Daten-GAU: BSI & Politik reagieren unangemessen

Der gerade bekannt gewordene Fall von millionenfachem Identitäts-Diebstahl entwickelt sich zu einem Beispiel dafür, wie stark es hierzulande noch an Wissen und Professionalität bei solchen Themen mangelt. mehr... Internet, Daten, Netzwerk, Ethernet Bildquelle: Patrick Stahl / Flickr Internet, Daten, Netzwerk, Ethernet Internet, Daten, Netzwerk, Ethernet Patrick Stahl / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Erwartet das BSI im Ernst, daß ausgerechnet die Anwender ihre Daten checken lassen, die keinerlei Vorsorge gegen Trojaner, Backdors und ähnliches trafen? Nein, es werden hauptsächlich die User deren Server per DOS- Attacke lahmlegen, die ihr System aktuell und sauber halten.
 
@devilsown: Seltsam, seltsam.....Also meine Spam-Mailadresse gestern bei einem check dabei. Heute komischerweise nicht mehr, als ich nochmal getestet habe. Da es eine Spamadresse war ohne großen wert ist mir das egal, aber wieso ist der Check heute plötzlich negativ? Und einen Trojaner/Virus hatte ich zuletzt 2003. Ich war auf diversen unseriösen Seiten damit angemeldet und vermute, dass irgendwo dort mein Passwort geklaut wurde. Da ich ständig Sicherheitsupdates fahre, keine Anhänge öffne und auch nen Virenscanner aktuell halte, glaube ich ehrlich gesagt wenig daran, dass einen Trojaner habe oder auch hatte....
 
wenn ich wieder lese was Thomas Heilmann von der CDU dazu zu melden hat, dann ist mal wieder allles gesagt.
So viel Inkonpetenz kann nur die CDU nach aussen tragen Bravo!!!
 
@wolle707: Politiker, die was zu sagen haben, haben das Internet nicht mal ansatzweise verstanden. Aber anstatt die Täter zu schnappen, wäre es sinnvoller die Bevölkerung aufzuklären, wie man sichere Passwörter erstellt und dass die Kombination eMail und Passwort für jede Seite eine andere zu sein hat. Damit wäre schon viel erreicht.
 
@FatEric: Jetzt wird es Trittbrettfahrer geben, die den Anwender mit "BSI- Auswertungen" zumüllen, wo Adresse und Passwort zu erfassen sind. ;-)
 
@wolle707: Dem sollte mal jemand mitteilen dass es nicht seine eigenen Bürger waren welche hier das Verbrechen begangen haben, von daher hilft die Überwachung dieser nicht bei der Aufklärung sondern erhebt nur den Staat in denselben Rang wie die jetzigen Datenräuber. Die Inkompetenz des Staates kommt ja nicht unerwartet, schlimmer finde ich dass unsere Politiker zu dämlich sind Leute einzustellen welche sich damit auskennen. Dann müsste der Politiker nur sagen "tun sie was" und sein Unwissen würde keine größeren Probleme aufwerfen. Aber aus Angst jemanden anzustellen der in einem Bereich in dem unsere Politiker keinen Einfluss hat aktiv werden könnte, überlassen sie diesen Bereich jenen welche dort ihren unlauteren Machenschaften nachgehen. Auf der anderen Seite weiss ich nicht ob ich mich über eine Sektion 9 unter der Fuchtel der alten Säcke von BKA und BND freuen würde...
 
@wolle707: nein, ich werfe den Befürwortern der Vorratsdatenspeicherung zwar durchaus einiges vor, aber Inkompetenz gehört nicht dazu.
 
man braucht echt fast für jede Webseite ein eigenes Passwort, damit bei Diebstahl nur diese eine Seite betroffen ist. Das handhabe ich inzwischen auch so. Nur auf Webseiten auf denen man sich nur wegen eines Downloads anmelden muss, verwende ich ein Standardpasswort um nicht ganz den überblick zu verlieren.
 
@FatEric: Ich bin inzwischen sogar soweit auch noch für jede Site ne eigene Adresse zu verwenden. Da weiß ich am Schluß dann wenigstens wer mal wieder geschlampt hat.
 
@Johnny Cache: probiers mal mit einem passwort-manager, für jede seite einen eigenen mailaccount anlegen ist doch das pure chaos ...
 
@krusty: Der Aufwand beim Anlegen eines Accounts ist natürlich ungefähr eine Minute länger als sonst, aber dafür hat man natürlich den grandiosen Vorteil daß man im Falle eines Falles, welcher ja leider mehrmals im Jahr auftritt, nur eine einzige Adresse verbrennen muß. Daß man natürlich noch einen Passwort-Manager verwenden muß um die unterschiedlichen Logins und Passworte für die entsprechenden Sites automatisch einzutragen versteht sich ja von selbst. Wenn mir jetzt auf einer beliebigen Adresse Spam reinkommt ist das Thema für mich in einer Minute erledigt. Bei einheitlichen Adressen würde da die Arbeit erst so richtig anfangen.
 
@FatEric: Absolut sinnvoll! Das nehme ich mir seit Jahren vor und bin jetzt mittlerweile auch endlich mal dran. Aber da es so eine Fülle von Portalen, Anbietern...[] gibt wo man ein eigenes Passwort braucht, werde ich nicht drum herum kommen mir zumindest Passwortfragmente als Eselsbrücke auf einen Zettel zu notieren.
 
@Dr. Alcome: Für sowas finde ich SuperGenPass immer recht hilfreich, da man sich zum einen nicht das Hirn zermartern muß was man wieder für ein Passwort nehmen soll und zum anderen das Bookmarklet überall ausführen kann. Für Leute die auch unterwegs ihre Passworte brauchen gibt es kaum was sinnvolleres.
 
@FatEric: für Einmalnutzung gibt es auch sowas wie die Anonbox :)
 
@FatEric: Ein low sec password für seiten ohne konsequenz: z.B.: Spieleforen, Winfuture etc. Jede Seite die RL daten hat oder Schaden anrichten kann kriegt nen eigenes PW: E-mail, Bank, Amazon, WoW-Account... etc. Mir völlig Hupe wenn die WF hacken und mein low sec PW kriegen. Mehr als nen dummen post können die damit eh ned machen.
 
Ich glaub in keiner News war bisher von so viel Inkompetenz und amateurhaftem Verhalten zu lesen, wie in dieser hier.
 
@crimey: Ach, das Stoppschild von der Ursula war noch inkompetenter.
 
Ich frage mich wirklich ob das Sprichwort "Ceterum censeo Carthaginem esse delendam" bei uns irgendwann gegen "außerdem muß Vorratsdatenspeicherung eingeführt werden" ersetzt wird. Die Beharrlichkeit ist jedenfalls bewunderswert.
 
@Johnny Cache: Ja was war das für eine gute alte Zeit, damals mit Latein in der Schule! :D
 
@Rainbow Warrior: Wer macht denn sowas in der Schule? Latein ist so praxisnah daß es ausschließlich privatvergnügen ist. ;)
 
Wird Zeit für eine einheitliche, eindeutige Identifikation im Netz. Weg mit den hunderten Logins und her mit was neuem und sicherem. Z.B. eine Art Schlüssel kombiniert mit einer PIN.
 
@PranKe01: dann ist wenigstens alles hin wenns geknackt wird. yeah!
 
@PranKe01: Ist das jetzt Satire auf die CDU oder meinst Du das tatsächlich ernst?
 
@moribund: Ich meine das ernst.
 
@PranKe01: Ist das jetzt auch Satire oder meinst Du das auch ernst? ^^ Du willst also 1. jede Anonymität abschaffen (am Besten auch noch einen Chip in jeden Menschen inkl. Strichcode auf die Haut), und glaubst 2. das unknackbare System gefunden zu haben das ganz ganz sicher ist, weswegen es auch sich nie nie den SuperGAU geben wird, das jemand das knackt und einen Schaden anrichten kann, der jeder Vorstellung übersteigt. Das geht dann sicher alles gut aus... ^^
 
@PranKe01: Und was bringt deine "geniale" Allzweckidee (mal vom Datenklau u. Missbrauch dieser Identifikationsdaten mal abgesehen) für uns Nutzer in Deutschland, wenn die Webseiten durch Bots aus dem Ausland ausgespäht werden? Na? Der Unterschied solcher Ideen zu denen der inkompetenten Politik ist gering... Achso - man hätte dann zumindest die Namen der Opfer und kann sie dann gezielt einzeln informieren, durch das kompetente, der Sachlage gewachsene BSI, verstehe...
 
@~quelle~: Datenklau und Identitätsdiebstahl? Wie soll das funktionieren? Erstens braucht der Angreifer deinen Hardwaretoken (damit fallen schon mal alle weg, die nicht in näherer Umgebung leben) und zweitens muss er auch noch die PIN wissen, die ja nur in deinem Kopf steht. Sprich wenn er Identitätsdiebstahl begehen will, geht das nur, indem er dich dazu zwingt - und das ist ja bisher genauso möglich, indem ich jemanden Foltere oder so. Und ja, ich denke es gibt sichere Verfahren um das zu realisieren.
 
Die CDU ist wirklich unerträglich, den USA in den Hintern kriechen, hier eine allumfassende anlasslose Vorratsdatenspeicherung fordern.. usw. Wer schützt uns eigentlich vor diesen "Volksvertretern". Ich denke, diese Damen und Herren (Friedrich, Heilmann, Pofalla und wie sie alle heißen) wissen genau, was sie tun. Diese Forderungen und das Verhalten den USA gegenüber sind reines Kalkül und nicht Inkompetenz.
Es geht diesen Menschen um nichts als Macht und Einfluss, die monotone Forderung nach einer Vorratsdatenspeicherung ist nichts weiter als ein Mittel, mit dem man die Menschen im Nachhinein (wenn diese dann eingeführt ist) einschüchtern kann.
 
Ich hab mich gestern schon gefragt warum nicht eine einfache Abfrage Anonymisiert wurde. bisherige "Amateurabfragen" von massenhaften Kreditkarten und Mailadressendiebstahl konnten auch "sehr schnell" realisiert werden. Eingabe Feld: abc@domain.com, ausgabe: a**@d****n.c** ist betroffen, und gut ist. Ich kenn mich mit Datenbanken zwar nicht so gut aus, aber vom Prinzip her doch eine ganz simple Abfrage, oder nicht? Angesichts der Flut an Adressen und Abfragen, bedarf es natürlich ein schnelles Festplattensystem um die datei zichfach abzufragen. Warum so einen umständlichen weg gehen der angeblich so lange zu realisieren benötigt? Die Zeit die seit bekannt werden beim BSI, verstrichen ist, kann jede Menge schaden verursacht haben...
 
@Recruit: Klar geht das und das wäre eigentlich auch der seriöse weg. Deshalb kommt mir die ganze geschichte ja auch so komisch vor.
 
@Recruit: Was bringen Sternchen in der Ausgabe "ist betroffen", wenn doch eh die vollständige Mailadresse in der Eingabe eingegeben wurde? Und der Grund für die Umständlichkeit ist der Datenschutz, an sich das BSI durchaus halten muss. Sonst könnte jemand das zur Validierung von (auf der Liste enthaltenen) Mailadressen verwenden. z.B. könnte ich recruit@winfuture.de eingeben, und falls die Adresse auf der Liste steht, erhalte ich ein "ist betroffen", schon weiss ich dass es die Adresse gibt. Ebensowenig geht es mich etwas an, ob die Mailadressen meiner Freunde, Bekannten, meines Nachbarn oder meines Chefs betroffen sind, was ich mit Deinem Vorschlag jedoch überprüfen könnte. @Fugu3102: von wegen seriös, siehe die von mir aufgezeigten Szenarien.
 
@FenFire: Ganz ehrlich? Wozu gibt es Tools bei dem man alle Empfänger einträgt und dann einfach für jeden Empfänger eine E-Mail verschicken lässt, immer mit dem selben Text, nur die Mail-Adresse ausgetauscht. Das kann jedes billigsdorfer system...Bei der Anzahl an betroffenen Mail-Adressen könnte es jedoch dauern bis alle Mails draußen sind :-)
 
@krauthead: Du würdest ernsthaft vorschlagen, dass das BMI jeden auf der Liste stehenden proaktiv anmailt? Schnapsidee :) Zum einen gibt es vermutlich Gesetze, die unangeforderte Mail als Spam klassifizieren und verbieten (auch daran muss das BSI sich halten), zum anderen - wie würdest Du reagieren, wenn Du eine nicht von Dir angeforderte E-Mail folgender Art erhieltest: Absender "info@bmi.de", Betreff "Ihre Mailadresse wurde kompromittiert" und Inhalt "Sehr geehrter Empfänger [Anmerkung: Deinen vollen Namen kennen sie ja nicht, nur die Mailadresse], hier ist Ihr freundliches BSI. Ihre Mailadresse samt einem zugehörigen Passwort steht auf einer Liste, die im Internet gehandelt wurde". Würdest Du die ernst nehmen? (falls ja: bitte stellen Sie sich in die Ecke mit den Leuten, die auch auf Spam-Werbung, Hoaxes, Betrugsversuche und sonstigen unseriösen Kram hereinfallen - das ist genau der Typus von E-Mail, vor dem ständig gewarnt wird...)
 
@FenFire: ok. Stimmt auch wieder :-)
 
Also Mitte/Ende Dezember hat der eine Mailanbieter meine eine Adresse gesperrt, weil "unnatürlich viele" Bewegungen passierten. Neues Passwort gesetzt & gut war.
 
ich habe gerade einen Anruf bekommen, der fragte ob denn meine beiden E-Mail-Adressen auch betroffen seien. Nachdem ich das bestätigte und sagte, dass ich auch dabei sei, hat er gefragt, ob das denn nicht eine wunderbare Möglichkeit sei einen 'Regierungswachhund' auf meinem PC zu installieren. Nach kurzer Überlegung konnte ich nur bestätigen, das solches machbar wäre. Bei der obigen Meldung warum man so lange gewartet habe, könnte man ja - wenn man böswillig ist (und das bin ich) sagen: man hat so lange darum gestritten ob man diese Situation zu Gunsten von BSI ausnutzen solle .... (Wenn das so wäre, dann können wir uns alle erschießen)
 
Also ganz ehrlich diese ganz BSI aktion mit unsicheren Konten kommt mir sehr fragwürdig vor. Warum kommt die BSI erst jetzt damit? Und was zum teufel wurde da genau gehackt und wer hat gehackt? Okay ich muss zugeben ich halte eh nichts von der BSI aber selbst wenn es war sein sollte haben Sie sich doch strafbar gemacht weil Sie zugelassen haben das die Hacker ohne probleme weiter machen können und das ohne das Volk zu informieren. Ich glaube da geht es eher um was anderes als um irgendwelche Häcker angriffe. Ich werde den Dienst des BSI auf jedenfall nicht nutzen!
 
Ich las CDU und musste aus Reflex "facepalmisieren".
 
@RobCole: CDU CDU DCU CDU CDU (ok, ich lass dir mal ne Pause :-) [PS: oh Schreibfehler - hoffentlich hasste dir dabei nicht woanders hingehauen...] Ja, man kann sich bei solchen Meldungen nur noch selber vor den Kopf stoßen!
 
@~quelle~: Mir geht es gut, habe nur starke Kopfschmerzen. :-)
 
Ist ja ein toller Verbraucherschutz, wenn da solche Pfeifen drin sitzen. Hauptsache man beschäftigt sich mit Klagen gegen irgendwelche Spieleplattformen (Steam)...aber bei solch wichtigen Themen, werden die Bürger dann mit solchen schwachsinnigen Parolen vor den Kopf gestoßen!
 
Thomas Heilmann mit einem IQ einer Türklinke meldet sich zu Wort! Da kann man wirklich nur noch Fassungslos staunen.
 
Ist nicht die bessere frage, was wurde gehackt, wo haben sie die email Adressen inkl Passwörter her ? Bevor das nicht geklärt ist, nützt es nicht viel sein Passwort zu ändern ? Da es jederzeit wieder passieren kann...
Die 2 Frage ist, warum soll ich meine Email-Adresse da in eine sammelliste eintragen, warum können sie den betroffenen nicht einfach eine Email mit einer Warnung schreiben ?
 
@Horstnotfound: ich bin gespannt zu welchem Ergebnis man kommt, wo die Daten abgegriffen wurden (Botnetz ist ja schnell gesagt, wer war dann nur der Datenspender?). Amazon war es schon mal nicht ;) bin gespannt woher die 16mio. Datensätze stammen sollen. Am Besten können es doch die sagen, die für jeden Dienst eine eigene Adresse verwenden, wenn davon nur eine betroffen war. freiwillige Bekanntgabe kann man wohl nicht wirklich erwarten nachdem die Daten ja schon solang bekannt sind.
 
@Recruit: Wenn jemand für jeden Dienst eine eigene Adresse verwendet kann er immer noch nicht sagen, wo und wie die Daten abgegriffen wurden. Beispiel: Joe User habe eine eigene Adresse für einen bestimmten Webshop, nennen wir sie buyer@joeuser.com. Diese sei kompromittiert. Joe User weiss nun, dass er sein Passwort bei dem betroffenen Webshop lieber ändern sollte. Aber wo die Daten abgegriffen wurden weiss er nicht. Wurden die Login-Daten (buyer@joeuser.com + Passwort) bei dem Webshop abgegriffen? Auf seinem Desktop zu Hause, von dem aus er den Shop nutzt? Auf seinem Laptop? Auf seinem Arbeitsplatzrechner, von dem er auch schon mal eingekauft hat? Vielleicht gar auf seinem Smartphone, wo er die zum Webshop gehörige App nutzt (oder per Webbrowser dort einkauft)?
 
@FenFire: wenn es jemanden nur bei einer seiner vielen adressen passiert, is die warscheinlichkeit aber geringer das es nen botnetz per wurm o.ä war, die eingrenzung führt dann aber eher zum ziel.
 
Deutschland 2025: Internet-Führerschein, damit die Leute wissen wie sie sich im Internetverkehr zu verhalten haben. Eine Internet-Maut um die Datenautobahnen finanzieren zu können und die Ökointernet Umlage entlastet trafficlastige Industriebetriebe.
 
@Mudder: Glaube kaum, dass es so lange dauern wird.
 
@Mudder: Die Internet-Maut aber bitte nur für ausländische Daten!
 
Mich interessiert es nen scheiss WER das war. Die findet man eh nie, da die über 99 mio proxys und aliases arbeiten. ||| Information die ich brauche ist: WELCHER Account wurde registriert? Nur dann kann ich sinnvoll einschätzen ob und wenn ja was kompromittiert wurde. So wie die es jetzt ansetzen ists nur sinnlose Panikmache.
 
[...]die Politik reagierte...von der CDU[....] Ab da braucht man gar nicht mehr weiterlesen - es kann nur schlimmer werden.
 
Ich kann nur davor warnen, seine E-Mail-Adressen auf dieser BSI-Seite zu "überprüfen". Damit ermöglicht man dem BSI eine Zuordnung von IP zu E-Mail-Adresse. Gibt man gleich seine ganzen E-Mail-Adressen ein, auch die "anonymen", so hat man auch gleich alle einer bestimmten Person zugeordnet. Auch wenn das Gegenteil behauptet wird, die Sache stinkt zum Himmel. Das BSI ist eine BRD-Behörde und unterliegt wie jede andere Behörde dem Zugriff des BND und des "Verfassungsschutzes". Die Geheimdienste sind berechtigt Behörden anzuweisen, gegen Datenschutz und so ziemlich alle Gesetze zu verstoßen und die Daten abzugreifen und gleichzeitig werden die Behörden verpflichtet hierüber Stillschweigen zu bewahren. Wer auf Nummer sicher gehen will, soll einfach das Passwort seines E-Mail-Accounts ändern und schon ist das alte, eventuell gekaperte, Passwort wertlos.
 
@florian29: Nicht die E-mail accounts wurden gehackt. Die Mailaddressen wurden inkl Password in einer Datenbank gefunden. Von welcher Seite die address/PW Kombination ist ist aber unbekannt. Sprich: es kann sein das irgendeine Gamingseite auf der du dich vor 5 jahren mal registriert hast gehackt wurde und die diese Zugangsdaten in der Datenbank haben. Kann aber genausogut dein Amazon Konto sein. Darum ist diese Liste für den User völlig wertlos und das prophylaktische ändern des E-mail passwords bringt gar nichts.
 
@Aerith: Wenn dem so ist, dann ergibt diese "Überprüfung" auf der BSI-Seite ja gar keinen Sinn.
 
@Aerith: Genau das frage ich mich auch die ganze Zeit...
Das das BSI nicht mit der Quelle rausrückt, weiß doch keiner, welches Passwort man ändern soll. Schließlich gibt es genug Dienste, bei denen man sich auch mit der Mail-Adresse anmeldet.
Das ganze stinkt irgendwie zum Himmel...
 
@Virtuoso: Wenn man wenigstens das dazugehörige Passwort erfahren würde, dann könnte man rekonstruieren, welche Dienste betroffen sind (für den Fall, dass man nicht überall dasselbe Passwort verwendet hat). Sicherheitstechnisch gesehen ist das nicht problematisch, da das betroffene Passwort an die E-Mail geschickt wird, die ja nur einsehen kann, wer Zugang zu dem E-Mail-Konto hat.
 
Kein wunder. Wenn man 80 Mio Leute auf eine Website lockt ist das eben mehr last für die Server, als geplant 16 Mio mails zu verschicken.
 
Die Vorgehensweise des BSI ist schon von der Systematik her völlig stümperhaft! Da könnte ich auch zu meinem Vorkoster sagen: "Melde Dich, wenn das Essen vergiftet war" :-(((
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles