BSI: 16 Millionen gestohlene digitale Identitäten (e-Mail) entdeckt

LSG

LSG

Erfahrener Benutzer
#1
#1
Laut dem BSI seien 16 Millionen gestohlene digitale Identitäten entdeckt worden.

Überprüfen, ob die eigene e-Mail-Adresse betroffen sei, könne man hier.

Jedoch gibt es bisher keine Angaben dazu, von wem die Adressen überhaupt kommen. Solange nicht klar ist, mit was für Listen von wem die eigegeneben Adressen überhaupt verglichen werden, würde ich erst mal abwarten.

Hier noch paar weitere Meldungen. In den dortigen Kommentaren wurde schon alles geschrieben, was ich hier jetzt noch schreiben könnte:

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html
http://www.heise.de/newsticker/meld...t-Konten-durch-Botnetze-geknackt-2090167.html (mit aktuellen Updates)
http://winfuture.de/news,79874.html
http://www.computerbase.de/news/2014-01/bsi-16-millionen-gestohlene-identitaeten-entdeckt/
http://www.chip.de/news/BSI-warnt-v...-auch-Ihre-Daten-betroffen-sind_66679710.html
http://www.pcwelt.de/news/Millionen..._warnt_vor_Identitaets-Diebstahl-8397589.html
 
LSG

LSG

Erfahrener Benutzer
#4
#4
Gibt leider noch keine Infos, welche Seiten, Provider, Dienste oder was auch immer betroffen sind und von wem die Listen angeblich betroffener e-Mail-Adressen überhaupt kommen. Daher ist das beste bestimmt, erst mal abzuwarten.
 
M

mfischer70

Erfahrener Benutzer
#5
#5
Wer da seine Mailadresse zum überprüfen eingibt ist selber Schuld! Wozu sollte man das tun? Wenn man tatsächlich betroffen ist, dann muss man eh sein Passwort ändern, aber was spricht dagegen, es so oder so zu tun? Wenn dort Millionen von Usern Ihre Mailadresse eintragen, dann hat das BSI Millionen von gültigen Mailadressen...besser kommt man doch gar nicht an gültige Datensätze. Alles nur Panikmache, um die Leute zu verunsichern und dazu zu bringen, Ihre Mailadresse dort anzugeben.
Ändert Eure Passwörter...aber alle, die mit der Mailadresse irgendwie zu tun haben, also auch Amazon und co...und gut ist!
Solange allerdings nicht veröffentlicht wird wie, wo und von wem die Passwörter "geknackt" worden sind, bringt es nicht mal was, das PW zu ändern. Da war gestern zu lesen, dass es sich um irgendwelche Schadsoftware handelt. Solange die auf irgendwelchen Rechnern noch drauf ist, bringt die Änderung nichts, da das neue PW dann sofort wieder bekannt ist.
Ansonsten ein Tipp, den ich den Leuten hier in der Firma immer wieder gebe: nirgends das gleiche PW benutzen!

Gruß Mike
 
S

schiwo1

Erfahrener Benutzer
#8
#8
mfischer70 hat gesagt.:
Wer da seine Mailadresse zum überprüfen eingibt ist selber Schuld! Wozu sollte man das tun? Wenn man tatsächlich betroffen ist, dann muss man eh sein Passwort ändern, aber was spricht dagegen, es so oder so zu tun?
Zum Vergrößern anklicken....
Warum man es tun sollte: um herausfinden ob dein Account gehackt wurde. Wenn du nur dein PW änderst und eine Schadsoftware auf deinem Device hast nützt das nix. :eek:
Du kannst dem BSI natürlich unterstellen dass es die von ihnen selbst miterstellten Datenschutzbestimmungen bricht und deine email Adresse an Spammer nach Afrika weiterverscherbelt. Wäre aber ziemlich an den Haaren herbeigezogen. Die NSA? Hat deine email + passwort sowiso bereits falls du für sie von Interesse bist.
 
Z

zerosight

Erfahrener Benutzer
#9
#9
@eterno & LSG
Die Zugangsdaten sind nicht zusammengehackt worden, sondern wurden per Malware direkt beim Enduser abgesaugt und über das betreffende Botnetz an eine zentrale Stelle gesendet. Genau hier hat das BSI vermutlich mitgelauscht. Die Übernahme oder Unterwanderung von Botnetzen ist die derzeit effektivste Methode der Schadensbegrenzung.

Anmerkung zu dem von schiwo1 Geschriebenem:
"Die" haben Deine Zugangsdaten auch, wenn Du nicht für sie interessant bist, damit sie später, falls Du doch mal interessant wirst, darauf zugreifen können. Desswegen ist es auch nicht uninteressant, seine Zugangsdaten bzw. PWs in regelmäßigen Abständen zu ändern, um unter Einsatz verbesserter Sicherheit der genutzten Umgebung, die Angriffsflächen zu verkleinern.

Die sind übrigends nicht nur die NSA, sondern auch mindestens eine handvoll anderer Nachrichtendienste anderer Länder.
 
H

haluterix

Erfahrener Benutzer
#10
#10
Danke flitzi,

werde mich mal damit beschäftigen, hatte schon mal davon gehört und dachte wenn der Rechner gehackt, dann sind alle RW futsch!

Gruß Hubert
 
M

mfischer70

Erfahrener Benutzer
#11
#11
schiwo1 hat gesagt.:
Warum man es tun sollte: um herausfinden ob dein Account gehackt wurde. Wenn du nur dein PW änderst und eine Schadsoftware auf deinem Device hast nützt das nix. :eek:
Du kannst dem BSI natürlich unterstellen dass es die von ihnen selbst miterstellten Datenschutzbestimmungen bricht und deine email Adresse an Spammer nach Afrika weiterverscherbelt. Wäre aber ziemlich an den Haaren herbeigezogen. Die NSA? Hat deine email + passwort sowiso bereits falls du für sie von Interesse bist.
Zum Vergrößern anklicken....
Das Schadsoftware vorher entfernt werden muss, habe ich auch geschrieben ;)
Trotzdem bringt es nichts, seine Adresse dort einzutragen. Wenn Du erst durch das BSI darauf aufmerksam gemacht werden musst, dass Du eine Schadsoftware auf dem Rechner hast, dann brauchst Du Dein PW auch nicht ändern, weil Du innerhalb weniger Tage/Wochen sowieso wieder infiziert bist ;)
Einzig wirkungsvoller Schutz: den Rechner regelmäßig mit aktueller Software auf Schadsoftware untersuchen, nicht auf irgendwelchen dubiosen Seiten surfen, Dateien nur von Leuten öffnen die man kennt, überall andere Passwörter nehmen und diese regelmäßig ändern. Auf deutsch: was geändert werden muss, ist einfach das Bewußtsein in den Köpfen der User! Das eintragen auf der Seite vom BSI ist dagegen nutzlos.

@haluterix
20-30 PW braucht man in der Regel nicht, aber selbst wenn...dafür gibt es verschlüsselte PW Datenbanken, oder man bildet seine PW zB. mit den Anfangsbuchstaben von Liedtexten, die einfach zu merken sind. Beispiel: "Hwkvdr" Und erkannt? "Horch was kommt von draussen rein" und nein.....dieses PW nehme ich natürlich nirgends...das ist nur ein Bsp. :D Super kann man auch Buchstaben durch Zahlen austauschen. 0 statt O oder 1 statt I

Gruß Mike
 
LSG

LSG

Erfahrener Benutzer
#15
#15
Rangarid: Zu einer Identität gehört das PW dazu.

Mich machen diese folgenden Dinge stutzig, dass der BSI die e-Mail-Adressen nur für den Abgleich mit den Listen verwende:

-Es wird keine Quelle der Listen genannt
-Es wird nicht gesagt, wie alt der Vorfall überhaupt ist. Wenn er schon z.B. ein Jahr alt wäre, wäre die plötzliche Panikmache übertrieben
-In den Nachbarländern wie z.B. Österreich oder Schweiz wird überhaupt nichts davon erzählt, nicht mal in der NZZ, obwohl viele Schweizer und Österreicher deutsche Anbieter nutzen. Entweder haben es diese Länder also verpennt, der Angriff betrifft nur aus Deutschland kommende Adressen, was ich bei einem derartigen Bot aber für unwahrscheinlich halte oder es geht hier wirklich nur um den BSI.
-Es gab nur eine einzige Meldung dazu seitens des BSI und seit gestern auch keine keine weiteren Infos, nur verstärkte Panikmache
-Auf der Seite des BSI ist diverse Werbung eingeblendet (wird auch nicht von AdBlock erkannt)
-Das BSI verstößt möglicherweise gegen §3a des BDSG. Möglicherweise wäre ein Java-Skript besser als ein Versenden der e-Mail-Adresse gewesen?
-Das BSI ist keine Strafverfolgungsbehörde

Zu Punkt 1 und 2 gibt es etwas Neues:
http://www.heise.de/security/meldun...-millionenfachem-Identitaetsklau-2093423.html
Also schon seit Dezember... und die Daten werden schon seit Jahren gesammelt. Nun ist auch "nur" noch von 8 mio Betroffenen die Rede.
 
Zuletzt bearbeitet:
R

Rangarid

Erfahrener Benutzer
#16
#16
Naja dann haben die vielleicht meine Mail in Kombination mit dem Passwort 123 für die Seite Adobe.com wo man sich registrieren muss um was runterzuladen um das als Beispiel zu nennen...
 
FerdinandK

FerdinandK

Erfahrener Benutzer
#18
#18
Ihr müsst Euch von dem Gedanken verabschieden, dass man Gut und Böse als solche erkennen kann. Was wäre eine tolle Art einen Virus zu verbreiten? Genau, direkt mit dem nächsten Update vom Virenscanner mitschicken. Was wäre wenn es keine Viren oder andere Arten von Malware gäbe? Richtig, die Virenscanner und deren Vertrieb, Entwicklung, Support arbeitslos, also werden die tunlichst zusehen, dass das nicht passiert. Man kann heute nicht wissen wer, was mit welchen Daten in 1/2/5/10 Jahren machen wird. Stellt Euch vor Ihr beendet ein Abo von einem Virenscanner, wird keine 10 Tage dauern ...

Eine Email ist (war) wie ein Brief eine Textnachricht. Soll heißen wer sich an den lustigen Präsentationen erfreut die der nette Kollege per Verteiler weiterschickt ist selber schuld. Wer im Internet nach freeware für was auch immer sucht und sich dabei über tolle kleine Programmchens freut, die z.B. den Rechner aufräumen ("Ihr Rechner ist nun zu 67% mehr aufgeräumt") oder die Performance des Rechners (Smartphones) erhöhen ("Die Performance Ihres Rechner wurde um 33% erhöht") darf sich auch nachher nicht beschweren. Toll ist auch so ein User mit Admi-Rechten, weil da kann man immer alles machen.

Dennoch bleibt ein "Klau" ein "Klau", also die Schuld liegt schon noch bei dem der klaut und nicht bei jenem der beklaut wurde, also Augen auf, Ohren auf, und nix anclicken was einem nix angeht, besser noch nix benutzen was man nicht versteht. Am sichersten ist immer noch der Account der gar nicht eröffnet wurde und der Computer der nicht aus der Schachtel genommen wurde.

Natürlich "knackt" kein Mensch ein Passwort indem er alles ausprobiert oder einen RSA-Schlüssel löst, wenn man ein bisschen mitdenkt geht es viel einfacher und natürlich spart es viel Arbeit wenn man das Passwort schon von der Tastatur abnimmt nur weil ein * am Bildschirm erscheint, kommt dennoch von der Tastatur dennoch was anderes.

lg Ferdl
 
Zuletzt bearbeitet:
taler

taler

Erfahrener Benutzer
#20
#20
Naja, diese Einstellung mag zwar in gewissem Rahmen sicherer sein, als die völlige Blindheit bei der Auswahl von Internetseiten, aber wirklich weiter komme ich damit im Internet nicht.
Da wärs besser ich bliebe ausschließlich bei der morgentlichen Tageszeitung inclusive Prospektbeilage.
Ich benutze und klicke im Internet auf Zeug damit ich was erfahre, was ich bisher nicht wußte.
Ob das nun schirfltiche Artikel sind, Programme deren Funktionsbeschreibung ich lesen möchte, Artikelbeschreibungen von Waren bevor ich sie kaufe, Anmeldungen bei Shops bei denen ich bestellen will etc.
Ohne Restrisiko dürfte ich da vermutlich gar nix anwählen.

Also was solls, wichtig finde ich, dass die Verantwortung für mein tun bei mir bleibt und ich dazu steh.
Das was andere tun kann, will und darf mich nicht stören, weil ich darauf genau keinen Einfluß habe.

gruß taler
 
Erhaltene "Gefällt mir": jreise
Um antworten zu können musst du eingeloggt sein.
FPV1

Banggood

Oben Unten