News BSI: 16 Millionen gestohlene Identitäten entdeckt

[Soulfly999]

Das Einzige was wirklich scheisse ist, das man einfach nicht weiß, was Sache ist. Außerdem sollten die dann auch generell eine Email verschicken auch wenn die Mail nicht betroffen ist. So weiß man ja nicht mal ob das überhaupt angekommen ist.

 

[dirky8]

. Selbst Menschen um die 30 sind mit vielen dieser Dinge überfordert und verstehen sie nicht.

Aber sonst ist alles gut bei dir?Menschen um die 30..
Ich bin 34 und helfe teilweise 17-25jaehrigen genauso wie 25-80jaehrigen. Das kann echt nur von einem totalen kiddie kommen. Den Umgang mit digitalen Medien am alter festzumachen zeugt nicht grade von deiner eigenen Kompetenz. Genauso wie dein nachgeplappertes zeug. Habe ich vor 15jahren auch erzählt. Und twittern ist mitten in der Gesellschaft genauso wie fb oder whatsapp... . Komm du mal in der Realität an. Egal wie alt jemand ist oder von welchen Geschlecht... Deppen gibts überall.

 

[PhilS1984]

So nachdem ich jetzt nach 30-45 Minuten keine Mail bekomme habe, scheint alles okay zu sein.
Kann es generell sein, das mehr Mail Adressen betroffen sind, die auf unseriösen Seiten unterwegs sind? Oder die schonmal gepished worden sind?

 

[Violinho]

Glaube nicht dass es mit unseriösen Seiten zu tun hat. Hab mehrere Adressen, die alle für unterschiedliche Dinge benutzt werden. Achte schon sehr darauf welche ich für was benutze. Und die wo ich am meisten draus achte (vor allem Shopping) war betroffen.

Interessant wäre ja mal mit welchen Seiten die Daten verknüpft sind.

 

[Chriz]

auch meine "Wald- und Wiesen-Adresse", die ich für Newsletter und "unseriöse" Internetforen benütze, war betroffen.

Ich kann jedoch (nahezu) ausschließen, dass mein Rechner mal Teil eines Botnetzes war - ich denke ein Teil der Datensätze kommen von Adresshändlern.
...ein Botnetz mit 16 Mio PC hätte es vermutlich auch in die Schlagzeilen geschafft.

Edith sagt:
Hab die E-Mail 7x bekommen - heißt dann wohl dass meine newletter-mailadresse mehrmals in dieser Datenbank auftaucht :-)
Wenn ich die Login-Daten bei diesem Mailkonto betrachte, sehe ich ausser mir selbst niemand, der auf das Postfach zugegriffen hat.
...ich war allerdings auch nicht so naiv alsdass ich überall das selbe Passwort benützt habe.

 

[Creeed]

@dirkyB

Dann bist du jünger als ich, aber das tut nichts zur Sache. Kiddietum ist keine Frage des Alters. Du hast leider meine Aussage selektiv wahrgenommen. Wahrscheinlich habe ich mich falsch ausgedrückt, das tut mir Leid, entschuldige bitte. Ich mach das Verständnis gewisser Dinge nicht am Alter fest. Ich bin mir bewusst dass es in jeder Altersgruppe Menschen mit einem Verständnis für ein Thema gibt und Menschen die das gleiche Thema selbst mit massivem Einsatz nie verstehen werden. Ich bezog mich bei diesem Satz auf die IT, da gibt es nun mal in der von CoolMaster genannten Altersspanne Menschen die keine blassen Dunst von dem Thema haben und dadurch auch überfordert sind weil sie die Zusammenhänge nicht verstehen.

Ich bin jetzt seit fast 30 Jahren in diesem Metier tätig, als Programmierer, Netzwerktechniker und auch Kundendienstler. Ich sage dir jetzt auf den Kopf zu dass du einen weit verbreiteten Fehler machst. Du siehst dich und dein Umfeld als allgemeingültig an, das ist aber leider nie der Fall. Das bilden wir uns nur ein. Oder wie Jack the Ripper in Babylon 5 mal sagte "Die Flöte die denkt sie wäre das Orchester". Unser Umfeld stellt nur einen kleinen Querschnitt durch die Gesellschaft mit all ihren Facetten dar. Trotzdem denken wir immer wieder dass wir und unser Umfeld allgemeingültig sind. Ich stelle jetzt die provokante Frage was ist die Mitte der Gesellschaft in der Twitter und FB angekommen sind? Was ist sie in deinen Augen und was ist sie in Wirklichkeit? Gehören zur Mitte der Gesellschaft nicht auch Menschen die mit dem Programmieren ihres Videorecorders oder dem Stellen ihrer Digitaluhr überfordert sind? Manchmal hilft es wenn man seinen eigenen Blickwinkel ein wenig verändert. Ich habe diese Einstellung vor Jahren aufgegeben als mir selbst bewusst wurde wie weit ich in diesen Mechanismus verfallen bin. Für mich war es normal anzunehmen dass ich jemanden nach einer IP oder Funktion frage weil ich die Kenntnisse einfach als Basiswissen voraussetzte. Irgendwann wurde mir klar dass selbst für mich einfachste Vorgänge für die Mehrheit der Menschen um mich herum, ich spreche hier nicht von Freunden oder Bekannten sondern wirklich die Menschen die um mich herum stehen, sitzen oder andere Dinge tun, ein Buch mit sieben Siegeln sind. Es gibt für mich auch Dinge wo ich Probleme habe sie zu verstehen, es ist etwas völlig normales.

 

[Syrell]

Die meisten haben das hier nicht kapiert! Wenn die Datenbank vom BSI eure Emailadresse ausspuckt und ein Passwort, heisst das nicht das euer Email-account auch wirklich geknackt wurde!!!!
Es kann irgendein forum geknackt worden sein, wo ihr euch angemeldet habt ,welches als Anmeldename die Mailadresse verwendet und einem billig Passwort. Der BSI hat eure mailadresse und irgendein passwort was ihr mal in der kombi irgendwo benutzt habt. Ich hab mich in ein forum in timbuktu mit meiner mailadresse und dem passwort 123 angemeldet. Dieses Forum wurde gehackt und die haben meine Adresse und das Passwort 123 zu dem Timbuktu forum. dh, nicht das die meinen email account gehackt haben und das Passwort dafür haben.
Bei mir ist auch eine Adresse n der BSI Datenbank dabei, die ich für foren benutzte. Trotzdem wurde der Email-Account zu dem die Adresse gehört niemals geknackt. Der BSI schreibt selber, dass er nicht weisst zu welcher art account die mailadresse und das passwort passt. Das kann ein Forum / shop etc sein unter den 20 ... wo man sich mal angemeldet hat um nen thread zu lesen und nie mehr reingegangen ist.

 

[Matze89]

Passwort ändern und gut ist, oder? Dann erspart man sich auch die Überprüfung? Oder denke ich falsch?

 

[blackshuck]

Betroffene Nutzer können sich momentan lediglich darüber im Klaren sein, dass ihr Computer mit Malware verseucht ist oder in der jüngeren Vergangenheit verseucht wurde

kann man dieser aussage von heise so glauben? oder kann auf andere weise die zugangsdaten zum botnetz gekommen sein?

im prinzip hat syrell recht, nur leider ist es -wenn obige aussage stimmt- egal wie unwichtig die zugangsdaten sind,oder? anscheinend scheint ja irgendein rechner, den man nutzte infiziert zu sein. heißt es also sofort neu aufsetzen, wenn man betroffen ist? man kann sich ja nicht sicher sein, wenn das av-programm nix findet...

naja, zum glück bin ich nicht betroffen

 

[Reowulf]

@Syrell:
...genau mein Rede!

So eine Panik zu verbreiten ohne überhaupt zu wissen um welche Art von Daten es sich handelt ist völlig verantwortungslos. Wenn ich mal schnell an 10. Mio email Accs. dran will, knacke ich ein paar Server, aber fische die bestimmt nicht von jedem einzelnen PC. Diese Wichtigtuerei des BSI geht mir schon lange auf den Nerv. Die brauchen mal wieder einen Grund, damit noch ein paar zig Millionen für ihre 'wertvolle' Arbeit fließen.
Ich habe selten so einen Fall von völlig unreflektierter Panikmache gesehen, höchsten noch die Nummer mit Schweine- und Vogelgrippe.
Und um das Ganze dann abzurunden, rät ein Vollpfosten, der sich 'IT Sicherheitsexperte' nennt, um 22:00 im heute-journal dann auch noch dazu, auf jeden Fall den kompletten PC neu aufzusetzen!!!
Ich sehe schon 16 Millionen andere Vollpfosten, wie sie 3 Tage Urlaub nehmen und ihren PC neu installieren.

Warum haben eigentlich soviele gelacht, als unsere Kanzlerin von 'Neuland' gesprochen hat, langsam verstehe ich es.

 

[MD|Saw]

Ein bisschen Panikmache ist schon dabei und das BSI nutzt es natürlich auch gleich um den achso tollen E-Perso als zusätzliches Sicherheitstoken zu bewerben.
Aufklärung sieht für mich anders aus.

 

[konean]

Nachdem ich mir einige Kommentare auch auf anderen Seiten durchgelesen hab, bin ich doch überrascht wer alles betroffen ist, das reicht Teilweise über jedes OS sowie Mailadressen die für kaum etwas genutz wurden. In wie fern das nun alles korrekt ist was die Leute in den Kommentaren schreiben sei mal dahingestellt. Finde aber die Tendenz sehr erschreckend dieses Mal.

Und es ist bemerkenswert was für eine Paranoia manche Menschen besitzen, aber nun gut wer kann es ihnen verübeln bei dem was letztes Jahr passiert ist. Ich bin mal wirklich gespannt was für Informationen so in den nächsten Tagen kommen.

 

[kronen]

Hallo,
kann mir jemand sagen was genau man auf dieser Seite machen soll? Gibt man dort sämtliche Email-Adresse ein, die man hat und eine Antwort-Email-Adresse wo sie einem antworten sollen ob die Email-Adressen gehackt wurden oder was?

Woher weiß man ob das wirklich sicher ist? Was ist wenn die nur an Daten kommen wollen? Muss man dort sonst noch irgendwas eingeben? Namen oder sowas?

 

[PRAXED]

Avast Boot Prüfung sagt mein System ist sauber....naja mal abwarten ob ich eine Mail bekomme.

@kronen

Einfach Link:

https://www.sicherheitstest.bsi.de/#email

dann Email Adresse eingeben und du bekommst einen Code angezeigt, der dir im Falle dessen zugesendet wird. Ist es exakt dieser Code bist du leider auch betroffen. Bekommst du keine Mail hast du glück gehabt

 

[dMopp]

Kleine Info meinerseits: "1" Account ist bei mir auch betroffen, was bedeutet, dass es offenbar kein Trojaner sein kann, der hätte wohl alle abgefischt

Punkt 2: Falls doch, dann muss es locker 2 Jahre her sein, denn seit dem verwende ich kein Windows mehr.

Aber dank der news habe ich mal angefangen, diese eh nicht benutze Maildresse mal durch ne richtige (samt generierter Kennwörter, PW-Manager sei dank) zu ersetzen

 

[saebel]

Ja ich hab jetzt 4 stunden später auch post gekriegt, gleich 8 mal, aber das konnto nutze ich fast gar nicht mehr, da es meine älteste (ca. 10Jahre) Adresse ist und nur noch zur anmeldung von einem chatdienst genutzt wird. sonst quasi tot.
Passwort wechselt ja sowieso immer mal wieder. so wie ich früher spam bekam auf die Mail häts mich auch schier gewundert wenn nicht, wobei wenn 8 Mails für 8 mal stehen sollte, doch nicht so schön aber wer weiss wo ich die damals überall angegeben habe.

 

[Sylver]

Den Kommentar von Syrell sollte man ganz oben anpinnen!

Da wird in den Nachrichten und im Web echt wieder jede Menge Müll verzapft.

Also ich habe nur auf meine aller älteste GMX Mail Addy (~ seit 1998) Post vom BSI erhalten...

Was mich aber interessiert: Es waren gleich 5 Mails, bedeutet das man steht mit der betroffenen Adresse so oft auf der 16 Mio. Liste?

Ist im übrigen eine Adresse die ich bei verschiedenen kleineren Shops zum bestellen nutzte. Meist hatte ich auch kein eigenes Passwort dafür sondern benutze jedes mal das, welches mir mit der Passwort vergessen Funktion neu generiert wurde.

PS: Funzt der Test auch nur einmal? Habe es bei den betroffenen Mail noch mal "getestet" und es kommt keine Rückmeldung mehr!? (vielleicht auch wieder Überlastet)?

 

[Suxxess]

Wieder nix gewonnen , keine E-Mail. Ist ja fast wie beim CB Gewinnspiel.
.
.
.
.
.
.
So Hand heben: "Wer dachte gerade...was für'nen Arsch?"

Das Leben geht weiter und nur weil die Adresse bei Adresshändlern kursiert heißt das noch lange nicht, dass sie auch für andere Zwecke missbraucht wird. Virencheck durchführen, Passwörter ändern und fertig.

 

[derbmann]

Punkt 2: Falls doch, dann muss es locker 2 Jahre her sein, denn seit dem verwende ich kein Windows mehr.

Wünsche es zwar keinen aber irgendwie würde ich es doch lustig finden wenn mal ein Trojaner für MacOS und co. unterwegs ist.
Da fühlen sich ja einige unglaublich sicher sodass ja nicht einmal eine Antiviren-Software nötig ist.
Aber dank dem anhaltenden Apple Hype dürfte das eh schon der Fall sein

lg

 

[PC_Geek]

Und um das Ganze dann abzurunden, rät ein Vollpfosten, der sich 'IT Sicherheitsexperte' nennt, um 22:00 im heute-journal dann auch noch dazu, auf jeden Fall den kompletten PC neu aufzusetzen!!!

Der Typ ist kein Vollpfosten, sondern hat Ahnung in der Branche, offenbar weist du aber nicht wer das ist:
http://www.youtube.com/watch?v=KkkWac953c4

Das Problem ist eher dem Heute Journal geschuldet, die verschiedene Beiträge zusammenschnippeln und sich der Kontext somit völlig verändert.
Die Aussage des IT Sicherheitsexperten war wohl eher, wenn der eigene Rechner kompromittiert wurde, dann hilft nur eine komplette Neuinstallation und bei dieser Aussage hat er vollkommen recht.
Wenn nun das Heute Journal diesen kurzen Filmschnipsel in deren Newsmeldung einbaut und somit durch den veränderten Kontext ein falscher Eindruck entsteht, dann liegt das nicht am Sicherheitsexperten sondern am Heute Journal.

, nur leider ist es -wenn obige aussage stimmt- egal wie unwichtig die zugangsdaten sind,oder? anscheinend scheint ja irgendein rechner, den man nutzte infiziert zu sein. heißt es also sofort neu aufsetzen, wenn man betroffen ist? man kann sich ja nicht sicher sein, wenn das av-programm nix findet...

Nein, offenbar handelt es sich um mit den E-Mail Adressen verknüpfte Internetidentitäten und nicht um den E-Mail Account selbst.
Damit ist nicht dein Rechner kompromittiert, sondern der oder die Server bei der diese Internetidentitäten benutzt wurden.
Also z.B. ein Forum und damit der Server des Forums, nicht aber dein eigener Rechner, denn dann wären auch deine E-Mail Accounts kompromittiert, dies gilt insbesondere auch dann, wenn man mehrere E-Mail Adressen hat aber nur wenige von ihnen eine positive Meldung durch den BSI Test ergaben.

Besonders gefährdet sind allerdings die Leute, die für ihre Forenaccounts und ihren E-Mail Account das gleiche Passwort verwenden, so etwas soll es ja durchaus geben, diese Leute werden gar keine andere Wahl haben, als ihren Rechner neu aufzusetzen, da sie aufgrund dem gleichen PW für die E-Mail Adresse ja nicht ausschließen können, dass der Datendiebstahl durch eine Kompromittierung ihres Rechner erfolgt ist, denn das PW für die eigene E-Mail Adresse könnte ja entweder erlangt sein, weil der eigene Rechner kompromittiert wurde oder aber, weil der Server mit dem Forum kompromittiert wurde.
Wenn man da für beide Sachen das gleiche PW verwendet, dann kann man das eben nicht unterscheiden, aber solche Leute sind schlichtweg selber schuld für ihr fahrlässiges Handeln. Da kann man nur sagen, das sie aus dieser Lektion hoffentlich etwas lernen.

@Syrell

Genau so sehe ich das auch. Ich bin zu der gleichen Schlussfolgerung gekommen.
Denn bei mir gab's auch nur bei einer einzigen sehr alten E-Mail von ein paar Dutzend E-Mail Adressen ein paar Nachrichten vom BSI und wenn mein Rechner kompromittiert wäre, dann müssten auch die anderen E-Mail Accounts betroffen sein.
Dies sind sie aber offensichtlich nicht und da ich aber zu einem einzigen E-Mail Account aber gleich ein paar Dutzend Nachrichten vom BSI erhalten habe und nicht nur eine einzige, kann es auch nicht der E-Mail Account direkt sein, sondern nur mehrere Internetdienste, die mit diesem E-Mail Account von mir verknüpft wurden. Z.B. eben Forenaccounts und dergleichen.
Die Sicherheitslücke liegt somit allein bei den Betreibern dieser Internetdienste.
Ich selbst kann mich daher entspannt zurücklehnen, sinnvoll wäre es allerdings, wenn das BSI auch die Passworthashs zusammen mit dem verwendeten Hashverfahren mitverschicken würde, dann könnte ich durch Bildung der Hashs aus meinen von mir bekannten Passwörtern die Hashs vergleichen und somit herausfinden, welche Internetdienste betroffen sind.

Diejenigen, die das gleiche PW und die gleiche E-Mail bei mehreren Internetdiensten verwenden haben allerdings insofern ein Problem, dass sie nun für jeden Account bei einem Internetdienst ein individuelles PW erteilen sollten, damit sie nicht auch noch Gefahr laufen, dass ihre anderen Identitäten von Internetdiensten gestohlen werden, die selbst nicht kompromittiert waren.