Kriminelle haben mittels Bot-Netzen über 16 Millionen digitale Identitäten gestohlen, meldet das Bundesamt für Sicherheit in der Informationstechnik. Bei Bot-Netzen werden unzählige Rechner von Privatanwendern durch Schad-Software zu Netzwerken verbunden, die dadurch für vielfältige kriminelle Zwecke nutzbar werden.
Anhand einer Analyse von Bot-Netzen hat der BSI deren Missbrauch für Identitätsdiebstahl ermittelt. Abgefischt wurden Email-Adressen, Passwörter und Zugangsdaten zu Online-Shop und anderen Internetdiensten. Die geklauten Email-Adressen liegen dem BSI vor und es wurde eine Möglichkeit geschaffen, mit jeder prüfen kann, ob er betroffen ist.
Dazu kann man dem BSI seine Email-Adresse zur Überprüfung mitteilen. Ist die Email-Adresse betroffen, kriegt man Rückmeldung per Email, inklusive Empfehlungen zu Schutzmaßnahmen. Das Formular zur Überprüfung von Email-Adressen findet sich am Ende dieser Seite des BSI: www.sicherheitstest.bsi.de.
Und so funktioniert der Selbstest: Nach Akzeptieren der Nutzungsbedingungen, wird die zu überprüfende Email-Adresse eingetragen und die Prüfung per Klick auf "Überprüfung starten" beantragt. Praktisch unmittelbar darauf erscheint ein Bestätigungshinweis, dass die Eingabe geprüft wird. Das BSI teilt hier auch mit, welcher Betreff-Code für eine eventuelle Benachrichtigungs-Email verwende wird. Anschließend bleibt nur abzuwarten, ob Post vom BSI kommt - oder halt besser keine.
Michael Nickles meint: Ich habe der Test mal ausgeführt und bislang keine Antwort gekriegt. Wobei ich natürlich auch nicht ewig lange gewartet habe (bis die News hier halt fertig war). Drum kann ich nicht bestätigen, ob der Test des BSI funktioniert oder nicht.
Ein Test bei dem es im Idealfall einfach keinerlei Benachrichtigung gibt, ist irgendwie blöd. Auch ist es bekanntlich so, dass man den Hinweis einer Webseite, dass eine Email versendet wurde, in die Tonne treten kann. Danach kann es durchaus auch schon mal Stunden dauern, bis sie wirklich eintrifft. Sollte ich in Kürze Post vom BSI kriegen, gebe ich hier natürlich Bescheid.
Ein blöder Beigeschmack bei der Sache ist natürlich, dass nicht jeder unbedingt Bock hat, dem BSI seine Email-Adresse mitzuteilen. Verschwörungstheoretiker werden garantiert davon ausgehen, dass das BSI das mit den 16 Millionen digitalen Identitätsdiebstählen nur erlogen hat, um selbst Email-Adressen einzusammeln.
Was mich mal wirklich interessieren würde: wie viele der 16 Millionen Betroffenen hatten eine "Trojaner-/Viren-Schutzlösung" auf der Kiste und welche? Ich gehe davon aus, dass es gegen diese Bot-Netz-Kriminellen keine zuverlässige Schutzlösung gibt - weder kommerziell noch kostenlos.
Ein blöder Beigeschmack bei der Sache ist natürlich, dass nicht jeder unbedingt Bock hat, dem BSI seine Email-Adresse mitzuteilen.
Das war mein erster Gedanke nach dem Lesen dieser Meldung auf heise Security;-)
Statt auf blauen Dunst hin Gott und die Welt verrückt zu machen, genügt doch ein Hinweis auf die in erster Linie von dieser Entdeckung betroffenen Provider, um den Kreis der betroffenen etwas einzugrenzen. Ironischerweise wird auf der Seite des BSI jetzt genau das verlangt, wovor jeder Datenschützer warnt, auf einer "x-beliebigen" Seite im Netz seine Daten einzugeben.
Was mich mal wirklich interessieren würde: wie viele der 16 Millionen Betroffenen hatten eine "Trojaner-/Viren-Schutzlösung" auf der Kiste und welche? Ich gehe davon aus, dass es gegen diese Bot-Netz-Kriminellen keine zuverlässige Schutzlösung gibt - weder kommerziell noch kostenlos.
Das ist im Grunde egal, im Fall der Fälle verhindert die AV-Suite nichts und ein erkannter Befall dokumentiert am Ende nur das Versagen, denn dann ist die Schadsoftware bereits auf der Kiste.
In Anbetracht der zunehmenden Fälle von Drive-By-Infektionen ist ein Virenscanner als Mittel gegen "klassische" Viren irgendwo überholt, genauso wie bei den Infektionen, bei denen die Malware vom User über Mailanhänge und dergleichen mehr selbst auf den PC geholt wird und dadurch die Barriere mehr oder weniger wissentlich überwunden wird.
16 Millionen Adressen plus Paßwort werden nicht mal eben von einem Rechner geklaut oder anderweitig abgefischt, da muss vorher schon etwas anderes schief gegangen sein.
In Anbetracht der zunehmenden Fälle von Drive-By-Infektionen ist ein Virenscanner als Mittel gegen "klassische" Viren irgendwo überholt, genauso wie bei den Infektionen, bei denen die Malware vom User über Mailanhänge und dergleichen mehr selbst auf den PC geholt wird und dadurch die Barriere mehr oder weniger wissentlich überwunden wird.
Da ja meine Internet verbindung recht langsam ist und ich sehr vorsichtig bin was Mehlanhänge von unbekannten Versendern ist, denke ich dass mein Rechner nicht unbedingt erwischt worden ist. Mein Norton hat jedensfalls nichts gesagt.
Ich habe mir mal die Hinweise vom BSI durchgelesen, was die Nennung von AV-Programmen betrifft war das mehr als mager. Die anderen Vorschläge halte ich für unbedarfte Dau´s vielleicht für nützlich, ansonsten - Vergiss es.
Ich habe heute von einer Jugendlichen gehört die sich den Bundestrojaner eingefangen hat, bei meine Frage auf ein AV-Programm sah ich nur in treue blaue fragende Augen und sah ein Achselzucken und stellte eine Beratungsresisdents fest.
Bei dieser Menge an Daten gehe ich eher davon aus das z.B. Provider, Online-Shops u. Spiele-Server abgegriffen wurden.
Es wird aber doch gerade davon nichts geschrieben. Statt dessen ist von Bot-Netzen die Rede. Was ist daran unwahrscheinlich?
Sicherlich sind auch Privat PC's darunter, allerdings fragt man sich dann wie hat es der Nutzer selbiger mit der Sicherheit gehalten?
Genau darum geht es doch aber!!! Genau deswegen hat das BSI diesen Fall doch veröffentlicht. Weil 16 Mio DAUs unter uns sind, die den Knall immer noch nicht gehört haben!
Sich nur auf ein AV stützen, wie hier oft betont, ist doch sehr Blauäugig.
Genau. Deswegen schreibt das BSI davon auch so gut wie nichts.
Wenn man die Hinweise (die für viele hier nicht neu sind, für die 16 Mio Betroffenen aber vielleicht schon) liest, stehen da ganz andere Sachen drin. (https://www.sicherheitstest.bsi.de/faq)
Statt dessen ist von Bot-Netzen die Rede. Was ist daran unwahrscheinlich?
Bisher habe ich immer noch an die PC-Kompetenz der Nutzer geglaubt, man schreibt ja nicht erst seit Gestern über die Wichtigkeit von aktuellen Programmen etc.
Weil 16 Mio DAUs unter uns sind, die den Knall immer noch nicht gehört haben!
Das sollte man auch relativieren. Gehe mal davon aus das User ca. 4Accounts haben u. schon sinds "nur" noch 4Millionen.
Die Kaperung von PCs wird dadurch begünstigt, dass die Nutzer kein Virenschutzprogramm installieren oder ihre Firewalls falsch konfigurieren und dass Betriebssysteme oder installierte Software Sicherheitslücken aufweisen, die lange nicht beseitigt werden.
Fällt dir was auf? Das AV wird an erster Stelle genannt, bringt aber am wenigsten.
Die Firewall kann wenn überhaupt nur von Fachkräften richtig konfiguriert werden.
Das Programme die nicht aktuell gehalten werden und für über 80% Befall zuständig sind kommt so nebenbei.
Die Firewall kann wenn überhaupt nur von Fachkräften richtig konfiguriert werden
...und kann auch dann, wie mir ein Sicherheits- Experte versicherte, mit einem durch keinerlei Schutz- Software erkennbaren kleinen Script umgepolt werden.
Zumindest, wenn es sich um eine der üblichen Desktop- Firewalls handelt.
Ich habe mir mal die Hinweise vom BSI durchgelesen, was die Nennung von AV-Programmen betrifft war das mehr als mager.
Gibt es da überhaupt (außer dem Link zu Avira) Hinweise zu Virenscannern?
Wenn ja, wäre das ja schon gefährlich genug!
Ich habe heute von einer Jugendlichen gehört die sich den Bundestrojaner eingefangen hat, bei meine Frage auf ein AV-Programm sah ich nur in treue blaue fragende Augen und sah ein Achselzucken und stellte eine Beratungsresisdents fest.
Bei Jugendlichen muss man solche Fehler tolerieren: Die haben ein gewisses "Recht auf Irrtum"! Irgendwann muss der Mensch diese Zusammenhänge lernen. Niemand hat von Geburt an diese Kenntnisse.
Schlimm finde ich es, wenn dann aber auch Erwachsene, gestandene Leute heute (> 40 Jahre nach dem Entstehen des Internets und 20 Jahre, nachdem es für Jedermann verfügbar wurde) immer noch völlig ahnungslos sind, das Zeugs aber trotzdem intensivst benutzen!
Dann muss man juristisch mindestens von grober Fahrlässigkeit sprechen!
genügt doch ein Hinweis auf die in erster Linie von dieser Entdeckung betroffenen Provider
Da sind ja nicht einzelne Provider betroffen sondern 16 Mio "Einzelschicksale". Da hast Du wahrscheinlich die Bandbreite aller Provider dabei.
Außerdem: Was nützt mir die Meldung "Die PCs von 1000 Kunden des Providers XYZ wurden in ein Bot-Netz integriert und ausspioniert." ? Selbst wenn ich ebenfalls Kunde bei XYZ bin, weiß ich doch nicht, ob ich benefalls betroffen sind, nur weil andere Kunden meines Provider betroffen waren?
Ironischerweise wird auf der Seite des BSI jetzt genau das verlangt, wovor jeder Datenschützer warnt, auf einer "x-beliebigen" Seite im Netz seine Daten einzugeben.
Nun kann man sich streiten, ob das BSI "x-beliebig" ist. Es ist halt das Bundesamt, das für solche Themen zuständig ist. Wenn es nicht tätig geworden wäre, würde man ihm (zu Recht) genau das auch wieder vorwerfen.
Wenn Du Opfer eines Einbruchs bist, gehst Du auch zur Polizei und bringst das zur Anzeige. Da könnte man auch sagen: "Warum soll ich einer x-beliebigen Behörde von dem Vorfall berichten?"
Also ich denke, das ist schon OK, wenn die Öffentlichkeit für sowas sensibilisiert wird. Denn wie man sieht, gibt es noch Millionen DAUs, die wieder in die Falle getappt sind.
16 Millionen Adressen plus Paßwort werden nicht mal eben von einem Rechner geklaut
Nein, nicht von einem. Wahrscheinlich von Millionen einzelner Rechner. Das ist doch genau das Thema!
Eine einfache Datenbankabfrage, die einfach nur ein JA oder Nein ausspuckt hätte auch gereicht, um seine Email-Adresse zu überprüfen. So werde ich meine E-Mail dort nicht eingeben, weil:
Verschwörungstheoretiker werden garantiert davon ausgehen, dass das BSI das mit den 16 Millionen digitalen Identitätsdiebstählen nur erlogen hat, um selbst Email-Adressen einzusammeln.
Aufjedenfall!!!1111einself!!!drölf. Vorsichtshalber auch gleich noch einen Aluminiumhut aufgesetzt, wegen der Gedankenkontrolle der Aliens ;)
Mit der Datenbankabfrage (Ja /nein) wäre das ganze doch auch getan, die Trittbrettfahrer wird es so oder so geben, wer die User bescheissen will - wird sich auch den dem 4 stelligen Zahlencode nicht abhalten lassen, und die User die sich bescheissen lassen wollen, die haben den 4 stelligen Code längst vermüllt.
Ich habe der Test mal ausgeführt und bislang keine Antwort gekriegt. Wobei ich natürlich auch nicht ewig lange gewartet habe (bis die News hier halt fertig war). Drum kann ich nicht bestätigen, ob der Test des BSI funktioniert oder nicht.
Ich machte den Test ebenfalls gestern Abend und bekam bis jetzt noch keine Antwort.
Den Test durchzuführen wurde übrigens auch in den 19:00 Uhr ZDF- Nachrichten empfohlen.
dann wird auch nichts mehr kommen. Zitat aus der Seite:
Falls Ihre Adresse betroffen ist, erhalten Sie kurz darauf per E-Mail eine entsprechende Information sowie Empfehlungen zu erforderlichen Schutzmaßnahmen an die angegebene Adresse. Ist die eingegebene Adresse nicht betroffen, erhalten Sie keine Benachrichtigung.
Hi,man erhält jaschon beim BSI Eingabe einen Code! nur wenn man betroffen ist erhält man ne Mail mit diesem Code vom BSI. Ich hatte den Test schon vor 2 tagen laufen lassen und habe auch keine Nachricht. Habe da mal Link über NDR verfolgt, nur wer betroffen ist erhält über den Code ne Nachricht. Denke das wir "schuldlos" einfach durch Wald und Flur gehen können. Wer eben nicht zu leichtsinnig/leichtgläubig war kommt diesmal heil heraus.
Wir zählen beide halt wohl zu den Glücklichen, die nicht von der Mafia ausspioniert wurden! An die öffentlich rechtlichen Nachrichten glaube ich erst wieder, wenn sie auch über den Widerstand gegen die "GEZ"-Verarsche berichten.
Wir zählen beide halt wohl zu den Glücklichen, die nicht von der Mafia ausspioniert wurden!
Keine meiner Adressen wurde gefunden.
Ich teile die Bedenken nicht, die so manche User hier davon abhalten, dort ihre Adresse einzugeben.
Schließlich verwende ich diese Mail- Adressen nicht nur familiär innerhalb meines Home- Netzwerkes, sondern auch im Internet. Getrennt nach ebay, Händler, Paypal usw.
Also sind die Adressen so oder so bekannt.
Deshalb finde ich es etwas paranoid, wenn ich diese meine Adressen gerade dort, bei einer gewissen Verpflichtungen unterliegenden staatlichen Institution nicht eingeben sollte.
Übrigens wurde ich Ende vergangenen Jahres mehrfach (genau 4x) zu Hilfe gerufen, weil Bekannte keine Mails mehr versenden oder empfangen konnten - Konten wegen SPAM gesperrt.
Ich nehme mit dem jetzigen Wissen an, das dies damit zusammen hängt.
Nach einem Ersatz der einfachen Passworte in etwas umfangreichere wurden die Konten wieder freigegeben.
Ein Test bei dem es im Idealfall einfach keinerlei Benachrichtigung gibt, ist irgendwie blöd.
Dass der Test überhaupt ein Mail verschicken will, ist blöd. Allerdings macht es dann Sinn, nur an betroffene Adressen ein Mail zu schicken. Wird das Mail an Millionen nicht betroffener Adressen verschickt, würde es früher oder später als Spam eingestuft werden - v.a. da es garantiert Millionen an Witzbolden gibt, die etwas anderes als die eigene Adresse eintippen werden.
dass das BSI das mit den 16 Millionen digitalen Identitätsdiebstählen nur erlogen hat
Wir haben eine Nachricht vom hiesigen BSI-Pendant (MELANI) erhalten, welche auf Kunden von uns hingewiesen hat, die vom Diebstahl betroffen sind. Letztendlich haben unsere Steuergelder hier erstaunlich seriös gearbeitet (halt mit den obligaten Schönheitsfehlern bei Details).
Die 16 Millionen sind nicht erlogen, was man verschwiegen hatte war nur das der geringste Teil aus Deutschland stammt nähmlich ca. 1 Mille oder etwas darunter, ein großer Batzen stammt aus den anderen EU Ländern und der Rest dann aus den nicht EU-Staaten. Kann man irgendwo in der Presse nachlesen.
Ein Test bei dem es im Idealfall einfach keinerlei Benachrichtigung gibt, ist irgendwie blöd.
Das sehe ich genau so. Wobei man natürlich auch nachvollziehen kann, dass die dort unnötigen Traffic vermeiden wollen. Außer den 16 Mio Betroffenen können ja noch zig Mio andere, nicht Betroffene den Test machen. Denen allen kurzfristig eine Mail zu senden, ist schon ziemlich aufwändig.
Ich gehe davon aus, dass es gegen diese Bot-Netz-Kriminellen keine zuverlässige Schutzlösung gibt - weder kommerziell noch kostenlos.
Wieso nicht?
Welches Angriffsszenario soll denn das sein, gegen das man sich nicht schützen kann?
Gut: "Schutz aus der Schachtel" (also irgendein "Anti-Bot-Net xy" kaufen und installieren) wird es nicht geben. Das ist logisch.
Aber wenn man die allgemeinen Sicherheitsregeln befolgt, sollten doch auch diese Hacker keinen uneingeschränkten Zugriff auf einen beliebigen Rechner bekommen.
1. Ist diese oberflächliche und zeitlich sowieso wiederum stark verzögerte Falsch?information nur eine der fast immer unqualifizierten "Informationen" des BSI, die aber ausgezeichnet dazu geeignet ist, den aktiven bzw. vorzugsweise genutzen Bestand an Mail- Addys zu ermitteln.
Dabei dem BSI helfen, damit NSA, BND und Co., aber auch Betreiber und andere "berechtigte" (fast immer verstoßen sie gegen Menschenrechte und Grundgesetz) und unberechtigte Spitzel ihre Bespitzelungsverfahren weiter optimieren können? Damit sie ihre Überwachungs- und Analysetechnik -völlig anlaßlos und gesetzlich nicht gedeckt- voll auf die aktiven Accounts hetzen können. - Nein!
2. Ist diese Information fürs Internet nicht neu. Ja, bei der Nutzung des Internets sollten Mindestsicherheiten seitens des Nutzers eingehalten werden oder noch allgemeiner - das Leben ist immer auch lebensgefährlich.
Was aber ist an diesem Bla-Bla-Gesülze neu? - Welche Botnetze wurden festgestellt? Welche Internetanbieter sind betroffen? Ist Nickles betroffen? Welche Mailserver können missbraucht werden? Welche Domains? Welche Online- Zugangsdaten? Welche eShops sind betroffen? Wo liegen die tatsächlichen Schwerpunkte? Wer ist besonders betroffen - Bisher nur oberflächliches Gesülze.
Selbst Laien hier auf Nickles sollten nachdenken, in welch kurzer Zeit maschinell alle diese Daten aus der angeblich vorhandenen "Analyse- Ergebnisliste" ermittelt werden könnten - wenn es denn der BSI wirklich wollte. Und wie leicht es auch wäre, die kompromittierten eMail- Addys sogar automatisch zu warnen. - Mal nachgedacht?
Es schadet nichts, anstelle des empfohlenen "Tests" beim BSI, der bisher noch nie Sicherheit liefern konnte (die gesamte Spitzelaffäre der NSA und Co. hat doch für Deutschland ihre Ursache in deren Ahnungslosigkeit und Nachlässigkeit), eine Bestandsaufnahme der eigenen Konten/Accounts (besonders die bereits entlarvten sozialen Netzwerke) und eMail- Addys zu machen, einen unbenötigten Teil aufzugeben/abzumelden/zu verfälschen, zu unterscheiden in wichtige eMail- Adressen für Geschäfte und Verbindlichkeiten gegen einen Bestand an zeitweiligen und gefakten (URL zu solchen anonymen Anbietern bei Bedarf) und der regelmäßige Wechsel des Passworts (wie erst kürzlich bei eBay). Den BSI als typischen Vertreter unserer "Neuland"- Regierung sollte man dabei außen vor lassen!
Neu ist der Umfang. Das hat es so in diesem Ausmaß noch nicht gegeben!
16 Mio sind quasi 20 % aller Deutschen. (Ja, manche sind vielleicht mit mehreren Adressen vertreten.)
Welche Internetanbieter sind betroffen?
Man kann davon ausgehen, dass es fast alle sind.
Ist Nickles betroffen?
Wenn auf Deinem Rechner Deine Account-Daten von nickles.de abgegriffen wurden, ist Nickles (indirekt) betroffen.
Welche Mailserver können missbraucht werden?
Alle, deren Account-Daten abgegriffen wurden.
Welche Domains? Welche Online- Zugangsdaten? Welche eShops sind betroffen? Wo liegen die tatsächlichen Schwerpunkte? Wer ist besonders betroffen - Bisher nur oberflächliches Gesülze.
Das ist dann doch etwas zu überheblich!
Woher soll das BSI wissen, wo überall die User diese Zugangsdaten verwenden? Das ist doch für Dich auch egal. Du musst wissen, wo Du sie verwendest! Was würde eine Auflistung von 1000 Shops nützen, wo diese gehackten Adressen jetzt schon missbraucht wurden?
Jemand, dessen Adresse in diesem Pool auftaucht und der diese Zugangsdaten außer für seinen eMail-Account auch genau so bei anderen Diensten (Shops, Foren, WebHoster usw.) benutzt, ist in hohem Maße gefährdet und sollte überall seine Passwörter ändern!
Ich weiß nicht, was daran "oberflächliches Gesülze" ist!
Und wie leicht es auch wäre, die kompromittierten eMail- Addys sogar automatisch zu warnen. - Mal nachgedacht?
Natürlich haben die nachgedacht: Eine anlasslos erhaltene Mail von einem "BSI" landet normalerweise sofort im Papierkorb, da man dahinter ja einen neuen Angriff von irgendwem vermuten muss! (Das jedenfalls erfährt man, wenn man nachdenkt.) Von daher sollte die Prüfung schon durch den User aktiv angefordert werden. Alles andere wäre ja genau das Vorgehen der Malware-Mafia!
Du solltest mit voreiligen, unzutreffenden Behauptungen etwas sparsamer umgehen. Egal, welche Meinung Du zum BSI hast und wie berechtigt die ist! Tipps wie: "eMail-Adresse kündigen" sind wirklich nicht zielführend!
@mawe: Es gibt bisher lediglich eine Panikmache ohne jedwede konkrete Angabe. Die "aktuelle" Information, frei zusammengefasst "das Internet kann für jeden gefährlich sein", gab es schon vor dem BSI.
Wäre es nicht sinnvoller und sogar technisch ganz einfach möglich, genauere Angaben wirklich vorausgesetzt, daß die kompromittierten Adressen (das sind die, die eben bestimmten Accounts, Anbietern, Shops usw. zugeordnet sind und angeblich gelistet sind) durch das BSI sogar zeitnah informiert werden?
Beispielsweise: wenn mawe2@nickolaus.de zum eBay-Nick "mawe2ebay" ermittelt wurde, könnte doch automatisiert eine Mail an mave2@nickolaus.de mit einem Hinweis geschickt werden.
Damit beende ich aber hier die Diskussion - du liest überhaupt nicht und willst nicht verstehen.
Natürlich ist es eine Sauerei, wenn von einem Organ, daß unsere Internetsicherheit gewährleisten soll, nur verspätet und oberflächlich Panik verbreitet wird. Klar, man könnte die verniedlichende Form "nicht zielführend" oder "suboptimal" verwenden. Spitzelaffäre und auch NSU- Prozess jedoch zeigen, daß man eine deutlichere Sprache sprechen muss.
Die "aktuelle" Information, frei zusammengefasst "das Internet kann für jeden gefährlich sein", gab es schon vor dem BSI.
Richtig.
Jetzt gibt es aber den konkreten Anlass, dass den BSI eine Datenban mit 16 Mio Account-Datensätzen vorliegt, die offensichtlich illegal abgefischt wurden. Was spricht dagegen, dies der Öffentlichkeit mitzuteilen und den Service anzubieten, seine eigenen Mailadressen überprüfen zu lassen?
Ob Du das dann nutzt oder Deiner Paranoia erliegst, ist dann Deine Sache.
Wäre es nicht sinnvoller und sogar technisch ganz einfach möglich, genauere Angaben
Dagegen sprechen schon allein ermittlungstaktische Gründe. Ungeachtet dessen ist es gut, die Öffentlichkeit nicht erst nach Jahren (wenn die Ermittlungen vielleicht mal abgeschlossen sind) zu informieren.
Beispielsweise: wenn mawe2@nickolaus.de zum eBay-Nick "mawe2ebay" ermittelt wurde, könnte doch automatisiert eine Mail an mave2@nickolaus.de mit einem Hinweis geschickt werden.
Nein! Unverlangt eingehende eMails fremder Absender landen bei mir und anderen sicherheitsbewussten Usern sowieso ungelesen im Papierkorb.
du liest überhaupt nicht und willst nicht verstehen.
Mir schien es genau umgekehrt zu sein. Ich habe jedenfalls gelesen und stelle fest, dass Du elementare Sicherheitsüberlegungen für Dich selbst noch nicht mal durchdacht hast. Warum schreibst Du dann zu diesem Thema?
Natürlich ist es eine Sauerei, wenn von einem Organ, daß unsere Internetsicherheit gewährleisten soll
Gehst Du wirklich davon aus, dass das BSI für Deine Internetsicherheit zuständig ist? Für meine Sicherheit bin ich selber zuständig!
Das BSI berät, ünterstützt, forscht. Das ist sicher im allgemeinen Interesse, so wie auch jetzt diese Veröffentlichung. Das Ganze jetzt reflexhaft abzulehnen und schon wieder die ärgsten Vorwürfe zu machen, nur weil die Info eben jetzt vom BSI kommt, finde ich etwas zu kurz gegriffen.
Da die Liste angeblich "gemeinsam von Forschern und Strafverfolgern bei einer statischen Auswertung" endeckt wurden sein soll, kann ich mir nicht vorstellen das die Spezilisten des BND oder LKA so ein Risiko eingehen Dritte in ihr Boot zulassen. Denkbar wäre es nur im Zusammenhang mit der geplanten Projekt "Vorratsdatenspeicherung" selbst ist aber reine Spekulation. Aber wie heißt es doch so schön es ist alles nur eine Frage der Zeit, bis die Sonne auch über dieses Kapitel scheint.
Das ist natürlich erstmal nur eine Zwischenbilanz.
Trotzdem kann man sagen: Knapp 10% derer, die sich für das Problem interessieren, (die also vielleicht auch ein etwas ausgrprägteres Bewusstsein für Datensicherheit haben,) sind betroffen.
Nicht gezählt werden natürlich diejenigen, die den Test aus Paranoia oder Selbstüberschätzung ihrer Sicherheitskompetenz nicht machen und trotzdem im Pool der Betroffenen drin sind.
Insofern sind statistsiche Rückschlüsse aus diesem Vorgang nur mit größter Vorsicht zu genießen!
Nachdem jetzt bekannt wird, das der Hack bereits seit Dezember im schwarzen Zylinder gesteckt hat und erst jetzt zum scheinbar geeigneten Zeitpunkt als weißes Kaninchen auftaucht; unser Herr de Maizière dafür einerseits die Behörde über den grünen Klee lobt und sinngemäß im gleichen Atemzug erklärt, dass Bedrohungen im Netz nicht nur von der NSA ausgehen, ist der Drops schon wieder gelutscht:
Außer einem netten Ablenkungsmanöver und etwas positiver Publicity für/durch TdM kann die Meldung in die Ablage tief. Ich werde mich jedenfalls hüten, die Adresse dort einzugeben;-)
Nachdem jetzt bekannt wird, das der Hack bereits seit Dezember im schwarzen Zylinder gesteckt hat
Da kannst mal sehen wie sorgfältig unsere Behörden und Ämter arbeiten. Wir werden wohl auch mindestens 4 Wochen nach einem Atombombenabwurf informiert, damit die notwendigen Maßnahmen ordentlich analysiert und dann veröffentlicht werden.
Außer einem netten Ablenkungsmanöver und etwas positiver Publicity für/durch TdM kann die Meldung in die Ablage tief. Ich werde mich jedenfalls hüten, die Adresse dort einzugeben;-)
ich hatte es vorgestern einfach gemacht nach der echt zahlreichen ÖR Berieselung, Radio-TV, es ging ja im Minutentakt! Ich bekam zwar 2 Codes doch bislang keine Antwort darauf.
Ich habe weder Code noch Antwort erhalten, ich habe mehrere Mehladressen und gehe davon aus, wenn sie eine haben dann haben sie auch die Anderen - Also vorerst nix.
Ein Test bei dem es im Idealfall einfach keinerlei Benachrichtigung gibt, ist irgendwie blöd.
Stimmt.
Wenn man bedenkt, daß mir gmx Deine Bestätigungsmail damals gar nicht zugestellt hat, sondern einfach alles in den Spam schickte (allerdings nicht in meinen Spamordner).............
Allerdings muß ich sagen, daß mich gmx vor ein paar Monaten hartnäckig gezwungen hat, mein Passwort zu ändern, weil (angeblich) ein Unregelmäßigkeit aufgetreten ist.
Allerdings habe ich auch bei meinen anderen e-mail-Accounts bisher keinerlei "Benachrichtigungen" bekommen.
Anhand einer Analyse von Bot-Netzen hat der BSI deren Missbrauch für Identitätsdiebstahl ermittelt.
Interessanter wäre es allerdings, würde man auch erfahren, ob man Teil eines Bot-Netzes ist.
Gerade Win-Nutzer merken das ja nicht (es sein denn, sie können ihren Datenstrom interpretieren), bei Linux ist das GsD noch kein Problem.
Hab ich gestern im vorbei gehen auf einer Presseseite aufgeschnappt beim überfliegen der Artikel, also bei den 16 Millionen handelt es sich nicht wie einst angenommen um 16 Millionen Deutsche User, die Zahl der deutschen User "soll" sich unter einer Million bewegen und angeblich wurde diese Liste von Forschern und Strafverfolgern zufällig entdeckt.
Ich will das Ding nicht herunter spielen, aber ich denke hier bei Nickeles gibt es genügent Experten, welche die nach Wissen suchenden User ordentlich aufklären können, wie sich die User allgemeine vorbeugend schützen, wie sie sich auch könnten wenn sich der Rechner mit so einem Plagegeist mal angefreundet hat.
Das BSI ist hier völlig zu spät und zudem völlig ahnungslos, was ich oben bereits ausreichend deutlich gemacht hatte.
Die Krönung ist jetzt, daß bei dieser gesamten nachweihnachtlichen Aktion (waren ja planmäßige Ferien, was interessiert da die Sicherheit ...) gegen die eigenen Prinzipien, und gegen den gesunden Menschenverstand sowieso, verstoßen wird.
Als ich diese Nachricht hörte, bekahm ich erst auch gleich den Angstschweiss auf der Stirn.
-Was, wenn die Betrüger eine meiner Mails geknackt haben und auf meinen Namen eine Bestellung
lansieren und mir wird dann die Rechnng von, vielleicht einigen tausend eu presentiert....?...
-Aber, nach kurzer Zeit des Nachdenkens, war ich beruhigt.. 16.000.000 Mailkonten haben die Betrüger geknackt. wie viele Betrüger sind eigentlich damit beschäftigt?, mal angenommen es sind 1000 Betrüger.. Jeder muss sich um 16.000 geknackte Mails kümmern um einen oder mehrere ab zu zocken... sofort stelle ich mir die Frage, bin ich einer von 16.000 ???. Eine Frage der Wahrscheinlichkeit ..... Gleich kommt der Gedanke zum Lotospiel..
Ich würde "nie" Loto speilen, angesicht der, vemutlich gleichen Schangsenlosigkeit, wie bei diesem Datendiebstahl..
Also, abwarten und langsam die Passwörter ändern, ohne Panik...
So ähnlich liest sich auch dieser Kommentar auf heise-Security.
Eine Art Datenbankabfrage mit Ergebnis rot oder grün wie bei der Prüfung des Hintertürchens in einigen Routern hätte es im Zweifel auch getan, vor allem ohne Zustimmung zur Verwendung der Daten durch das BSI.
Hi Jürgen, der Satz lautet: "16 Millionen Nutzerdaten von Kriminellen geklaut". Gemeint ist: Kriminelle haben 16 Millionen Nutzerdaten geklaut. Die Formulierung suggeriert aber, dass die Kriminellen selbst die Beklauten sind ("Nutzerdaten von(!!) Kriminellen").
Violetta hat recht: "durch Kriminelle", statt "von...", und die Sache wäre eindeutig gewesen.
Ich konstatiere: Ich wurde von Kriminellen beklaut
Ich wurde durch Kriminelle beklaut
Die erste Version ist besser, da muß man 2 Buchstaben weniger schreiben ;-)
Irgendwie muss doch begründet werden, dass mehr Kohle für Überwachungs- äh Sicherheitstechnik locker gemacht werden soll. Da kommt bestimmt noch etwas a la´ Zensursulas Stoppschild hinterher.
Natürlich ist das kein Zufall, wenn man es wirklich ernsthaft bekämpfen wollte, hätte man schon längst eine härtere Gangart vorgelegt. Der Staat und sein Gefolge verdient doch an dem ganzen Umstand und der Bekämpfung mit untauglicher Soft und Hardware mehr als bei einer intensiven Bekämpfung.
Auf der anderen Seite ist man gewillt, die Unzufriedenheit der Bevölkerung lächelnd in Kauf zu nehmen, das Volk meckert ja so wie so an allem rum :-(
Natürlich ist das kein Zufall, wenn man es wirklich ernsthaft bekämpfen wollte, hätte man schon längst eine härtere Gangart vorgelegt.
Eine echte "Bekämpfung" derartiger Probleme ist in meinen Augen in erster Linie durch breite Information über die sichere Nutzung des Internets zu erzielen, die zumindest in einem gewissen Ausmaß den Nepp mit den diversen Methoden der Phisher, Virenverbreiter usw. einschränkt.
Gegen die Hintermänner und deren Methoden hat selbst EU-weites Datenschutzrecht keine Chance, weil diese üblicherweise nicht innerhalb der EU agieren.
Gäbe es eine ähnliche Kampagne in den Medien inklusive Anzeigen in der Tagespresse über den Gebrauch persönlicher Daten, Verschlüsselung und aktuelle Hinweise in ähnlicher Lautstärke z.B. über Anrufe von angeblichen MS-Mitarbeitern wie der derzeitige Hype um die geklauten Nutzerdaten, wäre die Zahl der Betroffenen sicher um Einiges geringer.
Wer dann noch im Grau- und Schwarzbereich des Netzes unterwegs ist und darüber seine Daten versiebt, der weiß entweder, was er tut oder dem ist mangels Unvernunft oder Bequemlichkeit so oder so nicht zu helfen.
Wenn ich dagegen solche Aussagen lese, dann weiß ich, wohin die Reise wirklich gehen soll:
"Wir brauchen rechtliche Regeln, wir brauchen technischen Schutz, eine Mauer."
Gegen die Hintermänner und deren Methoden hat selbst EU-weites Datenschutzrecht keine Chance
Auch das sehe ich noch nicht als erwiesen an, die Staaten sind nicht so autark, dass sie gegen massiven Druck der Großmächte auf Dauer standhalten würden, da ginge sicher noch einiges zu machen, nur man versucht es garnicht erst.
ie Staaten sind nicht so autark, dass sie gegen massiven Druck der Großmächte auf Dauer standhalten würden,
Das träfe eventuell auf die Beschränkung der Geheimdienste zu, die Internetkriminalität läßt sich damit sicher nicht verhindern, denn es wäre der erste Kriminelle, welcher sich an Gesetze hielte. Dabei ist der wirtschaftliche Faktor im Sinne der Vermarktung der gewonnenen Daten noch nicht berücksichtigt, die "Interessen" sind da vom Skript-Kiddie bis zur "professionellen" Nutzung durch Kreditkartenklau und ähnlichem sehr breit gestreut.
Die gewollten Einschränkungen sind das Ende des "freien" Internets in seiner bisherigen Form, das schlußendlich dann den normalen User immer mehr einschränkt, wenn diese Büchse der Pandora geöffnet wird. Den unseriösen Machenschaften läßt sich damit nicht das Handwerk legen, sehr wohl aber irgendwann einmal mißliebigen Zeitgenossen symbolisch der Stecker ziehen, vom Überwachungswahn einmal ganz abgesehen.
Wie weit der Einfluss und die Restriktionen der Politik gegenüber seinen eigentlich Unterstellten in Form der Geheimdienste oder wirtschaftlichen Interessen bei Banken und Unternehmen reicht, bei denen die Politik immer mehr reiner Reaktionsteil ist, statt die Bedingungen zu diktieren, ist täglich in den Medien zu sehen und das ist aus meiner Sicht noch lange nicht das Ende der Fahnenstange. Ich sehe daher Dein "nicht erst versuchen" bereits als "vor dem Versuch unterbinden".
Die Action um die geklauten Daten ist in diesem Sinne Mittel und Zweck zugleich, weil einerseits statt klarer Ansage über Herkunft und tatsächlichem Umfang mit Suggestiv-Ängsten gespielt wird und andererseits in Anbetracht der langen Dauer, in welcher diese Daten in den Bot-Netzen abgegriffen wurden und wo diese für die Betroffenen bereits gefährlich waren, jetzt auf einmal Aktionismus in ganz anderer Richtung betrieben wird.
Ironischerweise muß ich immer öfter an den Film "Running Man" denken, wenn ich an die aktuelle gesellschaftliche Entwicklung denke and I´m not amused...
Bin betroffen, was tun?? Mein privates Mailkonto wurde identifiziert und in der Mail steht, dass meine Mailadresse mit einem Passwort eines x-beliebigen Online-Dienstes verknüpft sei.
Das bringt mich jetzt wenig weiter? Ich kann doch schlecht bei hunderten von Accounts die ich in den letzten 7 Jahren mit dem Mailkonto verknüpft habe, nun das Passwort ändern, zumal ich die Accounts wohl kaum noch zusammenkriege? -.-
Virenschutz soll lt. euren Kommentaren auch nicht helfen, also was bleibt?!
Bin betroffen, was tun?? Mein privates Mailkonto wurde identifiziert und in der Mail steht, dass meine Mailadresse mit einem Passwort eines x-beliebigen Online-Dienstes verknüpft sei.
Da wäre es halt schön zu wissen, welcher Online-Dienst betroffen ist, aber darüber wird das BSi wohl kaum Auskunft geben und schafft dadurch mehr Verunsicherung als Hilfe.
Du kannst m.E. nur überlegen, ob Du nach Nutzung eines bestimmten Zugangs plötzlich mehr Spam darüber bekommen hast und wo Du ggf. dieselben Daten verwendest wie für Dein Mail-Konto.
Dann ändere zuerst dieses Paßwort von einem sauberen PC oder Livesystem und anschließend die damit möglicherweise in Verbindung stehenden Dienste wie Logins auf E-bay, Amazon, Paypal usw.
Hast Du keine Auffälligkeiten in dieser Hinsicht, dann ist es gut möglich, dass zwar über irgendeinen Account diese Daten per Bot abgefischt wurden (beachte, dass muss nicht auf Deinem PC gewesen sein, sondern kann ebensogut beim Provider oder sonstwo geschehen sein, daher ist auch die Annahme Nonsens, das über eine nachträgliche Bereinigung durch die angebotenen Cleaner lösen zu können), aber bisher noch gar nicht verwendet wurden. Eine Fehlerquote wegen der Mehrfachverwendung abgelaufener Mailadressen und dergleichen ist dabei noch gar nicht berücksichtigt, die Maßnahmen sind natürlich analog zu oben angebracht. Statt des angebotenen Downloads besitzt Du evtl. sogar eine der Rescue-CD bereits, dann tut es diese genauso.
Die völlige Sicherheit gibt Dir das natürlich trotzdem nicht, aber es bestätigt meine Meinung, das es sich hier in erster Linie um eine Riesenblase handelt, solange nicht die tatsächliche Herkunft der geklauten Daten genannt wird.
Da wäre es halt schön zu wissen, welcher Online-Dienst betroffen ist, aber darüber wird das BSi wohl kaum Auskunft geben und schafft dadurch mehr Verunsicherung als Hilfe
N'Abend,
hat schon mal jemand geprüft, ob die Herausgabe an Betroffene nicht per Klageverpflichtung erreicht werden könnte?
Zum Thema:
Wenn die einzige betroffene Mailadresse gar kein eigenes Passwort hat, aber andererseits bei den Onlineaccounts, die als Benutzername eine Mailadresse verlangen (amazon z.B.) natürlich auch ein zugeordnetes Passwort hat, kann es sich m. E. nur um Datendiebstahl von gehackten Onlinshops handeln. Dies wurde ja schon mehrfach geäßert. Interessant ist in diesem Zusammenhang auch, dass für diese eine Mailadresse SECHS Bestätigungen kamen, für die Hauptadresse des Mailservers mit dem zugehörigen Passwort jedoch nicht.
Eine Anfrage an das BSI wurde bisher nicht beantwortet.
Erstens sind das natürlich nicht nur Online-Shops, die Mailadressen als Benutzernamen verwenden sondern auch andere Dienste.
Zweitens ist es völlig unmöglich, eine Mailadresse ohne eigenes Passwort anzulegen. Zu einer Mailadresse gehören normalerweise sogar zwei Passwörter (POP + SMTP), die aber häufig identisch sind. Ohne geht es aber nie.
Da es sich hier aber um gephishte Accounts von schlecht geschützten User-Rechnern handelt, kannst Du überhaupt keinen Dienst speziell dafür verantwortlich machen sondern höchstens die User, die zu .... waren, sich die Daten klauen zu lassen.
Zweitens ist es völlig unmöglich, eine Mailadresse ohne eigenes Passwort anzulegen.
Das dürfte eben nicht stimmen, denn um an die Mails unter dieser Adresse zu kommen muss zunächst der Mailaccount geöffnet werden, der aber eine ganz andere Benutzerkennung mit Passwort hat. Mit der bewußten Mailadresse lässt sich der Account nicht öffnen, also hat diese auch kein Passwort. Allein dort, wo diese irrsinnigerweise als Benutzerkennung dient, gibt es auch (verschiedene) Passwörter dafür. Da vom BSI 6 Mails kamen, muss es sich also um diese anderen Shops oder Onlinedienste handeln.
POP + SMTP sind dem Hauptaccount zugeordnet und nicht den soundsoviel untergeordneten Mailadressen, oder?
Das dürfte eben nicht stimmen, denn um an die Mails unter dieser Adresse zu kommen muss zunächst der Mailaccount geöffnet werden, der aber eine ganz andere Benutzerkennung mit Passwort hat.
Erstens geht es ja nicht nur um die eMails, die auf dieser Adresse ankommen sondern eben um die gekaperten Accounts (Shops usw.)
Zweitens hat man nur bei bestimmten eMail-Anbietern eine "andere Benutzerkennung". Oft ist genau die eMail-Adresse gleichzeitig auch die Benutzerkennung.
Drittens ist es ja gerade so, dass eben viele Leute die selben Passwörter (z.B.) für den eMail-Account und den (gleichnamigen) Online-Shop-Account benutzen. Gerade auf diese Leute zielt ja die Aktion des BSI ab.
Jedenfalls stimmt es weiterhin, dass es eMail-Accounts ohne Passwort nicht gibt.
Mit der bewußten Mailadresse lässt sich der Account nicht öffnen, also hat diese auch kein Passwort.
Für die überweigende Mehrzahl aller eMail-Accounts stimmt das nicht.
Ich denke, Du schreibst hier ganz explizit von Deiner Konstellation während ich mich allgemein auf die Hinweise des BSI beziehe, die vielleicht nicht auf Dich aber auf die anderen 16 Mio betroffenen Konten zutreffen.
POP + SMTP sind dem Hauptaccount zugeordnet und nicht den soundsoviel untergeordneten Mailadressen, oder?
Von "untergeordneten" Accounts habe ich gar nichts geschrieben. Die verschiedenen Adressen, die man hat, hat man sinnvollerweise ja nicht als "untergeordnete" sondern als separate Accounts, am besten auch bei verschiedenen Anbietern.
Wenn ich alle Adressen unter einem einzigen Account unterordne, reicht es, diesen einen Hauptaccount zu hacken, um an alles ranzukommen. Das wäre schlecht!
Ich denke, Du schreibst hier ganz explizit von Deiner Konstellation während ich mich allgemein auf die Hinweise des BSI beziehe, die vielleicht nicht auf Dich aber auf die anderen 16 Mio betroffenen Konten zutreffen.
Hallo mawe 2,
ich beziehe mich ausschließlich auf die mir bekannte Konstellation, viellicht hätte ich meinen Beitrag als persönliche Nachricht an einen der VIP's richten sollen.
Wenn ich alle Adressen unter einem einzigen Account unterordne, reicht es, diesen einen Hauptaccount zu hacken, um an alles ranzukommen. Das wäre schlecht!
Genau der und alle anderen Adressen sind bei ausgebliebener Antwort des BSI nicht betroffen, was hier der Fall ist. Die Systeme sind lt. AV-Suchlauf frei.
diese Diskussion läuft mir in die falsche Richtung.
Ich habe bei den betroffenen Accounts die Passwörter geändert und hoffe nun, dass ich alle und vorallem die Richtigen erwischt habe.
Mich interessiert vorallem, ob man das BSI zur Herausgabe der gehorteten Mailadressen zwingen kann, weil ich dann wirklich alle Accounts ändern oder ggfs. löschen könnte. Aber dazu äußert sich bisher leider niemand.
Ich hatte denen geschrieben und um die Nennung des betreffenden Passwortes gebeten. Ich hatte auch gebeten, mir das Datum dieser ominösen Datei zu nennen.
Ich habe aber natürlich keine Antwort erhalten.
Man redet immer von einem Onlinedienst. ist theoretisch falsch, über Radio kam heute das die BSI die e-Mails gesammelt haben soll. Die Online Shops und ein paar andere passen dann nicht mehr in das Raster, übrig blieben dann nur noch Online Games Portale und Soziale Netzwerke.
Von den dezeit 16 Mille sollen nur 3 Mille betroffen sein. Der Sender vermutet das sich nicht alle User gemeldet haben. Hat er meines erachtens nicht ganz unrecht.
Phantastisch aufgebauscht zum Rätselraten - ist die NSA- Affaire " dem Schöpfer sei Dank" aus den dauernden Schlagzeilen und schon wird uns bewusst gemacht das wir sie dringer brauchen als zu vor angenommen !
Mal ehrlich und von allen Verschwörungstheoretikern abgesehen, wie viele User machen sich um ihre eMail wirklich eine Dattel ? Ich kille regelmäßig meine eMail-adressen nebst zubehör, schon allein wegen dem ganz Müll, welcher mich am lesen der nützlichen Post hindert.
...schon allein wegen dem ganz Müll, welcher mich am lesen der nützlichen Post hindert
Habe ich kaum. Mich schützt sehr zuverlässig der "SuperSpamKiller" von Mirko Böer.
Zusammen mit dem -ebenfalls ausgezeichnet funktionierenden- SPAM- Filter von GMX.
Ich habe zwar auch einen aktiven Spamfilter, aber dadurch das ich international aktiv bin rauscht mehr durch wie ich haben will, oder wird als spam declariert obwohl nur weil gewollte Werbung drin ist.
Auffälligkeiten am PC gab und gibt es keine, lediglich personalisierter Spam flattert mir ins Spamfach des betroffenen Mailkontos: Sprich irgendjemand kennt meinen Vor- und Zunamen sowie meine Mailadresse!
Die werden also irgendwo abgegriffen worden sein, wo wo ich mit Klarnamen angemeldet bin und laut BSI scheint auch irgendein Passwort von mir bekannt zu sein. Ob das wohl zusammenhängt?
Die Krux ist herauszufinden wo die Daten herkommen, was sich mir als unmöglich darstellt. Lautet die Devise also weitermachen? Evtl. bis einem auffällt dass mit einem Konto Missbrauch betrieben wird?
Die werden also irgendwo abgegriffen worden sein, wo wo ich mit Klarnamen angemeldet bin...
Dann änderst Du vorsichtshalber dort und bei den eventuell mit diesem Konto verbundenen Diensten das Passwort und damit dürfte der Drops dann auch gelutscht sein.
Eine meiner E-Mail-Adressen war auch betroffen. Ich erhielt als Antwort gleich 10 (!) gleichlautende E-Mails mit dem Inhalt, ein Passwort zu ändern.
Ich nutze bei jedem Online-Dienst ein anderes Passwort, also weit über 100. Welches genau soll ich da ändern?
Ebenfalls nutze ich seit Jahren den auf der BSI-Seite empfohlenen Avira - Virenschutz.
Für mich ist die ganze Aktion ein einziger Fake. Einfacher konnten die doch in kurzer Zeit nicht soviele E-Mals auf einmal abgreifen.
Wäre die Warnung ernst gemeint, hätten sie mir das betroffene Passwort mitschicken können. Dann hätte ich ihnen genau mitteilen können, von welcher Plattform es abgegriffen worden ist.
Außerdem ändere ich meine Passwörter sehr regelmäßig.
Von daher hätte mich auch interessiert, welches Datum diese Hacker-Datei hatte. Eventuell wurde ein Passwort abgegriffen, das längst nicht mehr gültig ist.
Eine meiner E-Mail-Adressen war auch betroffen. Ich erhielt als Antwort gleich 10 (!) gleichlautende E-Mails mit dem Inhalt, ein Passwort zu ändern.
Welches genau soll ich da ändern?
Hallo Mike 2009,
hier liegt der sprichwörtliche Hase im Pfeffer. Genau auf die Weigerung des BSI, die betroffenen Mailafressen an die betroffenen User herauszugeben, zielt meine weiter oben gestellte Frage, ob man das BSI nicht auf dem Rechtsweg dazu zwingen kann, die Daten an die Betroffenen herauszugeben. Leider ist daruf bisher niemand im Forum eingegangen.
Da ich nur wenige Accounts mit der betroffenen Mailadresse habe, hoffe ich dass mit der Änderung der Passwörter die größte Gefahr gebannt ist.
es ist doch auch erstaunlich, daß es überhaupt keine offiziellen Meldungen mehr in den Nachrichten gibt, obwohl angeblich 800.000 Leute einen Treffer haben sollen.
Bei mir ist es so , daß es sich um eine öffentliche E-Mail-Adresse handelt, die ich seit über 10 Jahren auf einer meiner Websites habe und die schon vor Jahren von allen möglichen robots abgegriffen wurde für Spam etc..... Darum hatte ich auch damit gerechnet, daß die dabei sein könnte.
Nimm Dir einen Anwalt, lass dich von ihm ordentlich beraten und beauftrage ihn mit einer Akten einsicht ! Ob es die Sache "wert" ist must Du selbst entscheiden ! Günstiger wäre es doch die Kontaktdaten komplett (eMail wie auch Passwörter) zu ändern, vorher jedoch den eigenen Rechner gründlich mit einem neutralen Schutzprogramm (Antivirus - oder live cd) kann man bei Heise.de herunterladen checken. und danach erst den rest ändern.
Zum Anwalt "Fachanwalt für IT-Recht wäre meiner Meinung nach die richtige Wahl" , aber der Anwalt "Deines" vertrauens würde auch genügen. Bei der RSV (Rechtschutzversicherung) dürfte es keine Probleme geben, da es sich "ja nur" um eine Akteneinsicht bzw. Aktenauskunft handelt.
Da lass ich mir schon einen Fachanwalt benennen, aber wie gesagt, zunächst kommt Lösung 2. Vielleicht liegen dort ja noch mehr Anfragen von Betroffenen vor, zumal es sich um einen der sog. Großen im RS - Geschäft handelt.
Weigerung des BSI, die betroffenen Mailafressen an die betroffenen User herauszugeben, zielt meine weiter oben gestellte Frage, ob man das BSI nicht auf dem Rechtsweg dazu zwingen kann, die Daten an die Betroffenen herauszugeben.
Ich würde es zunächst einmal mit einem Auskunftsersuchen nach Bundesdatenschutzgesetz versuchen. In der c't gab es vor einiger Zeit mal einen Schwerpunkt zu der Thematik. Sollte dem nicht entsprochen werden könnte man immer noch eine entsprechende Klage anstreben…
Was kaum jemand weiss, ist das die Mail mit der Behörde verifiziert sein muss, sprich die Behörde entscheidet über den Kommunikationsweg. Zu 89 Prozent bekommt der alte Postbote wieder Arbeit, weil der eletronische Post-Weg als unsicher eingeschätzt wird. Aber es gibt auch hier Ausnahmen und zwar vollkommen unabhängig ob man nun eine herkömmliche eMail oder eben die DE-Mail oder das Konkurrenzprodukt nutzt.
Man sollte daher einfach die 70 Cent in den stinknormalen Postbrief investieren und höflich bei der BSI anfragen.
Die BSI ist quasi in der Zwickmühle, einerseits möchte sie den betroffenen Nutzer helfen und andererseits darf sie den betroffenen Nutzer nicht helfen !
Na ok, dann 10 cent weniger, wenn Du die Daten (also die geheime Nummer) welche du von der BSI hast zusammen mit Deiner eMail an die BSI sendest, kann im Grunde genommen sich keiner sich mit einer fremden eMail ausweisen.
Auskunft wirst Du meines Erachtens aber auch nicht bekommen, weil höhere Interessen dem entgegenstehen !
Naja, man sollte es vielleicht weniger verschwörungstheoretisch sehen und einfach die Machbarkeit überdenken!
Nehmen wir mal an, die Hälfte der Betroffenen verlangt die hier diskutierte Auskunft vom BSI. Und jeder hat im Schnitt 2 betroffene Mail-Accounts. Dann trudeln dort in den nächsten Tagen 200.000 Briefe ein, die (irgendwie) verarbeitet und beantwortet werden müssen. Glaubst Du im Ernst, dass irgendeine Behörde dieser Welt dies in einem akzeptablen Zeitraum erledigen kann? Und dann auch noch auf einer juristisch sauberen Basis? Niemals!
Es macht aber auch keinen Sinn, diese Antwort erst in einem halben oder einem Jahr den Betroffenen zuzustellen. Es ist also schlicht indiskutabel!
Ich verstehe auch nicht, was das bringen soll! Die Mail-Accounts der Leute wurden gehackt, vermutlich auf ihren eigenen PCs. Darüber wird man gewarnt (wenn man möchte).
Nun kann (muss) man selbst aktiv werden. Zuerst (von einem sauberen Rechner aus) alle Passwörter aller Accounts erneuern, dann den eigenen (verseuchten) Rechner platt machen und neu einrichten.
Es bringt nichts, im Detail zu wissen, welcher Account gehackt wurde, da prinzipiell alle als gehackt gelten können.
Wenn jemand seine eMail-Adresse und das immer gleiche Passwort für mehrere Zugänge benutzt, kann der Hacker grundsätzlich jeden dieser Dienste missbrauchen, auch wenn er das aktuell noch gar nicht getan hat. Wozu soll mir das BSI also irgendwelche weiteren Informationen senden?
man sollte es vielleicht weniger verschwörungstheoretisch sehen
Ich finde es irgendwie erstaunlich, hier von einer Verschwörung des Staates zum Erwerb von eMail- Adressen zu reden, nichts zu glauben was da "von oben" kommt.
Abgesehen davon, das
Zuerst (von einem sauberen Rechner aus) alle Passwörter aller Accounts erneuern, dann den eigenen (verseuchten) Rechner platt machen und neu einrichten.
dies ja Zweifel an der eigenen Unfehlbarkeit erkennen ließe.
Andere vom Staat publizierte Dinge hingegen, wie der absolut notwendige Import von Fachkräften aus aller Herren Länder (bei gleichzeitig hunderttausenden einheimischen arbeitslosen und unterbezahlten Fachkräften) werden bedingungslos sofort geglaubt. Und Zweifler (mit gegenwärtig grad üblichen Mitteln) bekämpft.
Irgendwie unerklärlich für mich.
Ich finde es irgendwie erstaunlich, hier von einer Verschwörung des Staates zum Erwerb von eMail- Adressen zu reden, nichts zu glauben was da "von oben" kommt.
Ich glaube, das wird jetzt (und nicht erst jetzt) von vielen Leuten ganz reflexhaft und immer gemacht, wenn es eine irgendeine öffentliche Verlaufbarung einer staatlichen Stelle gibt. Und immer ist die jeweilige Aktion dieser Stelle böse, falsch, schlecht gemacht und viele wissen es einfach immer besser und hätten es selbstverständlich auch besser gemacht! So sind manche Leute eben...
Wenn aber das BSI diese Erkenntnis über die gehackten Accounts nicht veröffenlicht hätte, wär's natürlich auch wieder falsch!
Grundsätzlich ist jeder selbst für seine Sicherheit und die Sicherheit seiner Daten verantwortlich. Wer sich da auf den Staat, das BSI oder sonst wen verlässt, macht sowieso etwas falsch.
Trotzdem sollte man solche zusätzlichen Informationen wie die vom BSI ernst nehmen.
Dass "der Staat" darüber eMail-Adressen sammeln will, ist lächerlicher Kinderkram. Jeder weiß, dass er das sowieso ganz anders (und vollständig) könnte, wenn er es denn wollte.
natürlich wußte das BSI schon viel früher vom Datenklau!
Zunächst mußte das BSI allerdings ein Prüfprogramm mit einem externen Unternehmen stricken. Sonst hätte es mit der Profilierung überhaupt nicht geklappt!
über die zeitlichen Schlampereien (Verzögerung mit 4 Wochen und die vielen handwerklichen Ahnungslosigkeiten des BSI kann man inzwischen ausreichend nicht nur auf Nickles nachlesen.
Jetzt geht es aber nicht mehr um "nur" 4 Wochen Unsicherheit und Panik, sondern um über 1/2 Jahr. Und ja, man muss diesen durch den Steuerzahler hoch bezahlten "Datenschützern" erst mal ausreichend Zeit geben - was interessiert da die Sicherheit der Bürger.