Heute schon E-Mails kontrolliert?

Wenn das BSI davor warnt, dass 16 Millionen E-Mail-Passwörter gehackt wurden

Botnet by Tom-b CC BY-SA 3.0 Wikipedia
Ablauf der Entstehung und Verwendung von Botnetzen: (1) Infizierung ungeschützter Computer, (2) Eingliederung in das Botnet, (3) Botnetbetreiber verkauft Dienste des Botnets, (4) Ausnutzung des Botnets, etwa für den Versand von Spam – Bild: Tom-b, CC BY-SA 3.0 Wikipedia

In allen Medien war es zu hören und zu lesen, vor ca. einem Monat wurden 16 Millionen E-Mail-Konten gehackt und befinden sich seitdem in sog. Botnetzen (s. Bilderklärung oben), heißt es vonseiten des Bundesamt für Sicherheit in der Informationstechnik (BSI), man sei auf einen großflächigen Identitätsdiebstahl gestoßen. Diese Botnetze mussten jedoch erst einmal ausgewertet werden, daher wurde der Vorfall erst gestern öffentlich bekannt gegeben.

Genauer gesagt heißt es in der Pressemeldung des BSI vom 21. Januar 2014: „Im Rahmen einer Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. Diese bestehen in der Regel aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort. Viele Internetnutzer verwenden diese Login-Daten nicht nur für das eigene Mail-Account, sondern auch für Benutzerkonten bei Internetdiensten, Online-Shops oder Sozialen Netzwerken. Die E-Mail-Adressen wurden dem BSI übergeben, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können.“

Tatsächlich hat gestern Abend gegen 21 Uhr jemand versucht, zwei Mal hintereinander sich Zugriff auf ein GMX-Mailkonto der Redaktion zu verschaffen. Das war daran zu erkennen, dass GMX in zwei automatischen E-Mails darum bat, das Passwort zurückzusetzen, was nicht auf eine Aktion der Redaktion zurückzuführen war. Die Redaktion hat selbstverständlich keine Links in den E-Mails angeklickt, sondern diese gelöscht und das Passwort direkt im GMX-Account sofort geändert.

Entgegen der Aufforderung des BSI, man solle auf deren Webseite, die mithilfe der Telekom eingerichtet wurde, seine „E-Mail-Adresse eingeben, um zu überprüfen, ob sie von dem Identitätsdiebstahl betroffen“ ist, die „dann in einem technischen Verfahren vom BSI mit den Daten aus den Botnetzen abgeglichen“ würde, hat die Redaktion sich dazu entschieden, alle Passwörter aller E-Mail-Accounts einfach zu ändern. Denn irgendwie erscheint es nicht ganz geheuer, dass man dem BSI seine E-Mail-Adressen übermitteln soll, das käme ja einer Datensammlung vonseiten des BSI gleich, da diese dann nicht nur über die angeblich sich im Botnetz befindlichen, sondern auch alle E-Mail-Adressen verfügen würden, die man zurzeit unterhält.

Zwar heißt es in der Datenschutzerklärung der BSI-Sicherheitstest-Seite, dass „sämtliche personenbezogene Daten, die bei der Nutzung des Tests erhoben werden, vollständig gelöscht werden, sobald sie zur Durchführung des Tests nicht mehr benötigt werden“ und „die angegebene E-Mail-Adresse zu keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet wird“. Im gleichen Zuge weist der BSI aber darauf hin, dass „bei Nutzung des Sicherheitstests die Anzahl der Nutzer der Webseite sowie die Anzahl der versendeten E-Mails erfasst wird, um den Umfang der Nutzung der Webseite statistisch zu erfassen. Außerdem werden „zur Abwehr des Missbrauchs des Dienstes zudem kurzfristig für die Dauer des Sicherheitstests Hashes von IP-Adressen sowie von E-Mail-Adressen erhoben“.

Und ohne das Häkchen zur Einwilligung der Verarbeitung und Nutzung durch den BSI kann die Überprüfung der E-Mail-Adresse auf der Sicherheitstest-Seite gar nicht erst durchgeführt werden.

Entschuldigung. Warum sollte man freiwillig alle seine E-Mail-Adressen dem BSI und der Telekom zur Verfügung stellen und allen Forschungseinrichtungen und Strafverfolgungsbehörden? Das ist doch merk-würdig, wie der Mindener sagt.

OctoberNews rät daher von der Eingabe der eigenen E-Mail-Adressen auf der Sicherheitsseite des BSI ab.

Vielleicht haben Sie ja auch schon in den letzten Tagen ähnliche automatische Mitteilungen Ihrer E-Mail-Account-Betreiber erhalten, wie oben beschrieben. Dann wird es höchste Zeit, dass Sie alle Passwörter aller Ihrer Online-Accounts und aller Ihrer E-Mail-Accounts ändern! Falls Sie mit Outlook oder anderen Offline-E-Mail-Programmen arbeiten, müssen danach die neuen Passwörter natürlich auch hier geändert werden, um E-Mails senden und empfangen zu können.

Und bei der Auswahl der Passwörter kann man ruhig kreativ werden, z. B. Fantasienamen verwenden, die garantiert nicht im Duden stehen, am besten in Kombination mit Ziffern- und/oder Sonderzeichen.

Außerdem unterstützen die meisten E-Mail-Anbieter auch das Verschlüsselungsprotokoll „SSL“ (Secure Sockets Layer) zur sicheren Datenübertragung im Internet. Dafür brauchen Sie nur eine zusätzliche Einstellung in Ihrem E-Mail-Programm in jedem einzelnen E-Mail-Konto vornehmen:

SSL-Einstellung
SSL-Einstellung in Outlook für mehr Sicherheit beim Datenübertrag – Screenshot: onm

Des Weiteren empfiehlt sich natürlich, alle Geräte mit Internetzugang – ob Desktop-PC, Smartphone oder Tablet – abzusichern durch geeignete Antivirenprogramme und Firewalls.

Zuguterletzt kann man nur immer wieder dazu aufrufen, KEINE Verlinkungen in E-Mails von unbekannten Absendern anzuwählen – auch wenn sie noch so verlocken mögen oder so aussehen, als würden sie von Ihrer Bank oder Ihrer Bekanntschaft übersandt worden. Merken Sie sich lieber den Namen der Verlinkung oder kopieren sich diese vorsichtig (ohne den Link anzuklicken!) und geben diese in ein Suchmaschinenfeld (z. B. Google, Altavista, Yahoo o. a.) in Ihrem Browser ein. Handelt es sich bei dem Link aus Ihrer E-Mail um Schadsoftware, weisen Suchmaschineneinträge meistens darauf hin, z. B. Einträge in Foren. Dann heißt es: Die E-Mail mit der schadvollen Verlinkung ganz schnell löschen – oder besser: erst als Spam- bzw. Junk-Absender kennzeichnen und dann löschen.

Es stellt sich schnell eine tägliche Routine ein, wenn man erst mal alles eingerichtet hat und tagtäglich konsequent alle „merkwürdigen“ E-Mails löscht, ohne irgendwelche Verlinkungen anzuklicken. Wechselt man dann noch regelmäßig alle Passwörter, hat man schon ein gutes Stück für die Sicherheit der eigenen Daten getan.

Ein bisschen mehr Arbeit und Zeit kostet es schon, wenn man im Browser (z. B. Internet Explorer, Google Chrome, SRWare Iron) Pop-Up-Blocker aktiviert, Google verbietet, den Internetverlauf zu speichern, Cookies unterbindet und z. B. im „Inkognito-Modus“ (STRG + Hochschalttaste + N) surfen will, damit aufgerufene Webseiten nicht im Browser- oder Suchverlauf gespeichert werden und keine sonstigen Spuren wie Cookies auf Ihrem Computer hinterlassen.

Traurig, aber wahr: Vor richtig kriminellen Internetattacken, die z. B. beabsichtigen, das Bankkonto leerzuräumen, ist niemand gefeit. Deshalb sollte dieser Gedanke immer mitberücksichtigt werden, wenn man sich im World Wide Web bewegt. Das gilt natürlich auch für Leute, die ihre Nacktfotos im Internet veröffentlichen und sich darüber wundern, dass sie von Dritten gesehen werden, obwohl man sie nur für „Freunde“ freigegeben hat. ;o)

Daher noch mal für alle: Das Internet vergisst nie! Und damit auch nicht der BSI, die NSA, der Provider, der Handyanbieter, der Social Media Account, der Arbeitgeber, der Ex-Freund usw. – ergo haben Datensammler freie Bahn, ob sie unsere Daten für statistische Zwecke, für Werbemaßnahmen, zur Aufklärung oder für missbräuchliche Zwecke nutzen. Man kann es diesen „Institutionen“ nur ein bisschen schwerer machen. 


Diesen Bericht teilen: