Sicherheitswarnung des BSI – 16 Millionen Email-Accounts wurden „geknackt/gehackt“

Keine Panik ! Hier ein paar Hinweise und Erklärungen dazu:

Aufgrund der Tatsache, das der Überprüfungslink des BSIBundesamt für Sicherheit in der Informationstechnik – heute Nachmittag nahezu vollkommenst überlastet war, wir im Rahmen des KCT dazu nicht näher die Überprüfung durchführen konnten im Einzelfall, habe ich hier nunmal noch die näheren Informationen nach bestem Wissen und Gewissen zusammengestellt.

  1. Es mögen zwar auf den ersten Blick recht viele Accounts sein, doch niemand weiß, wie aktuell denn diese Liste mit den Email-Accounts samt Zugangsdaten (Passwörtern) ist. So mancher Account mag schon vielleicht  länger nicht mehr existieren. Solche Listen werden von den Bot-Netzen gerne gewinnbringend verkauft, je höher die Zahl ist, desto mehr Geld kann illegal eingenommen werden.
  2. Auch der BSI als Bundesbehörde braucht eine gewisse Öffentlichkeitsarbeit. Je dramatischer die Meldungen sind, desto mehr Aufmerksamkeit wird generiert. Über die Herkunft der Listen schweigt sich der BSI derzeit aus ermittlungstaktischen Gründen noch aus.
  3. Die Aufmerksamkeit ist dem BSI nun gelungen, sicherlich auch zu Recht. Die Seite, wo man seine Email-Adresse überprüfen kann, https://www.sicherheitstest.bsi.de/  , war über den Tag kaum erreichbar und arg überlastet. Hier ist nun Geduld gefragt, gegen Abend des 21. Januar 2014 war die Seite wieder erreichbar, aber mit längeren Antwortzeiten.
  4. Eine Überprüfung auf der Seite ist durchaus sinnvoll, der BSI versichert auch, das die eingegebenen Email-Adressen nach der Überprüfung direkt wieder gelöscht werden.
  5. Auf der Seite des BSI – Bundesamt für Sicherheit in der Informationstechnik – sind die notwendigen Angaben wichtig – hier nochmal im Bild dargestellt:
    Bildausschnitt der Überprüfungsseite des BSI
    Bildausschnitt der Überprüfungsseite des BSI

    Nach der gestarteten Überprüfung erscheint ein Bildschirm mit einem Überprüfungscode für die eingegebene Email-Adresse. Es ist eine 4-stellige Buchstaben/Zahlenkombination. Diese sollte man sich wirklich aufschreiben für die jeweilige Email-Adresse !!

  6. Warum? … das wird sich sicherlich so mancher fragen … 
    Der Bestätigungs-Code wird in einer möglichen Antwort-Mail des BSI in der Betreffzeile erscheinen. In den nächsten Tagen/Wochen/Monaten ist damit zu Rechnen, das die Bot-Netze reagieren und gleichlautende Antwortmails als Spam-Mail generieren, eventuell mit infiziertem Link oder Anhang, um weitere ahnungslose Benutzer zu Infizieren.
  7. NURwenn der generierte Bestätigungs-Code in der Betreffzeile ist, die Mail mit dem entsprechenden sogenannten GPG-Zertifikat des BSI unterschrieben ist, ist sie glaubhaft eine Antwort vom BSI. Diese bekommt man aber nur, wenn der angegebene Email-Account in den Listen vorhanden ist.
  8. Man bekommt keine Antwort vom BSI, wenn der entsprechende Email-Account in den Listen NICHT erscheint!
  9. Das hat auch seinen Grund. Der BSI kann aufgrund der vorhandenen Informationen und Listen nicht garantieren, das ein Email-Account nicht „geknackt“ wurde, der Test überprüft nur, ob er anhand der jetzt vorhandenen Listen geknackt sein könnte. NUR in dem Falle bekommt man dann eine Antwort des BSI mit Anregungen zur Gegenwehr  und den möglichen Ursachen. Diese sollte man dann aber auch wirklich ernst nehmen und befolgen !
  10. Da ich bis dato selbst noch keine Antwort vom BSI erhalten habe für  meine Email-Accounts, kann ich auch noch nicht den entsprechenden Wortlaut der Antwort-Mail hier zeigen (zum Glück ! ). Es kann aber durchaus sein, das die Antwort erst später kommt, die Server des BSI sind ja derzeit arg überfordert.

Unabhängig von dem möglichen Ergebniss der Überprüfung gilt aber:

  • aktueller Virenscanner ist einfach Pflicht – auch auf Smartphones!
  • in regelmäßigen Abständen sollte man seine Passwörter bei relevanten Internetplattformen ändern, und jetzt vielleicht erst Recht. Gerade in Online-Verkaufsportalen kann das derzeit sehr wichtig sein, zumal wir ja alle irgendwie Passwort-faul sind, und häufig das gleiche Passwort dort verwenden, welches wir auch im Email-Account haben! Diese Eigenart nutzen die Bot-Netze gerne aus, um Geld zu Machen auf unsere Kosten!
  • Gerade jetzt gilt : Alle Passwörter ändern, in Email-Accounts und auf anderen Plattformen, aber jeweils ein unterschiedliches Passwort dann bitte! Die Mühe lohnt sich und so manch eine/r kann dann ruhiger schlafen.

Im Falle einer Antwort vom BSI aufgrund der Überprüfung (bei übereinstimmendem Betreff-Code) ist folgendes zu beachten:

  • Ruhe bewahren! Panik tut in dem Falle nicht gut, kühler Kopf hilft da eher.
  • Den Rechner auf Viren genauestens überprüfen! Bei Virenbefall/ Spyware / Malware-Befund gilt : Rechner vom Netz nehmen und die entsprechenden Plagegeister entfernen.
  • Passwörter der Email-Accounts und anderer relevanten Seiten ändern – vor allem in Verkaufsplattformen
    (zur Not an nicht infizierten Rechnern bei Freunden)
  • Bei Benutzung des Online-Banking die entsprechenden Zugangsdaten bei der Bank ändern, Kreditkartenabrechnungen und Kontoauszüge überprüfen!
  • Letzteres deswegen, weil aufgrund eines Befalls des Rechners mit Malware, Spyware oder Viren durch die Bot-Netze neben den Passwörtern der Email-Accounts auch Informationen über Kreditkarten oder das Konto bei der Bank übertragen worden sein könnten.

Was ist eigentlich ein Bot-Netz?
Hier (bei Wikipedia) kann man das genauer nachlesen!

Wie sich die Sachlage zu dem Thema weiter entwickelt, kann man sicherlich dann in Zukunft hier bei heise.de
nachverfolgen.
Einen ersten Nachtrag gibt es schon, dieser war von mir nur teilweise schon angesprochen worden:
Laut heise.de geht es in den Listen nun nicht nur um Email-Accounts, sondern auch um Email-Passwort-Kombinationen bei diversen Online-Diensten!

Beim nächsten Treffen am 28. Januar 2014 des KCT können wir gemeinsam das Thema dann noch vertiefen. Interessierte und/oder Betroffene sind herzlichst eingeladen. Die Einladung gilt auch für Bürger der Nachbargemeinden.

Update 24.1.2014: „Bis Donnerstagmittag 12 Uhr registrierte das BSI mehr als 22 Millionen eingegebene E-Mail-Adressen, von denen rund 1,3 Millionen vom Identitätsdiebstahl betroffen waren“.
Diese Daten wurden von golem.de veröffentlicht:

Dort gibt es auch nähere Informationen und Antworten auf Fragen zu dem Thema:
http://www.golem.de/news/bsi-warnung-fragen-und-antworten-zum-identitaetsdiebstahl-1401-104118.html