Dienstag, 21. Januar 2014

16 Millionen Email-Konten geknackt. Was tun?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Von 16 Millionen email-accounts haben Hacker die Zugangsdaten geklaut.


Wie kann ich prüfen, ob ich betroffen bin?


Wer wissen will, ob sein eigenes Postfach betroffen ist, kann das seit Dienstagvormittag auf der Website


prüfen. Sie müssen die Seite unbedingt direkt aufrufen, nicht über Links in emails.

Allerdings: die Seite ist wegen der vielen Anfragen extrem überlastet. Sie müssen geduldig bleiben.




Vorsicht

Reagieren Sie NICHT auf fake-emails, die angeblich vom BSI stammen.

Das BSI kennt zwar die Betroffenen, sendet aber bewusst KEINE emails an die Opfer, um diese zu informieren.  Es will, dass alle email-User selbst die BSI-Seite aufrufen (nicht über einen Link in einer email) und dort abfragen, ob Sie betroffen sind.

Grund: es könnten sich Trittbrettfahrer anhängen und mit gefälschten emails alle möglichen email-Besitzer anschreiben, um durch Tricks an deren Zugangsdaten zu kommen (so genannter Pishing-Versuch).

Das wird allerdings sowieso geschehen. Es wird also eine Welle von gefälschten emails kommen, in denen man informiert wird, dass man angeblich Opfer des Diebstahls sei. Dann wird wahrscheinlich über einen Link auf eine gefälschte Webseite gelenkt, wo Sie durch einen Einlog-Versuch Ihre Zugangsdaten preisgeben. So, oder so ähnlich, könnte das ablaufen.

Warnen Sie also auch Ihre Bekannten vor solchen emails, die mit Sicherheit kommen werden. 


Nochmals: das BSI versendet KEINE emails an die Opfer. Sollte jemand eine solche email erhalten, ist sie gefälscht und stammt nicht wirklich vom BSI.

Auch ähnliche emails von anderen Institutionen oder von den email-Verwaltungsfirmen können pishing-Versuche sein.


Die Online-Abfrage beim BSI

Auf der Website des BSI können Internetnutzer ihre E-Mail-Adresse eingeben und erhalten daraufhin einen Prüfcode. Bekommen sie daraufhin eine E-Mail an die angegebene Adresse mit entsprechendem Prüfcode im Betreff, bedeutet das, dass Botnetze Daten zu dieser E-Mail-Adresse gesammelt haben. In der Mail des BSI werden den Betroffenen Tipps gegeben, wie sie ihren Computer reinigen und Zugangsdaten unter Umständen besser gestalten und sichern können. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung.

Verbesserungsvorschlag an die BSI:

Abfragemöglichkeit für mehrere email-Konten gleichzeitig. Oder zumindest ein Hinweis auf der Code-Meldung, für welches angefragtes email-Konto das gilt.

immer nur 1 email-Adresse abfragbar

Für welche email-Adresse war das gleich wieder?




 Außerdem: Unklar ist, ob googlemail-Konten in beiden Schreibweisen abgefragt werden müssen.

  • mustermann@googlemail.com
  • mustermann@gmail.com
gmail-User sollten vorsorglich jeweils beide Varianten abfragen.


 
Maßnahmen für Opfer:

Hat der Test des BSI angeschlagen und wurde bestätigt, dass eine E-Mailadresse betroffen ist, dann sollten alle Rechner, die für die betroffenen Zugangsdaten und E-Mailkonten genutzt wurden, gereinigt werden. Denn meist stammen die Einbrüche von Schadstoff-Spionage-Software auf dem Rechner (Stichwort "bot-Netz")

Haben Nutzer für E-Mailadressen und verschiedene Online-Dienste stets die gleichen Zugangsdaten genutzt, sollten auch hier alle Zugangsdaten geändert werden.


Maßnahmen für alle:

Lassen Sie den Rechnerm it einer aktuellen Antivirus-Software durchlaufen. Zum Beispiel antivir, und microsoft essentials.

Mac-Usern empfehle ich Sophos, wo es auch eine Freewareversion gibt.


Ausblick

Der Schaden ist schlimm genug. Hacker können in Ruhe die email-accounts verfolgen, ohne zu verraten, dass der email-User gehackt ist. Und können weitere Informationen sammeln. Außerdem können sie die Zugangsdaten wiederum weiterverkaufen, so wie man Adressen verkauft. Die Schäden sind langfristig.

Und irgendwann denken viele User nicht mehr an die Gefahr, dass sie zu den Opfern gehören.

Ich persönlich glaube, dass der zusätzliche Schaden, der künftig durch nachfolgende pishing-Versuche entstehen wird,  enorm sein wird: Millionen Bundesbürger sind verunsichert und haben Angst, und wenn Betrüger angebliche Hilfe anbieten, werden viele User darauf reagieren. Nur wenige Laien kennen die Vorgehensweise beim Pishing, oder sie kennen sie, können sich aber nicht vorstellen, wie täuschend echt die Webseiten konstruiert werden können. Als langjähriger Dozent im Bereich der Erwachsenenbildung weiß ich, dass nur ein Bruchteil der PC-User und Internet-User (also ein Bruchteil der Allgemeinheit) eine Ahnung von den Gefahren und Mechanismen haben. Das gilt auch für User, die seit Jahrzehnten intensiv den PC nutzen.

  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP