Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die oberste nationale Sicherheitsbehörde, berichtet von einem großflächigen Identitätsdiebstahl, von dem 16 Millionen Digitale Identitäten betroffen sein sollen. Bei der Analyse von Botnetzen hat man rund 16 Millionen kompromittierte Benutzerkonten entdeckt, die in der Regel aus der Kombination eMail-Adresse & Passwort bestehen. Da zahlreiche Internet-Nutzer der Bequemlichkeit halber diese Login-Daten nicht nur für ihr eMail-Konto, sondern auch für andere Benutzerkonten (z.B. beim Einkauf oder für Soziale Netzwerke) nutzen, steigt das Gefährdungspotenzial für solche Nutzer enorm an.
Das BSI hat eine Testseite eingerichtet, auf der die eigene eMail-Adresse eingegeben und überprüft werden kann. Erhält man keine Nachricht, ist die eMail-Adresse auch nicht betroffen. Ist jedoch die angegebene eMail-Adresse betroffen, bekommt man eine Antwort, die zusätzliche einige Empfehlungen enthält:
- Den oder die Rechner von der unerwünschten Schnüffel-Software reinigen. Dazu empfiehlt das BSI den Avira PC-Cleaner als „zusätzliche Meinung“, ich empfehle außerdem einen zusätzlichen Scan mit Malwarebytes Anti-Malware Free.
- Alle Zugangsdaten (mindestens aber die Passwörter) ändern, die zur Anmeldung bei Online-Diensten genutzt werden. Nicht nur das Passwort zu der betroffenen eMail-Adresse ändern, denn die Schnüffel-Software könnte auch andere Digitale Identitäten ausgespäht haben!
Eine gute Zusammenfassung, was geschehen ist und was zu tun ist, bietet teltarif.de.
Update vom 25.01.2014
Wie heise Security berichtet, ist in den vom BSI gesammelten Datensätzen jede Menge „Datenmüll“ enthalten, u.a. fiktive eMail-Adressen, die ausschließlich dem Sammeln von Spam dienen.
Außerdem zeigt der Artikel auf, dass sich ausgerechnet die Antwort-Mail vom BSI als Musterbesipiel dafür erweist, wie eine sicherheitsrelevante E-Mail eben nicht beschaffen sein sollte:
- Sie beginnt statt mit einer personalisierten mit einer unpersönlichen Anrede.
- Sie enthält kein Impressum.
- Die Abkürzung „BSI“ wird nirgendwo erklärt.
- Wer den auf der Testseite ausgegeben Sicherheits-Code inzwischen wieder vergessen oder verlegt hat, könnte eine vermeintliche eMail vom BSI, die einen anderen Code nennt, dennoch öffnen und dann möglicherweise auf schädliche Inhalte hereinfallen.
- Der Umstand, dass ein GPG-Zertifikat heruntergeladen werden soll, um die Echtheit der eMail zu überprüfen, ruft geradezu die Trittbrettfahrer und Phisher auf den Plan.
Update vom 27.11.2018
Das BSI hat die Testseite unter https://www.sicherheitstest.bsi.de/ im Herbst 2018 abgeschaltet.
Die Pressemitteilung mit den wichtigsten Informationen zum Mailtest hat das BSI inzwischen aus dem Netz entferntt.
2 Gedanken zu „Das BSI warnt vor millionenfachem Identitätsdiebstahl [UPDATE]“