Wie sind die Betrüger an die Daten gekommen?
Es handelt sich im vorliegenden Fall um Identitätsdiebstahl im großen Stil. Die Betrüger haben sogenannte Botnetze (Botnets) verwendet, um an die Daten argloser Computerbenutzer zu kommen. Botnetze sind über das Internet miteinander verbundene Rechner, die durch einen Trojaner gekapert wurden und sich fernsteuern lassen.
Rechner in Botnetzen lassen sich zu allen möglichen Dingen einsetzen, auch zum gezielten Datenklau. Genau das ist offensichtlich im großen Umfang passiert: Die Datendiebe haben relevante Daten zu Personen gesammelt, neben dem Passwort auch andere Daten, etwa welche Onlinedienste verwendet werden. Die Betroffenen bemerken diesen Datenklau in der Regel nicht. Erst wenn die digitale Identität missbräuchlich verwendet wird, entsteht der erste Verdacht.
Wie finde ich raus, ob ich betroffen bin?
Das BSI hat eine Webseite eingerichtet, auf der jeder seine eigene E-Mail-Adresse überprüfen kann. Dazu einfach die E-Mail-Adresse eingeben und die Nutzungsbedingungen bestätigen. Danach wird überprüft, ob die eigene E-Mail-Adresse im Pool der Datenbetrüger entdeckt wurde oder nicht. Das erfährt man aus Datenschutzgründen allerdings nicht auf der Webseite selbst (dann könnte die Überprüfung jeder vornehmen), sondern per E-Mail. Sollte man betroffen sein, erhält man eine E-Mail vom BSI mit einer genau spezifizierten Betreffzeile – und mit Hinweisen, was man dann unternehmen kann und sollte. Erhält man innerhalb weniger Minuten keine E-Mail vom BSI, ist man auch nicht betroffen.
Was muss ich tun, wenn ich betroffen bin?
Wenn jemand eine E-Mail vom BSI erhält, dann ist unverzügliches Handeln erforderlich. Das Passwort zum E-Mail-Briefkasten sollte sofort geändert werden. Unbedingt ein Passwort wählen, das einzigartig ist und nicht auch in anderen Onlinediensten Verwendung findet. Für das E-Mail-Postfach sollte man auf jeden Fall ein einmaliges Passwort verwenden. Auch die Passwörter zu anderen Onlinediensten sollten geändert werden. Darüber hinaus ist es erforderlich, den eigenen Rechner auf mögliche Schad-Software zu untersuchen. Dabei sind Virenschutzprogramme behilflich, die aber auf dem neuesten Stand sein müssen. Außerdem unbedingt alle Sicherheitslecks schließen, indem Updates eingespielt werden: Betriebssystem, Browser und regelmäßig benutzt Software muss auf jeden Fall auf dem neuesten Stand sein.
Was kann ich tun, um mich generell zu schützen?
Grundsätzlich sichere Passwörter verwenden, die in keinem Wörterbuch stehen, die Groß- und Kleinschreibung sowie Ziffern und Sonderzeichen enthalten. In jedem Onlinedienst ein anderes Passwort verwenden, um zu verhindern, dass ein gekaperter Onlinedienst dazu führt, dass auch die anderen übernommen werden können.
Außerdem ist es ratsam, den eigenen Rechner zu schützen. Unbedingt aktuelle Updates für Betriebssystem, Browser und Software einspielen. Auf Windows-Rechnern empfiehlt sich darüber hinaus der Einsatz von Schutz-Software, die den Rechner auf Viren, Würmern und Trojanern untersucht. Dieser Virenschutz sollte ebenfalls stets aktuell gehalten werden, um auch aktuelle Bedrohungen erkennen und abwehren zu können.