BSI warnt vor Identitätsdiebstahl in 16 Mio. Fällen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat heute eine offizielle Warnung für rund 16 Millionen kompromittierte Benutzerkonten ausgesprochen. Ob man betroffen ist, kann per eigens eingerichteten Sicherheitstest überprüft werden. mehr... Deutschland, Bsi, Bundesamt für Sicherheit in der Informationstechnik Bildquelle: Bundesamt für Sicherheit in der Informationstechnik Deutschland, Bsi, Bundesamt für Sicherheit in der Informationstechnik Deutschland, Bsi, Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Sollte ich mich jetzt mehr darueber sorgen dass meine Email dabei geklaut oder sie bei der Strafverfolungsbehoerde gelistet wurde? Edit: Beim lesen anderer quellen scheint wohl das Problem nicht bei der Strafverfolgungsbehoerde sondern bei einem ihrer "Opfer" zu liegen
 
@-adrian-: das liegt wohl ganz bei dir und deinem sozialverhalten ;-)
 
@Fallguy: Bei 16Mio Faellen liegt das mit Sicherheit eher am Staat und seinem Kontrollverhalten
 
@-adrian-: Denkbares Szenario wäre auch: BSI lässt ne Art Fake los, um an noch mehr Mailadressen zu kommen, auch wenn es etwas utopisch klingt, für so augeschlossen halte ich das nicht wirklich...
 
@Zwerg7: um an mailadressen von leuten zu kommen, genügt warscheinlich eine mail vom geheimdienst, an die maildienste anbieter, das kann's glaub ich nicht sein. wenn man dann schon eine verschwörung sieht, dann eher, das man sich einen staatstrojaner sich einfängt
 
@Zwerg7: den gedanken hatte ich beim lesen auch bekommen .... *g
 
@wydan: Oh Mann! Jetzt greift Verfolgungswahn und Verschwörungstheorie aber wirklich hier voll zu.
 
@Kiebitz: steht da irgend wo das ich das glaube
 
@wydan: War eigentlich nicht direkt nur an Dich gewandt sondern besser wäre gewesen @all! Kommt vom Blauen Pfeil anklicken!
 
@Kiebitz: ich les grad, das, dass mit dem staatstrojaner gar nicht sooo weit her geholt war, man hat einen GPG-Zertifikat runter laden müssen
 
@-adrian-: Der BSI ist keine Strafverfolgungsbehörde....
 
@ThreeM: Die Daten kommen dort aber her. Scheinen wohl aber nicht den Ursprung dort zu haben
 
@ThreeM: Hat auch keiner gesagt. Es handelt sich lediglich um eine staatliche Institution. Wobei das Augenmerk auf "staatlich" zu richten ist.
 
Seite derzeit nicht erreichbar....
 
@Zwerg7: total überlastet
 
@Gorxx: Der Staat hat eine Datensammelaktion gestartet und die braven Bundesbürger stehen nun Schlange. :-D

Einfach Email Passwort ändern und gut.
 
@Pah-Geist!: Aha. Und welche Daten sammeln sie - E-Mail-Adressen? Na ich glaube wenn der Staat das wollte, bräuchte er keine solche Warnmeldung + Prüfseite des BSI :)
 
@FenFire: So kommen sie einfach an verifizierte E-Mail Adressen.
Damit lässt sich leider einiges anstellen.
 
@Pah-Geist!: Ich bin mir sicher - gerade diese Aktion des BSI ist gutgemeint und harmlos. Wo der Staat weniger harmlos agiert hat er zum einen ganz andere, effektivere Mittel, zum anderen tut er es im Geheimen.
 
Warum nicht einfach ein Datenbankabgleich? Ist die Adresse die man im Feld eingibt betroffen - Ja oder Nein.
Was Soll das Theater mit dem senden einer Email an die eingegebene?
 
@gutenmorgen1: Weil das Botnetz des BSI noch nicht steht. Es fehlen schließlich noch 16 Millionen Datensätze!
 
@gutenmorgen1: Datenschutz? Schutz vor Missbrauch? Ich kann da ja ne xbeliebige Adresse eingeben und sehe, was mit der los ist. So, wie es das BSI macht, ist es sinnvoll.
 
@FatEric: Und was nützt dir das? Ist die eingegebene Mail-Adresse des Nachbarn kompromittiert oder nicht. Simple Antwort ja oder nein. Was hat das mit Datenschutz zu tun?
Ich kann es höchstens dem Nachbarn, der nicht auf Winfuture unterwegs ist, freundlicherweise mitteilen.
 
@gutenmorgen1: Deutet vielleicht darauf hin, wo sich dein Nachbar so im Internet rum treibt. Ehrlichgesagt wäre es mir auch egal, aber das BSI hat einfach die pflicht es 100% korrekt zu machen, wenn sie sowas überhaupt machen wollen. Und dann ist das der richtige Weg!
 
@FatEric: Das ist aber nicht korrekt. Da werden die Leute sicherlich vom gleichen PC aus ihre ganzen Mail-Adressen nacheinander eintippen. Das ist ein wunderbares Werkzeug um Daten wie Mailadressen, Realnahmen ect. zu sammeln.
 
@gutenmorgen1: Und was bringt es, Email-Adressen einzutippen, auf die man keinen Zugriff hat? Ich hab die Seite zwar noch nicht zu Gesicht bekommen, aber ich kann mir vorstellen, dass es direkt auf der Seite keinen wirklichen Hinweis darauf gibt ob die jeweilige Adresse in der Datenbank vorhanden ist. edit: Ich habe deinen Kommentar scheinbar falsch verstanden. Du meinst, die Leute tippen ihre EIGENEN Adressen ein und das BSI verknüpft dadurch IP->Email->sonstige Daten?
 
@_rabba_u_k_e_: Genau so habe ich das gemeint.
 
@gutenmorgen1: Ok, ist natürlich ein denkbares Szenario, aber das halte ich für unwahrscheinlich. Anhand deiner Adresse+IP kann man vielleicht auf den Zusammenhang kommen, das diese Adressen möglichweise zu einer Person gehören. Aber wie sollte man an die übrigen Informationen kommen? Und zur Not kann man auch jede Adresse mit einer neuen IP überprüfen.
 
@_rabba_u_k_e_: In Zeiten der NSA halte ich wirklich überhaupt nichts für unwahrscheinlich. Das was das BSI hier betreibt ist Phishing vom allerfeinsten.
 
@gutenmorgen1: Was wäre die Alternative?
 
@_rabba_u_k_e_: Die Alternative zu, "nur einen Burchteil dieser 16 Mio Leuten informieren zu können, dafür aber zig-tausend neuer Emails für die eigene Datenbank zu erhalten"?
Wie wäre es mit jeder einzelnen der kompromittierten Mail-Adressen einen Warnhinweis zu schicken?
 
@gutenmorgen1: Das wäre ja per Definition Spam. Dürften sie also gar nicht machen. ;)
 
@gutenmorgen1: Würdest du eine Email, die dir ungefragt geschickt wurde, ernst nehmen? Was würde diese von anderen Spam-Mails unterscheiden? Sicher kann man sich Gedanken über die mögliche Sammelwut von staatlichen Institutionen machen. Aber ich denke, die hier genutzte Möglichkeit stellt, ein wenig Vertrauen ins BSI vorausgesetzt, die sicherste Methode dar.
 
@gutenmorgen1: ja stimmt. wenn man sich anschaut was der BND z.T entwickelt hat nur um irgendwann mit zu den "five eyes" zu gehören. da ist sowas wie emails sammeln eine herausforderung. vor allem da die betreiber seit jahren verpflichtet sind denen zugang zu den servern zur verfügung zu stellen.
 
vertrauen ist gut, kontrolle ist besser.
 
wie immer wenn es ums bsi geht erst den breitbandtest der java voraussetzt aba java als gefährlich eingestuft wurde vom bsi. ging bei mir übrigens irgendwie garnicht egal mit welchen browser. ich war aber nicht der einzige und jetzt geht die seite nur sporadisch.
 
@Odi waN: Ja manchmal denkt man schon das BSI nicht mal selbst über Sicherheitsrelevante Dinge bescheid weiß.
 
Über den Breitbandtest lädst du dir freiwillig im Hintergrund versteckt den Bundestrojaner drauf.
 
@wspiess: ;) neu Trojaner Abo.
 
Sicher 16 Millionen Einzelfälle ... :)
 
Irgendwie trau ich dem ganzen Frieden nicht.
Wer seine E-Mailadresse überprüfen will, kann in der PwnedList nachschaun: https://pwnedlist.com/
 
@CheRubiM: Dann vertraue ich aber doch lieber dem BSI, als in so einer Liste ;)
 
@CheRubiM: Eine E-Mail Adresse ist betroffen kann ich denn jetzt genauer wissen in welcher Kombination z.B. in Kombination mit dem Passwort?
 
@Menschenhasser: Änder einfach dein Passwort :)
 
@Schrimpes: Ach ich habe mindestens 40 verschiedene Kombis aber es wäre einfacher zu wissen welches dieser Kombis betroffen ist denn so weiß ich welche Seite betroffen ist. Denn die Passwörter haben keine logische Ordnung sondern ein Zeichen und zahlen Wirrwarr. Dann weiß man wenigsten das wahrscheinlich die Seite gehakt wurde und da kann ich dann mein Account löschen.
 
@Menschenhasser: Frag mal die NSA, die haben die Liste schon lange bekommen und nutzen sie ;)
 
@dodnet: XD obwohl müsste man mal versuchen.
 
@CheRubiM: Ohne die Quelle ist diese pwnedList mal sowas von nicht hilfreich. Ich nutze eine Mail für alles, ist ziemlich sicher das die längst den Hackern bekannt ist. Bringt denen aber nix da nur was keine Sicherheitsprio hat ein gemeinsames Passwort benutzt. Sicherheitskritische Anwendungen haben eigene & einzigartige PWs.
 
@Aerith: Ich nutze die PwnedList seit Jahren, um meine E-Mail addys zu prüfen! sobald dort eine auftaucht, änder ich PW's über einen sicheren PC und die Emails, sowie die Konten, die damit in Verbindung stehen, verschwinden!
Du fragst nach Quellen der PwnedList? hast du dir mal die Seite durchgelesen? .. Die nehmen einem einfach die Arbeit ab selber im Untergrund nach seinen Addys zu forschen! .. PasteBin und Torrents dürften dir ein Begriff sein? -.- ... die leuchten noch mehr ab, Hacker-Foren, etc. pp.
Ich wollte hier nur den Leuten aufzeigen, wie sie sich wirklich prüfen können, ohne auf sonen pseudo wir sind die regierung und toll scheiss rein zu fallen!
Also ganz ehrlich: "Go Fuck Yourself!"
 
@CheRubiM: Vielleicht solltest du mal lesen lernen. pwnedlist schreibt ausdrücklich: >Sorry, we are unable to offer you any more details besides the binary YES/NO answer. As stated on this page we do not store the leaked data. We simply process it and discard it.< Sprich genau die Information WO der hack vorgekommen ist (ich bezweifel nämlich stark das die meinen E-mail Anbieter direkt gehackt haben) wird von denen GELÖSCHT. Wenn man also seine E-mail Addresse seit 10+ Jahren für so ziemlich alles benutzt, ists fast schon gegeben das die da drin auftaucht. Das heißt aber noch lange nicht das ein Sicherheitsproblem vorliegt wenn man vernünftig mit seinen Passwörtern umgeht. Und nein, ich habe gerade keine Lust an mir selber rumzuspielen. Aber witzig das WF derartige Beleidigungen einfach durchgehen lässt.
 
Bin für die Veröffentlichung der Excel/PDF-Datei. :-)
 
So kommt man ohne großen Aufwand an aktiv genutzte email Adressen...
 
@timohepolis: Oh bitte. Als ob das die Intention des BSI wäre, noch dazu quasi öffentlich wie ein Zensus. Glaubst Du wirklich, ein Geheimdienst könnte bei deutschen Providern nicht einfach die Addressierungen von über deren Mailserver laufendem Mailverkehr abgreifen, wenn er Mailadressen sammeln wollte?
 
Was für ein plumper Versuch des BNDs an die E-Mail-Adressen der deutschen Bürger zu kommen ;D
 
@dodnet: Die hat er ohnehin schon, da bei jedem Email-Provider SINA-Boxen installiert sind, welche die Mails auf bestimmte Stichworte durchsuchen.
 
@dodnet: Du hältst den BND offenbar für inkompetent. Ich denke auf Mailservern bei deutschen Providern die Adressierungen abzugreifen wäre zum einen deutlich effektiver, zum anderen geheim, ein Verfahren über diese BSI-Seite somit Unfug. Daher halte ich Deine These für abwegig.
 
@FenFire: [ ] du weißt, was ein Smilie ist und bedeutet...
 
@dodnet: Den hatte ich am Schluss doch glatt übersehen, sorry ;)
 
@FenFire: ;)
 
@dodnet: dazu reicht es einmal bei united internet und der telekom vorbei zu gucken, da haben wohl so gut wie alle deutschen einen account.
 
seite ist überlastet. aber was spricht dagegen einfach den 16Mio leuten die betroffen sind eine signierte e-mail zu schicken ? zu viel aufwand ? oder haben die angst das die leute das als spam sehen
 
@gast27: Wohl am ehesten wegen des Spams. Möglicherweise verbieten sogar Gesetze gegen Spam eine derartige ungefragte Massenbenachrichtigung. Und seien wir mal ehrlich, wenn Du eine Mail erhieltest "Guten Tag hier ist Ihr freundliches BSI. Ihre Mailadresse wurde kompromittiert", würdest Du nicht sofort an Spam bzw. einen Betrugsversuch denken?
 
@FenFire: hast recht. wenn die leute sowas nicht vorher erlauben fällt das unter spam und ist verboten. das verfahren würde auch anderen bertürgern tor und tür öffnen. da hilft nichtmal eine gut gemeint signierung etwas.

@trimmi: bisschen wird das auch im text erklärt. man kann digital signieren damit man die eigene echtheit verifizieren kann. natürlich muss man sowas dann auch vertrauen.
 
@gast27: was ist denn eine signierte email? wie koennte man sowas realisieren? elektronische unterschrift vom chef vom BSI drunter oder wie?
 
@Trimmi: Japp, der muss jede Mail erst handschriftlich unterschreiben. Darum ist die Seite auch nicht erreichbar, der macht grad Feierabend ;)
 
@dodnet: ;) armer kerl xD aber mal ernsthaft.., würde es irgendeine andere möglichkeit geben? so wie die es jetzt machen, ein code wird auf deren seite generiert, der sich dann auch in deinem betreff wieder finden muss, finde ich schon ganz clever...
 
@Trimmi: Sie könnten es einfach andersrum machen: An alle eine Mail verschicken mit einem Code und um die Gültigkeit des Codes zu überprüfen, kann man den auf der Homepage eingeben und verifizieren lassen.
 
@Trimmi: kurze erklärung. evtl. sagt sie dir mehr https://www.youtube.com/watch?v=xfd2wS5E_1c
 
@gast27: ja danke, so ähnlich hatte ich mir das jetzt auch schon gedacht! leider würde dieser fall, dass sich leute mit pgp oder ähnliches auskennen (öffentlicher/privater schlüssel) auf unter 1% der leute wiederspiegeln (ist glaub ich nicht übertrieben)!
----------------------------------
ich mein, meine eltern sind jetzt nach >10Jahren fast täglicher Internetnutzen auch immer noch überfordert, wenn sich ein Bild in einer Email nicht öffnen lässt, egal wie oft sie da drauf klicken.., auch wenn ich ihnen dann zum 1000sten mal erkläre, dass sie auf sowas nicht (!) drauf klicken sollen!
----------------------------------
für ein großteil der WF-Nutzer mag sowas angemessen sein, für viele andere aber nicht!
 
Also wenn man die Nachricht so liest, dann sind eh nur Leute betroffen, die unvorsichtig jeden Mailanhang öffnen und auch auf jede noch so zwiespältige Website gehen. Ich werde mich also auch hüten auf die Seite vom BSI zu gehen, um meine E-Mail-Adressen quasi zu bestätigen ( und dann auch noch eine IP hinterlassen).
 
Die Daten die der BSI zur Verfügung stehen, waren schon Monate vorher bekannt und stammen aus entwendeten Datenbanken verschiedener Onlineseiten. Die BSI geht davon aus, dass die Kombination aus Emailadresse und Passwort als Anmeldedaten dieser gehackten Webseiten automatisch auch die Anmeldedaten auf der Emailseite dienen. Und ganz ehrlich, wenn dem dann so ist, hat es genau die richtigen erwischt.

Alternativ kann man z.b. hier schauen

https://pwnedlist.com/
 
@Oleg_popov: Stecken die Datensätze, auf die sich diese News bezieht, in der pwnedlist-Gesamtdatenbank mit Abfrage über https://pwnedlist.com/query "mit drin"?
 
Kann mir jemand sagen, warum mein E-Mail-Dienstanbieter nicht einfach die entsprechenden Kunden per E-Mail informiert? Wie werden Leute informiert, die die aktuelle Nachrichtenlage nicht verfolgen? Gar nicht? In zwei Wochen oder Monaten?
 
@EmilSinclair: Siehe [o3][re:11] bis [re:13] sowie [o12] :)
 
@EmilSinclair: Wo steht denn das die Daten von einem Dienstanbieter abgegriffen wurden? Die Daten stammen vom Shop, Foren etc., also müssten die eien schon eher informieren da man genau dort auch das Passwort ändern muss.
 
Angesichts der Tatsache, dass ich noch nie auch nur meinen richtigen Namen in einen Rechner eingetippt habe, der Zugang zum Internet hatte oder bekommen sollte, interessieren mich solche Meldungen eigentlich nur um Familienmitglieder und Bekannte zu warnen.____

Soll doch irgendwer meine Fake-Emailadressen übernehmen. Wen stört es? Die Emails da drauf kann er ohnehin nicht lesen da sie verschlüsselt sind und wenn Bekannte von mir eine unverschlüsselte Email von einer meiner Email-Adressen bekommen sind sie schon seit Jahren angewiesen diese unmittelbar zu löschen.____

Noch dazu sind alle meine Adressen über ein Anonymisierungsnetzwer angelegt und werden auch nur über dieses abgefragt. D.h. ich kann als Besitzer nicht mal ermittelt werden. Wer also mit meinen Adressen irgendwelchen strafbaren Unfug treibt sollte besser zusehen, dass er ebenfalls anonym darauf zugreift. Sonst haben die Ermittler nämlich direkt den Richtigen am Sack.____

Tja, dann mal viel Spass mit meinen Email-Adressen. ;-)
 
Aha nicht ganz dumm die jungs 1. einfacheres sammeln von mail adressen, wo mann sich auf einer seite befindet wo mann sich eventuell nen virus einfängt, bzw daten gesammelt werden von deinem ip standpunkt, etc cokies werden ausgelesen wo du dich rumgetrieben hast , danach geht ja mann wie sies wollen auf die email adresse wo mann sich einloggen muss.... also ihr könnt denken was ihr wollt der braten stinkt.
 
Start frei für neue Phisching Attaken gefakter BSI Mails mit der bitte auf einen Link zu klicken und sein passwort zu prüfen.
 
Da steckt U+C hinter :-) ...
 
Weiß jemand, wie lange die Überprüfung einer Mail-Adresse dauert?
 
@storm62: Geht ganz schnell. Wenn was ist kommt sofort die Mail. Wenn nichts, dann nichts.
 
Also das ist schon witzig wie man hier verschwörungen aus dem nichts konstruiert wegen so einer meldung.
Mal ehrlich was soll das bundesamt mit den emails ???
Damit kann Sie nichts anfangen.
Und andere behörden nutzen da wohl eher den unkomplizierten weg, schliesslich gibt es ein gesetz zur bestandsdatenauskunft.
Provider stellen für behörden schnittstellen bereit damit diese auf die daten zugreifen können.
Also warum sollte man so einen aufwand betreiben um an mailadressen heranzukommen ???
Das ist mir die erklärung das es sich hier um daten aus botnetzen handelt wesentlich plausibler, als die erklärung das das bundesamt emailadressen sammelt.
 
Ach ja wie schön mann kann seine Idiot@irgendwas.eu adresse prüfenlassen ROFL, eine email kann ja sowas von persöhnliche daten sein hihi, also ich nutze nicht nur eine Mail adresse die meisten sind wegwerfen adressen, die ich zum spass benutze, wer seine private mail adresse auf jeder x-beliebigen seite eintippt ist doch selber schuld. Die idee ist ja ansich nicht schlecht gemeint, aber stellt auch wieder wie mann sieht grosse fragen in den RAUM. Wer online ist hat eh verloren, der gläserne user usw.
 
Und welcher E-Mail Provider soll betroffen sein?????
 
Wieso muss ich überhaupt wissen, ob ich auf der Liste stehe? Wichtig ist doch erstmal das das Botnetz zerschlagen wird und der Client von meinem Rechner gelöscht wird. Also sollte doch jeder der 16Mio (da ja fast jeder mehr als nur eine Adresse hat, wohl eher deutlich weniger) Betroffene seinen Rechner scannen und ggf. den Bot enfernen lassen.
Nur mit der Bestätigung das meine Adresse auf der List steht, weiß ich doch weder, welche Zugänge kompromitiert sind, noch welch Password/E-Mail Kombi betroffen ist, noch ob mein Rechner den Bot hat oder der im Internet Kaffee verseucht war, an dem ich meine E-Mails abgefragt habe.
 
ich bin mir beim unterschied nicht sicher: Wann wurden meine Daren böse "gestohlen" und wann nur harmlos "ausgespäht"?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles