Mehrere Millionen E-Mail-Konten durch Botnetze geknackt

throjan

throjan

Administrator
Mitarbeiter
Das BSI hat bekanntgegeben, dass ca 16 Millionen Emailkonten durch Botnetze geknackt wurden. Möglich wurde dies durch Malware verseuchte Computer.
Es gibt zwar eine vom BSI eingerichtete Website, auf der man prüfen kann, ob die eigene Adresse dazugehört. Die Server sind allerdings längst überlastet. In den nächsten Stunden wird der Test aber hoffentlich wieder möglich sein.

Wurde mit diesem Test bestätigt, dass eine E-Mailadresse betroffen ist, dann sollten alle Rechner, die für die betroffenen Zugangsdaten und E-Mailkonten genutzt wurden, neu aufgesetzt werden. Von einem einfachen reinigen, wie es auf vielen Seiten empfohlen wird, raten wir dringend ab!
 
Mal kurz meine ersten Gedanken dazu:

1. Irre. Wahrscheinlich waren 90% der Konten solche, die durch Bots überhaupt erst angelegt wurden. Play with yourself und so.

2. Ich würde nicht mal im Traum dran denken dem BSI meine E-Mail-Adresse in ein Formular einzutippen.

3. Das leidige Thema "Passwörter". Natürlich ist "sonnenblume81" in Null-Komma-Nichts geknackt.

Ein bisschen mitdenken, dann passiert sowas in der Regel nicht.
 
Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze.
Zum Vergrößern anklicken....
Hm, ist es zu paranoid zu glauben, dass es (nur nebenbei, versteht sich) dafür genutzt werden kann, um mit wenig Aufwand verschiedene Emailkonten einer Person zuzuordnen?
 
Wäre der Sicherheitscheck in einer relativ unsicheren Cloud, könnte das BSI jetzt horizontal skalieren und die Anfragen der Verunsicherten bearbeiten und ggf. zum schnellen Handeln motivieren und dann mit relativer Unsicherheit mehr Sicherheit schaffen.

Ein sehr gutes Passwort bringt auch nichts, wenn es durch Keylogger/Malware gestohlen wurde. Und je besser "ein" Passwort ist, desto weniger Passwörter merkt man sich, sodass man das "gute" Passwort für mehrere Accounts benutzt, was sich die Katze dann sicherheitstechnisch in den Schwanz beißt.
 
CDW hat gesagt.:
Hm, ist es zu paranoid zu glauben, dass es (nur nebenbei, versteht sich) dafür genutzt werden kann, um mit wenig Aufwand verschiedene Emailkonten einer Person zuzuordnen?
Zum Vergrößern anklicken....

Zu paranoid ist es sicherlich nicht. Dennoch ist nach BDSG eine solche Einwilligung notwendig, weil das BSI sonst keine Nutzungsberechtigung für die eingegebenen Daten hat, diese also auch elektronisch nicht nutzen darf. Auch eine Email an die Adresse wäre ohne Einwilligung nicht erlaubt.
 
bitmuncher hat gesagt.:
Dennoch ist nach BDSG eine solche Einwilligung notwendig
Zum Vergrößern anklicken....
Hm, ja, aber hätte hier ein "für die Durchführung des Tests" nicht greicht? Da wäre auch die zeitliche Beschränkung relativ eindeutig erkennbar (nämlich: nur für die Zeit des Tests). Denn besonders "und zur Missbrauchserkennung" lässt sich imho doch sehr weit interpretieren.

PS: für alle Fälle:
*Ich leide nicht an Paranoia, ich genieße sie!* =)
 
Zu den anfallenden Daten gehört nunmal auch die IP des Nutzers und sobald ein IDS im Spiel ist, wird diese auch dort erfasst und ggf. gespeichert. Also ist auch die Einwilligung zur Missbrauchserkennung notwendig. Man könnte sonst auf der Seite relativ einfach durch eine Art Bruteforce und die Überwachung des verwendeten SMTP-Servers an valide Email-Adressen kommen.

Aber ich gebe dir durchaus Recht. Ich traue unserem Staat bzw. seinen Geheimdiensten auch zu, dass sie die erhobenen Daten auch anderweitig verwenden werden.
 
Das würde jedoch implizieren, dass die deutschen Geheimdienste nicht eh schon durch passives Mitschneiden am DE-CIX die Email-Adressen zuordnen können. Aber vielleicht fehlen denen ja noch 2-3% in der person-to-emails-Relation. :D
 
Also bei dem was wir mittlerweile "wissen" was bereits im Rahmen von Überwachung implementiert ist... ist es nicht am Ende scheiszegal, wer oder was meine E-Mail Adresse bekommt und zuordnen kann - mal abgesehen vom ganz eigenen persönlichen Unmutsgefühl...
 
Chromatin hat gesagt.:
Also bei dem was wir mittlerweile "wissen" was bereits im Rahmen von Überwachung implementiert ist... ist es nicht am Ende scheiszegal, wer oder was meine E-Mail Adresse bekommt und zuordnen kann - mal abgesehen vom ganz eigenen persönlichen Unmutsgefühl...
Zum Vergrößern anklicken....

Das klingt stark nach aufgeben. Weißt du was man aufgibt? Einen Brief, sonst nichts.
 
Ich hab das jetzt mal ausprobiert, wie erwartet ist meine E-Mail Adresse nicht betroffen. Meine E-Mail Adresse meiner IP zuordnen könnten Geheimdienste so wie so auch an zahlreichen anderen stellen (davon abgesehen enthält sie eh meinen Namen).

Der Gau ist es natürlich wenn das BSI da jetzt ne fette Datenbank mit Mailadressen anlegen würde und die dann in falsche Hände gerät, die Datenschutzerklärung beschreibt aber etwas ausführlicher was gespeichert wird:
2. Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Der auf dieser Webseite angebotene Sicherheitstest kann nur bei Angabe einer E-Mail-Adresse genutzt werden, da diese nur so mit den betroffenen E-Mail-Adressen abgeglichen werden kann. Bei Ihrer Nutzung des Sicherheitstests wird die Anzahl der Nutzer der Webseite sowie die Anzahl der versendeten E-Mails erfasst, um den Umfang der Nutzung der Webseite statistisch zu erfassen. Zur Abwehr des Missbrauchs des Dienstes werden zudem kurzfristig für die Dauer des Sicherheitstests Hashes von IP-Adressen sowie von E-Mail-Adressen erhoben. Sämtliche personenbezogene Daten, die bei der Nutzung des Tests erhoben werden, werden vollständig gelöscht, sobald sie zur Durchführung des Tests nicht mehr benötigt werden. Die angegebene E-Mail-Adresse wird zu keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet.
Zum Vergrößern anklicken....
Es werden nur Hashes gespeichert, also wissen sie scheinbar halbwegs was sie tun ... ein etwas ungutes Gefühl bleibt aber trotzdem. Am besten ist es wohl sein Passwort regelmäßig zu ändern und nie einen Account mit der Mailadresse anzulegen der das selbe Passwort verwendet, denn irgendwelche Datenbanken von Shops, Foren, etc. werden regelmäßig mal gehackt und ich bin mir nicht sicher ob die alle sicher Hashen (mit Salt).
 
Das klingt stark nach aufgeben. Weißt du was man aufgibt? Einen Brief, sonst nichts.
Zum Vergrößern anklicken....

Wäre das Thema etwas "neues" was uns ereilt, dann würde ich dir zustimmen.
Tatsächlich hinken wir aber mit unseren Bedenken der Realitaet (von Überwachung) ueber 25 Jahre hinterher ;)
 
Und was hätte mein Tennis-Trainer dazu gesagt, wenn der Ball im Netz drei Plätze weiter hängt: Der Ball lebt noch! :wink:

Aber im Ernst: Sich ein wenig Sorgen zu machen kann sicher auch in der heutigen Zeit nicht schaden. Man muss es den anderen ja nicht zu einfach machen. Nur weil man in einem Viertel mit hoher Kriminalität wohnt sperrt man auch nicht die Tür nicht mehr ab, nach dem Motto "bricht eh jemand ein".
 
Ja schon klar das BSI ist natürlich wesentlich vertrauensunwürdiger als jeder
Wald- und Wiesenonlinehändler, dem man selbstverständlich seine Daten nebst
Bankverbindung anvertrauen kann, oder wie Facebook, Google oder der
Handyanbieter, Mailprovider, Hoster, Hackerboard...........
Kommt mal runter von eurer Paranoia.
Noch ist Deutschland in Sachen Datenschutz, auch in Bundesämtern führend.
Es sei den man ist Hartzempfänger.

Gruss
 
xblax hat gesagt.:
Es werden nur Hashes gespeichert, also wissen sie scheinbar halbwegs was sie tun ...
Zum Vergrößern anklicken....

Gespeichert ja, aber übertragen? Man kann an ein Hash keine Email senden. Also müssen sie die Email-Adressen für den Fall der Benachrichtigung auch irgendwo ablegen und/oder an den Mailserver weiterreichen. Und schon liegt eine elektronische Datenverarbeitung für diese Daten im Klartext vor. Und auch der letzte Satz ist rechtlich (aus Sicht eines Datenschutzbeauftragten) nicht korrekt:

Die angegebene E-Mail-Adresse wird zu keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet.
Zum Vergrößern anklicken....

Die Adresse wird nämlich auch zur Benachrichtigung betroffener User genutzt, was ein extra Arbeitsablauf und somit nicht Teil des Tests ist. Und schon könnte man auch bezweifeln ob sie wirklich wissen, was sie da tun.
 
end4win hat gesagt.:
Noch ist Deutschland in Sachen Datenschutz, auch in Bundesämtern führend.
Zum Vergrößern anklicken....

Du meinst jenes Deutschland, in dem die Politiker sich weigern die NSA-Machenschaften aufzuklären? Oder meinst du jenes Deutschland, wo das BKA Daten der Bürger auf XAMPP-Servern ablegt? Könnte es vielleicht auch das Deutschland sein, dessen BND mit GCHQ und NSA zusammenarbeitet? Oder evtl. jenes Deutschland, in dem der Bundesdatenschutzbeauftragte dem Innenministerium unterstellt ist, das zu überwachen auch seine Aufgabe ist? Oder doch jenes Deutschland, in dem man gegen Datenschutzgesetze verstossende Antiterror-Dateien anlegen will und wo man die Vorratsdatenspeicherung fordert?

Ehrlich, ich hab keine Ahnung auf welches Deutschland du dich beziehst? Führend gegenüber von wem... China?
 
Ja, auch das Deutschland in dem du oft genug mehrfach um Informationen gebeten wirst, weil die Behörden und Ämter sich untereinander nicht ohne
deine Erlaubnis austauschen dürfen. Das Deutschland in dem du dich bei einem
Umzug ab- und anmelden musst und dies auch mit deinem Auto und der entsprechenden Versicherung, dem Führerschein...........
Und vorallem das Deutschland in dem die von dir genannten Punkte ein Skandal und
keine Selbstverständlichkeit sind.

Gruss
 
Ja schon klar das BSI ist natürlich wesentlich vertrauensunwürdiger als jeder
Wald- und Wiesenonlinehändler, dem man selbstverständlich seine Daten nebst
Bankverbindung anvertrauen kann[...]
Zum Vergrößern anklicken....
Natürlich ist das BSI eher vertauenswürdig (zumindest vertrauenswürdiger als die von Dir angeführten Beispiele), dennoch musste ich beim ersten lesen der Nachricht direkt an eine alte Phishing-Seite denken, die versprochen hat zu checken ob die eigenen Kontodaten geklaut wurden - man sollte nur Namen & Bankdaten eingeben...:D
Und da der Staat durchaus beim Handel mit Daten mitmischt, ist dieser Gedanke zumindest nicht völlig abwegig.
Und außerdem weiß man ja auch nie, wer sonst noch so Zugriff auf die Daten hat (egal ob rechtmässig oder illegal), erst kürzlich wurde ja z. B. bekannt das Unbekannte sich Zugriff auf die SIS-Datenbank verschafft haben - scheinbar können nicht einmal Sicherheitsbehörden und Europol ihre Datenbanken vor unbefugten Zugriff schützen.

Noch ist Deutschland in Sachen Datenschutz, auch in Bundesämtern führend.
Zum Vergrößern anklicken....
Leider hat man häufig das Gefühl das es sich dabei nur um ein Feigenblatt handelt. Wie oft hat z. B. Peter Schaar Alarm geschlagen, aber wurde einfach ignoriert oder mundtot gemacht? Peter Schaar als Datenschutzbeauftragter konnte zwar knurren, aber zum Beißen fehlten ihm leider die Zähne. Doch da selbst das Knurren wohl zu störend war, hat schwarz-rot jetzt eine nette Pro-Vorratsdatenspeicherung und Pro-Bundestrojaner Parteisoldatin zur Datenschutzbeauftragten gemacht - selbst das Feigenblatt wird also wohl noch gestutzt werden...X(
 
@end4win: Achso... du meinst solche Skandale, weil die GEZ automatisiert Daten von den Bürgerämtern bekommt, wenn jemand umzieht oder sich irgendwo neu ansiedelt. Und natürlich den Skandal, weil man Adressen einfach im Bürgeramt kaufen kann. Und vor allem haben diese Skandale ja auch richtig viel bewirkt, weil unser Volksvertreter unser Wohl im Sinn haben. ;)

Nee, sorry, aber ich traue diesem Haufen kein Stück über den Weg.
 
bitmuncher hat gesagt.:
Gespeichert ja, aber übertragen? Man kann an ein Hash keine Email senden. Also müssen sie die Email-Adressen für den Fall der Benachrichtigung auch irgendwo ablegen und/oder an den Mailserver weiterreichen. Und schon liegt eine elektronische Datenverarbeitung für diese Daten im Klartext vor. Und auch der letzte Satz ist rechtlich (aus Sicht eines Datenschutzbeauftragten) nicht korrekt:
Zum Vergrößern anklicken....

Das ist leider ein Problem des E-Mail Protokolls ansich - aber das passiert immer wenn du eine E-Mail verschickst, nur dann halt an anderer Stelle im Netzwerk. Es empfiehlt sich nochmal den Wikipedia Eintrag zur E-Mail-Überwachung zu lesen: die kritische Infrastruktur existiert - wenn gewollt können Mailadressen einfach direkt bei den großen Providern abgefischt werden.

Die Adresse wird nämlich auch zur Benachrichtigung betroffener User genutzt, was ein extra Arbeitsablauf und somit nicht Teil des Tests ist. Und schon könnte man auch bezweifeln ob sie wirklich wissen, was sie da tun.
Zum Vergrößern anklicken....
Das ist Haarspalterei. Außerdem passiert das nur wenn du betroffen bist, und dann steht deine Mail Adresse eh schon auf deren Liste.

Ich finde Paranoia sehr wohl notwendig aber bei manchen Dingen sollte man es nicht übertreiben - angenommen deine Mail Adresse steht auf deren Liste, dann ist imho die Tatsache, dass du sie nicht abrufst auch eine interessante Information.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben