Die auf Cyberkriminalität spezialisierte Staatsanwaltschaft Verden ist auf einen Datensatz von über 18 Millionen E-Mail-Adressen samt Passwörter gestoßen, die sich Betrüger besorgt haben. Der größte bislang in Deutschland entdeckte Datenklau. Rund drei Millionen deutsche User sollen betroffen sein. Die Branche ist in Aufruf, und die User sind es auch. Denn mit geklauten E-Mail-Zugängen lässt sich eine Menge anstellen.
- Was genau hat die Staatsanwaltschaft Verden entdeckt und „sichergestellt“, wie es in den Medien heißt?
Entdeckt wurden rund 18 Millionen Datensätze, bestehend aus E-Mail-Adresse und Passwort. Also die üblichen Zugangsdaten zu Onlinekonten aller Art, die wir jeden Tag überall verwenden. Die Staatsanwaltschaft spricht davon, die Datensätze seien „sichergestellt“ worden, so wie man ein Beweisstück sichert und aus dem Verkehr zieht. Bei digitalen Informationen geht das aber natürlich nicht, da kann man nichts sicherstellen und damit aus dem Kreislauf der Betrüger entfernen. Denn niemand weiß, ob nicht noch Kopien dieser Datensätze vorliegen.
- Wo wurden die Datensätze denn entdeckt?
Genaue Erkenntnisse liegen darüber bislang nicht vor. Aber vermutlich auf einem Server, wo die Daten gesammelt wurden.
- Kann man sagen, wie viele deutsche User betroffen sind?
Auch das kann man derzeit nicht genau sagen, dazu müsste man erst mal alle Adressen analysieren. Aber es wird von etwa drei Millionen deutscher User ausgegangen, die betroffen sind. Es geht dabei um E-Mail-Adresse bei großen deutschen Providern, aber genauso bei internationalen Anbietern. Ob sich hinter einer Google-Mail-Adresse ein deutscher User verbirgt oder nicht, lässt sich aber in der Regel nicht ohne weiteres sagen.
- Was wollen die Betrüger mit den Daten, was lässt sich damit anstellen?
Solche Datensätze, bestehend aus E-Mail-Adresse und Passwort, sind in kriminellen Kreisen bares Geld wert. Wer 18 Millionen Adressen hat, der kann damit ohne weiteres ein paar Hunderttausend Euro verdienen. Die Adressen werden für alles Mögliche missbraucht.
Natürlich versuchen die Kriminellen rauszufinden, ob sie über die E-Mail-Adressen Spam versenden können. Noch ertragreicher für die Kriminellen und folgenreicher für die Opfer aber ist Identitätsdiebstahl. Dabei übernimmt der Kriminelle die digitale Identität des Opfers, schlüpft in seine Rolle. Er kann in seinem Namen und auf seine Rechnung einkaufen, aber auch andere Leute belästigen andere kriminelle Aktivitäten verschleiern. Da ist eine Menge denkbar – mitunter mit schlimmen Folgen.
- Kann man denn rausfinden, ob man selbst betroffen ist?
Bislang lässt sich das nicht rausfinden. Anfang des Jahres hat es ja schon mal einen ähnlichen Fall gegeben, da hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Webseite eingerichtet, wo man das überprüfen konnte: Einfach die eigene E-Mail-Adresse eingeben, danach wurde man informiert, ob die eigene Mail-Adresse in der Liste steht oder nicht. Ich könnte mir vorstellen, dass das BSI etwas Ähnliches auch für diesen Fall plant. Aber so etwas braucht erfahrungsgemäß seine Zeit.
- Wer nicht so lange warten kann oder will: Was kann man denn unternehmen?
Es ist sicher sinnvoll und ratsam, das eigene Passwort, vor allem für den Mail-Zugang, zu erneuern. Unbedingt ein Passwort wählen, das man sonst nirgendwo benutzt, das mindestens acht Zeichen lang ist, Groß- und Kleinschreibung enthält sowieso Ziffern und Sonderzeichen. Das schützt zwar nicht vor jeder Art von Datenklau, aber erschwert zumindest die üblichen Passwort-Hacks. Ganz wichtig ist aber, beim Mail-Postfach ein anderes Passwort zu benutzen als in anderen Onlinekonten. Denn nur so ist sichergestellt, dass Datendiebe nicht das Mail-Postfach kapern können, wenn ihnen die Zugangsdaten zu einem anderen Onlinekonto in die Hände fallen.
- Gibt es denn gar keinen Weg, sich gegen solche Fälle zu schützen?
Doch: Es gibt mittlerweile durchaus eine Möglichkeit. Manche Mail-Provider wie Google Mail aber auch kleinere deutsche Anbieter wie mail.de bieten die Möglichkeit der Zwei-Wege-Authentifizierung. Das bedeutet: Man muss bei der Anmeldung neben dem Passwort auch noch einen Code eingeben, der im eigenen Handy erzeugt wird. Gelingt es einem Hacker, an das Passwort zu gelangen, besteht trotzdem keine Möglichkeit, das E-Mail-Konto zu übernehmen. Man muss diese Form der zusätzlichen Absicherung in den Mail-Konten aktivieren. Es bedeutet einen geringfügig höheren Aufwand, aber ein enormes Plus bei der Sicherheit. Davon sollte jeder Gebrauch machen, der bei einem Mail-Provider ist, der das bereits unterstützt.
