BSI reagiert diesmal schnell auf neuen Daten-GAU

Im Fall der 18 Millionen gestohlenen Zugangs-Datensätze, der gestern bekannt wurde, will das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betroffenen diesmal umgehend informieren. mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Na mal sehen ob auch die Server nicht wieder versagen wenn man seine Mailadresse testen will. Aber gut dass sich was bessert
 
@D0N: Wenn es wieder über Strato abgewickelt wird, dann kann man sich die Frage wohl schon fast selbst beantworten :-)
 
@Vollbluthonk: der BSI-Sicherheitstest wurde von der Telekom (T-Systems) verwirklicht
 
@otzepo: nslookup www.sicherheitstest.bsi.de (85.214.10.5), http://cqcounter.com/whois/ip/85.214.10.5.html (Strato AG, bzw. Cronon AG, einer Tochtergeselschaft von Strato).
 
@Vollbluthonk: die chrome-erweiterung "Yet another flags" ignoriert subdomains, gut zu wissen.
 
Die senden dann also den betroffenen eine Mail, das Ihr Passwort geklaut ist. . Die Mail können die dann gegebenenfalls nicht mehr lesen, da ihr Passwort dann schon GEÄNDERT wurde und die Mails gar nicht mehr abgerufen werden können. Prima Idee.
 
@Healey: In dem Fall sollte man dann aber schon wissen, dass das Kontlo gehackt wurde Oo
 
@Healey: Na dann solltest du schnellstens ein Passwortreset versuchen. Dann bekommst du ja eine Frage gestellt die du vorher festlegtest oder aber eine SMS geschickt und kannst das Passwort zurückstellen (und solltest andere auch verändern, denn du weißt ja nicht, welche Passwörter über den Mailaccount resetet wurden). Dumm ist's, wenn auch die Rücksetzmöglichkeiten verändert wurden. Dann würde ich mich schnellstens an den Support des Anbieters wenden und hoffen, dass er mir weiterhelfen kann und gleichzeitig vorsorglich alle Accounts von irgendwelchen Seiten, die mit diesem Mailaccount laufen, auf eine andere Mail umstellen und Passwort verändern. Viel Aufwand, aber Sicherheit sollte einem was Wert sein. ;)
 
@Healey: Natürlich verändert so ein Hacker (oder wie auch immer man die Bösewichter nennen mag) *NICHT* das Login des übernommenen Accounts, damit er so lange wie möglich unerkannt bleiben und sein Unwesen treiben kann.
 
Und wer reagiert mal ernsthaft auf die unzähligen NSA-Skandale?
 
@Ariat: weil die sache mit der NSA auch so schlimm ist...
 
Wäre es nicht sinnvoll mal grob ne Richtung zu nennen, welche Bereiche es betrifft? Ich geh, an hand der Meldung mal davon aus, dass es sich um Datensätze von Email-Providern handelt. Wäre nett, wenn man da einfach mal ein paar Namen nennen würde. Pauschal zu verkünden, "ändert euer Passwörter" ist doch völliger Blödsinn und Panikmache (wenn auch vielleicht, leicht begründet). Trifft es Unitimedia (also GMX/WEB.DE, etc.) oder Telekom, Apple, Yahoo, Microsoft Konten, etc.? So könnte man schon mal als Verbraucher grob prüfen, ob man evtl. betroffen sein könnte. Aber die aktuelle Info ist einfach nur nichts sagend.
 
@Blondi: Meinen Informationen nach wurden die Daten nicht von den Servern der Email-Provider kopiert, sondern von den Rechnern der Nutzer. Deshalb sind eben Konten bei diversen Email-Providern betroffen. Passwörtern ändern wäre in diesem Falle Schwachsinn, da die Malware auf den Nutzerrechnern die neuen Passwörter dann auch wieder an die Hacker übermittelt. ____

Ich schicke und akzeptiere seit über 10 Jahren nur noch GPG-verschlüsselte Mails. Mir ist es daher egal, ob jemand ein paar meiner Email-Adressen übernommen hat. Lesen kann er darauf ohnehin nichts und schreiben und lesen tue ich die Emails auch nicht auf meinen ans Internet angeschlossenen Rechnern. Wenn jemand die übernommen hat interessiert mich das also ebenfalls nicht. Da liegen keine unverschlüsselten Daten von mir drauf.
 
@nOOwin: Das wäre natürlich auch eine nützliche Info. Bislang habe ich nur gelesen, dass man Datensätze hat. Woher diese stammen, hab ich bislang nicht gelesen. --- Du darfst nicht vergessen, dass die meisten User sich nicht mit Verschlüsselung auskennen. Das Thema ist einfach zu komplex und somit wenig End-User-Freundlich. In dieser Richtung hat sich die IT leider noch nicht sehr weit entwickelt. Es gibt sichere Methoden und Techniken, aber deren Einsatz ist mit einem erhöhten Aufwand, für die meisten unerfahrenen User nicht machbar, weil ihnen einfach das Verständnis fehlt. Du lässt ein kleines Kind ja auch nicht einfach auf den Straßenverkehr los, sondern nimmst es bei der Hand und zeigst ihm wie man über eine Ampel geht.
 
Ich weiss nicht, wieso das BSI überhaupt noch auf solche Lappalien reagiert und damit Steuergelder verschwendet. Das BSI warnt seit über 10 Jahren vor genau den Zuständen, die wir heute haben und macht Vorschläge, wie sich das alles vermeiden liesse. Kaum ein Mensch liest die Berichte und noch weniger Menschen handeln nach den Vorschägen. Im Gegenteil: Wenn das BSI heute die Gefährlichkeit des UEFI-BIOS mit dem nciht mehr deaktivierbaren TPM 2.0 anspricht, muss es diese Aussage auf Druck der Industrie sogar wieder zurückziehen. Anstelle des BSI würde ich die Leute in ihrem eigenen Saft mal eine Weile schmoren lassen. Anders lernen die es offenbar nicht. ____

Ich habe hier z.B. seit über einem Jahrzehnt einen Bericht des BSI von 2003 als PDF auf meinem Server liegen, in dem empfohlen wird Mobiltelefone und andere in öffentlichen Netzen genutzte Geräte nicht zu geschlossenen Parlamentssitzungen, Firmenkonferenzen und an anderen Orten an denen sensible Informationen diskutiert werden zuzulassen. Dieser Bericht ging auch an den deutschen Bundestag und was ist das Ergebnis? Jeder Politiker nimmt trotz Warnung des BSI und den Snowden-Veröffentlichungen bis heute sein Handy in jeden sensiblen Bereich mit und nutzt sogar sein unverschlüsseltes Privathandy um mit Mitarbeitern sensible Infos auszutauschen. Noch dazu wurden ausgerechnet iPads im Parlament zugelassen, die man garnicht sicher verschlüsseln kann, weil die Systemarchitektur garnicht offenliegt, und für Abgeordnete und Mitarbeiter angeschafft. Ignoranter und dümmer geht es ja wohl kaum. ____

An Stelle des BSI würde ich die Provider einfach die spamversendenden Email-Adressen inaktiv setzen lassen und ansonsten garnichts unternehmen. Wer sich Kraft eigener Arroganz und Bequemlichkeit über alle Ratschläge hinwegsetzt soll mit den Problemen, die sein unüberlegtes Handeln verursacht gefälligst selbst klarkommen. Über zehn Jahre Vorwarnzeit sind gewiss lange genug. Wer in dieser Zeit seine Hausaufgaben nicht gemacht hat, der muss die Auswirkungen offenbar mal deutlich am eigenen Leib spüren. Vielleicht regt sich dann im Hirn wieder etwas. Wäre ja immerhin möglich. Die Hoffnung stirbt bekanntlich zuletzt.
 
@nOOwin: Ich würde dir zustimmen wenn das BSI 100 % Drive by / Zero Day Lücken ausschließen könnte - aber selbst mit einem gepatchten, firewall- & virengeschütztem System kann man sich durch sowas infizieren und aller Rat ist vergebens.
 
So lange wie nicht geklärt ist, wie die Diebe an die Passwörter gekommen sind, ist der Passwort wechsel doch 100% sinnlos.. Ich wechsele mein Passwort, und die Diebe bekommen es gleich wieder auf dem weg wie sie schon das erste bekommen haben.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen