt gegen das BSI.
Das BSI taucht seit Jahren immer mal wieder mit eigentlich sehr gesunden Stellungnahmen und Maßnahmen zu IT-Themen auf. In Hessen würde man sagen „Die sin‘ in der Reih'“.
Als ich im SPIEGEL lesen musste, dass da tatsächlich Leute das Vorgehen anprangern (natürlich wieder OHNE Alternativen nennen zu können), hab ich mich schon etwas aufgeregt. Das Verfahren berücksichtigt eigentlich die meisten „Wenns und Abers“ – wenn man allerdings total paranoid ist à la „Nein, meine Mailadresse ist gaaaanz geheim. Die sag ich KEINEM – vor allem dann nicht, wenn ich keine Adresse und nix dazu angeben muss“, dann findet man wohl alles im Internet Scheiße.
Auch dass die Maschinen mal nen Hänger hatten, als Drillionen von Leuten ihre Adresse checken wollten … ist halt so. Wenn man keine Unsummen ausgeben kann oder will, um einen Peak von ein paar Stunden oder Minuten bei einer nur bedingt zeitkritischen Angelegenheit aushalten zu können, dann ist das halt so. Ansonsten freut sich das BSI sicherlich über Spenden jeder Art – oder halt Vorschläge, wie man das besser machen könnte – vorausgesetzt man musste schon mal eine Struktur für so einen Traffic und so eine Datenmenge aufsetzen. Na, wer hat schon mal? 😉
Ja, tut mir ja leid. 🙂 Aber ich habe den BSI tatsächlich bisher nicht wirklich wahrgenommen. Mea culpa, ich gelobe Besserung.
Anprangern tue ich gar nichts. 😉 Ich war einfach nur misstrauisch, das ist alles.
1. Datenschutz
2. Das BSI gibt es nicht erst seit gestern und man sollte die Ministerien seines Landes kennen.
No offense aber wenn du meinst du konntest nichts feststellen, hört sich das an, als wärst du versiert im Umgang mit dem Internet. Da du aber das BSI nicht kennst, kann das auch nicht stimmen…
Ähm, kein Grund gleich derart harsch zu reagieren.
Ich habe nirgends behauptet, dass ich sonstwie versiert wäre. Ich habe lediglich geschrieben, dass ich nichts feststellen konnte. Nicht mehr und nicht weniger.
Aber Du kannst sicherlich sämtliche Ministerien dieses Landes auswändig runterbeten, oder wie?
Wenn ich btw irgendeine Versiertheit hätte vorgeben wollen, hätte ich nicht zugegeben, dass ich das BSI nicht kenne.
Aber nun gut: Eine Tonne Asche auf mein unwürdiges Haupt, bitte. ;P
Orrrrrr, auswendig, bitte. -.- #korrekturkommentar
Ach – und warum die nicht einfach mal an alle Mailen: Weil das ein größeres Drama wäre als das aktuelle Verfahren.
Lass nur einen von 1.000 auf die Mail mit einem Fragekatalog wie „Oh je, oh je, oh je – was mache ich denn jetzt nur?“ antworten.
Oder der ein oder andere
clevereAbmahner würde sofort danach fragen, wo und wann er dem BSI denn per Double-Opt-In erlaubt hat seine Mailadresse zu nutzen. Da geht er jetzt gegen vor und Schadenersatz und Attacke im Sinne der Gerechtigkeit und so.Als nächstes würden dann echte Phisher anfangen ähnliche Mails zu verschicken mit beliebigem Text wie „Eine Anleitung, was Sie nun tun müssen finden Sie unter folgendem Link / in der angehangenden Datei“.
Wer wäre dann Schuld? Genau, das BSI. Selbst daran haben sie ja gedacht und teilen Dir vorab einen kurzen Zufallsstring mit, der dann in genau Deinem Betreff auftauchen wird wenn Du eine Mail vom BSI erhalten solltest.
Mir fällt eigentlich tatsächlich nichts ein, wie man das unter Berücksichtigung sämtlicher Seiteneffekte besser hätte lösen können. Das muss nun nicht heißen dass es keinen besseren Weg geben würde – aber gelesen habe ich dazu auch noch nichts. Nur motzen können sie wieder alle :/
Hey hey hey, ganz ruhig. 🙂
Ich mache dem BSI ja keinen Vorwurf oder prangere irgendwas an oder motze. -.- Aber ein gewisses Maß an Skepsis darf doch hoffentlich erlaubt sein, oder? 🙂
Deine Erklärung leuchtet mir ein. Mir war das nicht bewusst, was ein anderes Vorgehen bewirken könnte. Insofern Danke fürs Erläutern. 😉
https://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/FAQ_Mailtest_220114.html
Nochmal offiziell, sofern du es denn glaubst…
..jetzt wird mir auch die Arie mit diesem Betreff-Code klar. (Habe dann doch mal meine Hauptmailadressen checken lassen und bisher sieht alles gut aus.)
Danke für den Link. 🙂