18 Millionen e-Mail-Konten gehackt: Fragen und Antworten

04.04.2014 | Tipps

Die auf Cyberkriminalität spezialisierte Staatsanwaltschaft Verden ist auf einen Datensatz von über 18 Millionen E-Mail-Adressen samt Passwörter gestoßen, die sich Betrüger besorgt haben. Der größte bislang in Deutschland entdeckte Datenklau. Rund drei Millionen deutsche User sollen betroffen sein. Die Branche ist in Aufruf, und die User sind es auch. Denn mit geklauten E-Mail-Zugängen lässt sich eine Menge anstellen.

  • Was genau hat die Staatsanwaltschaft Verden entdeckt und „sichergestellt“, wie es in den Medien heißt?

Entdeckt wurden rund 18 Millionen Datensätze, bestehend aus E-Mail-Adresse und Passwort. Also die üblichen Zugangsdaten zu Onlinekonten aller Art, die wir jeden Tag überall verwenden. Die Staatsanwaltschaft spricht davon, die Datensätze seien „sichergestellt“ worden, so wie man ein Beweisstück sichert und aus dem Verkehr zieht. Bei digitalen Informationen geht das aber natürlich nicht, da kann man nichts sicherstellen und damit aus dem Kreislauf der Betrüger entfernen. Denn niemand weiß, ob nicht noch Kopien dieser Datensätze vorliegen.

  • Wo wurden die Datensätze denn entdeckt?

Genaue Erkenntnisse liegen darüber bislang nicht vor. Aber vermutlich auf einem Server, wo die Daten gesammelt wurden.

  • Kann man sagen, wie viele deutsche User betroffen sind?

Auch das kann man derzeit nicht genau sagen, dazu müsste man erst mal alle Adressen analysieren. Aber es wird von etwa drei Millionen deutscher User ausgegangen, die betroffen sind. Es geht dabei um E-Mail-Adresse bei großen deutschen Providern, aber genauso bei internationalen Anbietern. Ob sich hinter einer Google-Mail-Adresse ein deutscher User verbirgt oder nicht, lässt sich aber in der Regel nicht ohne weiteres sagen.

  • Was wollen die Betrüger mit den Daten, was lässt sich damit anstellen?

Solche Datensätze, bestehend aus E-Mail-Adresse und Passwort, sind in kriminellen Kreisen bares Geld wert. Wer 18 Millionen Adressen hat, der kann damit ohne weiteres ein paar Hunderttausend Euro verdienen. Die Adressen werden für alles Mögliche missbraucht.

Natürlich versuchen die Kriminellen rauszufinden, ob sie über die E-Mail-Adressen Spam versenden können. Noch ertragreicher für die Kriminellen und folgenreicher für die Opfer aber ist Identitätsdiebstahl. Dabei übernimmt der Kriminelle die digitale Identität des Opfers, schlüpft in seine Rolle. Er kann in seinem Namen und auf seine Rechnung einkaufen, aber auch andere Leute belästigen andere kriminelle Aktivitäten verschleiern. Da ist eine Menge denkbar – mitunter mit schlimmen Folgen.

  • Kann man denn rausfinden, ob man selbst betroffen ist?

Bislang lässt sich das nicht rausfinden. Anfang des Jahres hat es ja schon mal einen ähnlichen Fall gegeben, da hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Webseite eingerichtet, wo man das überprüfen konnte: Einfach die eigene E-Mail-Adresse eingeben, danach wurde man informiert, ob die eigene Mail-Adresse in der Liste steht oder nicht. Ich könnte mir vorstellen, dass das BSI etwas Ähnliches auch für diesen Fall plant. Aber so etwas braucht erfahrungsgemäß seine Zeit.

  • Wer nicht so lange warten kann oder will: Was kann man denn unternehmen?

Es ist sicher sinnvoll und ratsam, das eigene Passwort, vor allem für den Mail-Zugang, zu erneuern. Unbedingt ein Passwort wählen, das man sonst nirgendwo benutzt, das mindestens acht Zeichen lang ist, Groß- und Kleinschreibung enthält sowieso Ziffern und Sonderzeichen. Das schützt zwar nicht vor jeder Art von Datenklau, aber erschwert zumindest die üblichen Passwort-Hacks. Ganz wichtig ist aber, beim Mail-Postfach ein anderes Passwort zu benutzen als in anderen Onlinekonten. Denn nur so ist sichergestellt, dass Datendiebe nicht das Mail-Postfach kapern können, wenn ihnen die Zugangsdaten zu einem anderen Onlinekonto in die Hände fallen.

  • Gibt es denn gar keinen Weg, sich gegen solche Fälle zu schützen?

Doch: Es gibt mittlerweile durchaus eine Möglichkeit. Manche Mail-Provider wie Google Mail aber auch kleinere deutsche Anbieter wie mail.de bieten die Möglichkeit der Zwei-Wege-Authentifizierung. Das bedeutet: Man muss bei der Anmeldung neben dem Passwort auch noch einen Code eingeben, der im eigenen Handy erzeugt wird. Gelingt es einem Hacker, an das Passwort zu gelangen, besteht trotzdem keine Möglichkeit, das E-Mail-Konto zu übernehmen. Man muss diese Form der zusätzlichen Absicherung in den Mail-Konten aktivieren. Es bedeutet einen geringfügig höheren Aufwand, aber ein enormes Plus bei der Sicherheit. Davon sollte jeder Gebrauch machen, der bei einem Mail-Provider ist, der das bereits unterstützt.

18 Millionen geknackte eMail-Postfächer

03.04.2014 | Tipps

Die Staatsanwalt Verden hat einen Datenklau im großen Stil entdeckt: Die Fahnder sind auf rund 18 Millionen aktive Datensätze gestoßen, bestehend aus E-Mail-Adresse und Passwort. Auch die Konten deutscher Nutzer sind darunter.

Experten gehen von etwa drei Millionen betroffener User bei verschiedenen großen Anbietern aus, darunter deutsche wie internationale. Solche Datensätze sind auf dem Markt eine Menge Geld wert. Cyberkriminelle zahlen für solche Datensätze eine Menge Geld. Über die E-Mail-Adresse lassen sich unter anderem Spam-Nachrichten versenden. Größer ist jedoch das Risiko, Opfer von Identitätsdiebstahl zu werden.

Hat jemand Zugang zum E-Mail-Postfach, kann er im Namen und auf Kosten des Opfers einkaufen. Außerdem lassen sich darüber in der Regel auch andere Konten übernehmen, etwa in die Passwörter zurückgesetzt werden. Die landen dann im – gekaperten – Mail-Postfach. Ob es einen derartigen Missbrauch bei den entdeckten Mail-Konten bereits gegeben hat, ist bislang nicht bekannt.

Ob man betroffen ist oder nicht, lässt sich derzeit noch nirgendwo überprüfen. Gut möglich, dass das BSI (Bundesamt für Sicherheit in der Informationstechnik) wie im vergleichbaren Fall Anfang Januar wieder eine Webseite zur Verfügung gestellt, auf der jeder seine Mail-Adresse überprüfen kann.

Wer Sorge hat, dass sein Mail-Zugang auf der Liste steht, sollte dringend das Passwort für das Mail-Postfach ändern. Darüber hinaus ist es ratsam, die Zwei-Wege-Authentifizierung beim Mail-Anbieter zu aktivieren und zu nutzen, sofern diese angeboten wird. Bei der Zwei-Wege-Authentifizierung wird neben dem Passwort noch ein Code erwartet, der im eigenen Handy erzeugt wird. Das Passwort allein nutzt einem Hacker oder Datendieb dann nichts.

httpv://www.youtube.com/watch?v=saTn1Pl69rg

Identitäts-Diebstahl: Wenn eMails von Freunden verdächtig sind

11.03.2014 | Tipps

Es kommt immer wieder vor: Hacker besorgen sich den Zugang zu Mail-Servern oder entwenden ahnungslosen Usern die Zugangsdaten zum Mail-Postfach und verschicken im großen Stil in betrügerischer Absicht E-Mails an Freunde und Bekannte. Inhalt der Mail: Man möge dem Absender doch aus der Patsche helfen, zum Beispiel mit einer kurzfristigen Geldzahlung. Weil der Absender bekannt und auch die Ansprache perfekt ist, kommt man als Empfänger ins Grübeln, ob hier nicht wirklich jemand in der Patsche sitzt, den man kennt. Viele zahlen deswegen.

Wer solche Mails erhält, sollte skeptisch sein – und sich lieber vergewissern, ob sich der Betroffene wirklich in einer Notsituation befindet – bevor Geld angewiesen wird. Sollte man selbst betroffen sein und es wurden Mail mit der eigenen Absenderkennung verschickt, unbedingt unverzüglich die Zugangsdaten ändern, also vor allem das Passwort des Mail-Postfachs.

Betrüger fangen die Zugangsdaten ab, um sie zu missbrauchen. Dabei werden in der Regel vor allem die großen Mail-Dienste ausspioniert, weil hier die Ausbeute am größten ist. Man sollte auf jeden Fall ein knacksicheres Passwort verwenden. Außerdem empfiehlt es sich, die sogenannte Zwei-Wege-Authentifizierung zu verwenden, wo möglich – etwa bei Google Mail.

Bei diesem Verfahren muss man beim Login neben Benutzername und Passwort auch noch eine TAN eingeben, die im Smartphone erzeugt oder per SMS zugeschickt wird. Eine solche doppelte Absicherung ist immer dann nötig, wenn man sich an einem neuen Computer zum ersten Mal einloggt. Das erhöht die Sicherheit: Selbst wenn einem Betrüger die Zugangsdaten in die Hände fallen, kann er sie unmöglich missbrauchen, weil er keinen Zugang zum Smartphone hat. Sein Mail-Postfach auf diese Weise abzusichern, ist dringend zu empfehlen.

httpv://www.youtube.com/watch?v=saTn1Pl69rg