Das Bundesamt für Sicherheit in der Informationstechnik (BSI) müht sich redlich, die Öffentlichkeit in Sachen IT-Sicherheit aufzuklären. Für Behörden ist das BSI erste Anlaufstelle. Jetzt hat die Behörde einen durchaus empfehlenswerten Online-Kurs auf den Weg gebracht, der wichtiges Know-how anschaulich vermittelt.
Diese Woche war für alle, die häufig ein WLAN benutzen, eine sehr aufregende Woche. Denn Montag wurde bekannt: Es gibt ein erhebliches Sicherheitsleck in einem weit verbreiteten Sicherheitsstandard namens WPA2. Die meisten Medien haben gewarnt vor dem neuen Datenleck, teilweise lautstark und energisch. Andere Medien haben rasch Entwarnung gegeben, nach dem Motto: Alles nicht so schlimm. Die Folge: Völlige Verunsicherung bei vielen, die WLAN nutzen. Sie stellen sich die Frage: Was tun, was passiert jetzt?
Das Internet hat eine Menge zu bieten. Doch es drohen auch eine Menge Gefahren. Da sind zum Beispiel Cyberkriminelle unterwegs, die an unsere Daten wollen. Wir werden ausspioniert. Oder unser Rechner wird als Geisel genommen – und wir müssen Lösegeld zahlen, um wieder an unsere Daten zu kommen. Das sind nur einige Beispiel. Einmal im Jahr ist „Safer Internet Day“. Da geht es darum, uns Nutzer sensibler zu machen, was solche Gefahren aus dem Netz betrifft.
Diese Woche hat sich das komplette Bundeskabinett zwei Tage auf Schloss Meseberg getroffen, um über aktuelle Probleme und mögliche Lösungen zu sprechen. Dabei ging es auch um das Thema Digitalisierung, die bei uns nicht schnell genug vorangeht – und viele Ressorts betrifft. Denn wir brauchen nicht nur schnellere Datenleitungen, sondern müssen auch Hemnisse beseitigen und neue Ideen entwickeln in Deutschland. Leben wir noch im Neuland – und wohin geht die Reise?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang der Woche seinen Online-Test erweitert: Unter www.sicherheitstest.bsi.de kann jeder risikolos überprüfen, ob seine E-Mail-Adresse gefährdet ist und sich in der Datenbank der jüngsten Spähaktion mit 18 Millionen E-Mail-Adressen befindet. Der Benutzer gibt seine E-Mail-Adresse ein und bekommt einen Code angezeigt. Man erfährt nicht direkt auf der Webseite, ob man betroffen ist oder nicht, sondern nur per E-Mail. Wer keine E-Mail erhält, ist auch nicht gefährdet.
Eine E-Mail erhält man nur dann, wenn das BSI die E-Mail-Adresse in der Datenbank finden konnte. Wichtig: Der Betreff der Info-Mail muss denselben Code erhalten wie nach der Eingabe der eigenen Mail-Adresse angezeigt. Auf diese Weise will das BSI verhindern, dass Trittbrettfahrer User fälschlich mit Warnhinweisen erschrecken.
Wer vom BSI informiert wird, betroffen zu sein, sollte dringend und sofort seine Passwörter erneuten. Nicht nur beim E-Mail-Postfach, sondern überall dort, wo diese E-Mail-Adresse als Benutzername verwendet wird. Es empfiehlt sich, für das Mail-Postfach ein Passwort zu verwenden, das man nirgendwo sonst benutzt.
Die auf Cyberkriminalität spezialisierte Staatsanwaltschaft Verden ist auf einen Datensatz von über 18 Millionen E-Mail-Adressen samt Passwörter gestoßen, die sich Betrüger besorgt haben. Der größte bislang in Deutschland entdeckte Datenklau. Rund drei Millionen deutsche User sollen betroffen sein. Die Branche ist in Aufruf, und die User sind es auch. Denn mit geklauten E-Mail-Zugängen lässt sich eine Menge anstellen.
Entdeckt wurden rund 18 Millionen Datensätze, bestehend aus E-Mail-Adresse und Passwort. Also die üblichen Zugangsdaten zu Onlinekonten aller Art, die wir jeden Tag überall verwenden. Die Staatsanwaltschaft spricht davon, die Datensätze seien „sichergestellt“ worden, so wie man ein Beweisstück sichert und aus dem Verkehr zieht. Bei digitalen Informationen geht das aber natürlich nicht, da kann man nichts sicherstellen und damit aus dem Kreislauf der Betrüger entfernen. Denn niemand weiß, ob nicht noch Kopien dieser Datensätze vorliegen.
Genaue Erkenntnisse liegen darüber bislang nicht vor. Aber vermutlich auf einem Server, wo die Daten gesammelt wurden.
Auch das kann man derzeit nicht genau sagen, dazu müsste man erst mal alle Adressen analysieren. Aber es wird von etwa drei Millionen deutscher User ausgegangen, die betroffen sind. Es geht dabei um E-Mail-Adresse bei großen deutschen Providern, aber genauso bei internationalen Anbietern. Ob sich hinter einer Google-Mail-Adresse ein deutscher User verbirgt oder nicht, lässt sich aber in der Regel nicht ohne weiteres sagen.
Solche Datensätze, bestehend aus E-Mail-Adresse und Passwort, sind in kriminellen Kreisen bares Geld wert. Wer 18 Millionen Adressen hat, der kann damit ohne weiteres ein paar Hunderttausend Euro verdienen. Die Adressen werden für alles Mögliche missbraucht.
Natürlich versuchen die Kriminellen rauszufinden, ob sie über die E-Mail-Adressen Spam versenden können. Noch ertragreicher für die Kriminellen und folgenreicher für die Opfer aber ist Identitätsdiebstahl. Dabei übernimmt der Kriminelle die digitale Identität des Opfers, schlüpft in seine Rolle. Er kann in seinem Namen und auf seine Rechnung einkaufen, aber auch andere Leute belästigen andere kriminelle Aktivitäten verschleiern. Da ist eine Menge denkbar – mitunter mit schlimmen Folgen.
Bislang lässt sich das nicht rausfinden. Anfang des Jahres hat es ja schon mal einen ähnlichen Fall gegeben, da hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Webseite eingerichtet, wo man das überprüfen konnte: Einfach die eigene E-Mail-Adresse eingeben, danach wurde man informiert, ob die eigene Mail-Adresse in der Liste steht oder nicht. Ich könnte mir vorstellen, dass das BSI etwas Ähnliches auch für diesen Fall plant. Aber so etwas braucht erfahrungsgemäß seine Zeit.
Es ist sicher sinnvoll und ratsam, das eigene Passwort, vor allem für den Mail-Zugang, zu erneuern. Unbedingt ein Passwort wählen, das man sonst nirgendwo benutzt, das mindestens acht Zeichen lang ist, Groß- und Kleinschreibung enthält sowieso Ziffern und Sonderzeichen. Das schützt zwar nicht vor jeder Art von Datenklau, aber erschwert zumindest die üblichen Passwort-Hacks. Ganz wichtig ist aber, beim Mail-Postfach ein anderes Passwort zu benutzen als in anderen Onlinekonten. Denn nur so ist sichergestellt, dass Datendiebe nicht das Mail-Postfach kapern können, wenn ihnen die Zugangsdaten zu einem anderen Onlinekonto in die Hände fallen.
Doch: Es gibt mittlerweile durchaus eine Möglichkeit. Manche Mail-Provider wie Google Mail aber auch kleinere deutsche Anbieter wie mail.de bieten die Möglichkeit der Zwei-Wege-Authentifizierung. Das bedeutet: Man muss bei der Anmeldung neben dem Passwort auch noch einen Code eingeben, der im eigenen Handy erzeugt wird. Gelingt es einem Hacker, an das Passwort zu gelangen, besteht trotzdem keine Möglichkeit, das E-Mail-Konto zu übernehmen. Man muss diese Form der zusätzlichen Absicherung in den Mail-Konten aktivieren. Es bedeutet einen geringfügig höheren Aufwand, aber ein enormes Plus bei der Sicherheit. Davon sollte jeder Gebrauch machen, der bei einem Mail-Provider ist, der das bereits unterstützt.
Auf nahezu jedem fünften PC weltweit ist noch Windows XP im Einsatz. Am 8. April beendet Microsoft allerdings jeden Support für Windows XP. Danach werden keine weiteren Updates mehr angeboten. Sicherheitslecks bleiben ungestopft, das Sicherheitsrisiko steigt. XP-Benutzer müssen deshalb aktiv werden, wollen sie kein zu großes Risiko eimgehen. Auch in anderen Bereichen nimmt die Abhängigkeit der Benutzer von einzelnen Anbietern zu, vor allem in der Datenwolke.
Viele Computerbenutzer wollen sich einfach nicht von Windows XP verabschieden. Sie haben gute Erfahrungen mit dem Betriebssystem gemacht und sich an die Bedienung gewöhnt. Doch das Ende des Supports ist beschlossene Sache: Ab 8. April gibt es keine Updates mehr. Microsoft weist auf seiner Homepage mit Nachdruck auf die Folgen hin: Weil keine Sicherheitslecks mehr gestopft werden, entstehen auf Dauer erhebliche Sicherheitsrisiken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ausdrücklich davor, untätig zu bleiben und Windows XP weiter zu benutzen.
Sicherheitslecks werden früher oder später ausgenutzt, vor allem bei einem so weit verbreiteten Betriebssystem wie Windows XP. Für Hacker und Cyberkriminelle ist jedes Leck ein gefundenes Fressen. Wer einen PC mit Windows XP betreibt, um alte Programme oder Spiele darauf laufen zu lassen und damit nicht online geht, muss sich keine Gedanken machen. Das Risiko ist nahezu Null. Sollte ein PC hingegen regelmäßig mit dem Internet verbunden werden, geht man ein erhebliches Risiko ein – und sollte etwas unternehmen.
Wer sich nicht sofort von Windows XP verabschieden will, sollte alle aktuellen Updates laden, vor allem das Service Pack 3 für Windows XP. Außerdem sollte der Internet Explorer durch einen anderen Browser ersetzt werden. Denn der Internet Explorer wird von Microsoft nicht weiter gepflegt – und der Browser ist das häufigste Einfallstor für Hacker, Viren und Trojaner. Google Chrome oder Firefox sind gute Alternativen. Außerdem sollte ein Virenschutz verwendet werden. Die meisten Anbieter solcher Schutzprogramme versichern, ihre Schutz-Software auch für Windows XP mindestens noch ein Jahr auf dem neuesten Stand zu halten.
Ein Virenschutz kann allerdings nicht gegen jede Form von Angriff schützen. Sicherheitslecks werden dadurch nicht gestopft. Das Risiko nimmt daher mit der Zeit empfindlich zu. Früher oder später ist deshalb ein Umstieg nötig, entweder auf eine neue Version von Windows oder auf ein alternatives Betriebssystem. Das Problem: Windows 7 oder Windows 8 läuft auf älteren PCs in der Regel nicht, weil die Anforderungen an die Hardware nicht erfüllt werden. Dann ist auch neue Hardware nötig, was zusätzliche Kosten verursacht. Das kostenlose Ubuntu (Linux) hingegen kann auch auf älteren Rechnern eingesetzt werden. Bei Bedarf lässt sich dort eine „Virtual Box“ mit Windows XP einrichten, in der XP-Programme laufen können.
Windows XP ist nicht das einzige Beispiel, das Benutzer in Schwierigkeiten bringt, wenn sie sich zu sehr darauf verlassen. Schnell entsteht eine gewisse Abhängigkeit. Vor allem der Trend, immer mehr persönliche Daten in der Datenwolke (Cloud) zu speichern, hat Folgen. Wer sich erst einmal daran gewöhnt hat, Termine, Kontakte, Adressen und Dokumente bei einem Anbieter online zu hinterlegen und mit seinen Geräten darauf zuzugreifen, wird es sich gut überlegen, ob er in eine andere Welt wechselt.
Denn das ist dann mit großem Aufwand verbunden: Die Daten müssen kopiert werden, außerdem sind oft auch andere Methoden erforderlich, um auf die gespeicherten Daten zuzugreifen. Mit einem Android-Gerät auf bei Microsoft oder Apple hinterlegte Daten zuzugreifen ist zwar möglich, aber meistens nicht so einfach – umgekehrt gilt genau dasselbe. Darum bleiben viele User nicht nur dauerhaft einer Cloud-Lösung treu, sondern oft auch dem damit verbundenen Betriebssystem und der Hardware.
Die Staatsanwalt Verden hat einen Datenklau im großen Stil entdeckt: Die Fahnder sind auf rund 18 Millionen aktive Datensätze gestoßen, bestehend aus E-Mail-Adresse und Passwort. Auch die Konten deutscher Nutzer sind darunter.
Experten gehen von etwa drei Millionen betroffener User bei verschiedenen großen Anbietern aus, darunter deutsche wie internationale. Solche Datensätze sind auf dem Markt eine Menge Geld wert. Cyberkriminelle zahlen für solche Datensätze eine Menge Geld. Über die E-Mail-Adresse lassen sich unter anderem Spam-Nachrichten versenden. Größer ist jedoch das Risiko, Opfer von Identitätsdiebstahl zu werden.
Hat jemand Zugang zum E-Mail-Postfach, kann er im Namen und auf Kosten des Opfers einkaufen. Außerdem lassen sich darüber in der Regel auch andere Konten übernehmen, etwa in die Passwörter zurückgesetzt werden. Die landen dann im – gekaperten – Mail-Postfach. Ob es einen derartigen Missbrauch bei den entdeckten Mail-Konten bereits gegeben hat, ist bislang nicht bekannt.
Ob man betroffen ist oder nicht, lässt sich derzeit noch nirgendwo überprüfen. Gut möglich, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) wie im vergleichbaren Fall Anfang Januar wieder eine Webseite zur Verfügung gestellt, auf der jeder seine Mail-Adresse überprüfen kann.
Wer Sorge hat, dass sein Mail-Zugang auf der Liste steht, sollte dringend das Passwort für das Mail-Postfach ändern. Darüber hinaus ist es ratsam, die Zwei-Wege-Authentifizierung beim Mail-Anbieter zu aktivieren und zu nutzen, sofern diese angeboten wird. Bei der Zwei-Wege-Authentifizierung wird neben dem Passwort noch ein Code erwartet, der im eigenen Handy erzeugt wird. Das Passwort allein nutzt einem Hacker oder Datendieb dann nichts.
httpv://www.youtube.com/watch?v=saTn1Pl69rg
