Vor 2 Tagen hat das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI alle Bürger aufgefordert ihre genutzen eMails zu prüfen. Die extra dafür eingerichtete Webseite brach am ersten Tag vollkommen zusammen. Über den Ansturm hatte wohl niemand gerechnet. 😉 800.000 Aufrufe pro Tag waren verzeichnet worden.
Am ersten Tag habe ich die ersten beiden eMails geprüft, ohne Ergebnis bzw Rückantwort per eMail. Erst am nächsten Tag war der Ansturm geringer oder die Server aufgerüstet, dass ich weitere eMails prüfen konnte. Und siehe da, plötzlich war in meinem Postfach eine Antwort vom BSI-Sicherheitstest eingegangen.
BSI-Sicherheitstest antwortet
Der Schock war Anfangs schon recht groß. Wie ich? Wirklich?! Ich, der immer großen Wert auf Sicherheit legt und bei den Online-Accounts unterschiedliche Passwörter benutzt. Mist!
Hier genaue Text der eMail vom BSI.
Betreff: Ihre Anfrage bei sicherheitstest.bsi.de mit der Kennung […]
Sehr geehrte Dame, sehr geehrter Herr,Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse […] auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde.
Die von Ihnen angegebene E-Mail-Adresse […] wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.
Um diesen Missbrauch zukünftig zu verhindern, empfiehlt das BSI die folgenden Schritte:
1. Überprüfen Sie Ihren eigenen Rechner sowie weitere Rechner, mit denen Sie ins Internet gehen, mittels eines gängigen Virenschutzprogramms auf Befall mit Schadsoftware.
2. Ändern Sie alle Passwörter, die Sie zur Anmeldung bei Online-Diensten nutzen.
3. Lesen Sie die weiteren Informationen hierzu unter www.sicherheitstest.bsi.de.
Diese E-Mail ist vom BSI signiert. Wie Sie die Signatur überprüfen können erfahren Sie auch unter www.sicherheitstest.bsi.de.
Mit freundlichen Grüßen
Ihr BSI-Sicherheitstest-Team
Aber was bedeutet das nun konkret? Das eMailpostfach ist also nicht gehackt worden, sondern lediglich die eMailadresse in Kombination mit einem Passwort. Nur welches?
Was ist zu tun?
Als erstes habe ich trotzdem das Passwort vom eMailpostfach geändert. Damit ist der Punkt trotzdem gesichert, falls sie doch Zugang hatten. Nun geht es zu den Accounts. Bei welchem Onlinedienst habe ich mich mit dieser eMailadresse registriert? Gute Frage?!
Ein Glück nutze ich seit Jahren das Passwort-Tool KeePass. Ein kostesloses Tool, das alle Passwörter verwaltet und durch ein Masterpasswort gesichert ist.
Dort kann man nicht nur nach Diensten suchen, sondern eben auch nach Benutzernamen. YEAH! 🙂 Leider war das Ergebnis etwas ernüchternd. Über 30 Ergebnisse wurden angezeigt. Zwar waren in der Liste viele alte Dienste, aber eben auch die großen wie Amazon, Apple, Dropbox und Google!
Also hieß es nun alle Dienste durchgehen, anmelden und das Passwort ändern. In diesem Zug auch gleich die Passwortstärke auf ca. 150 Bits bzw ca. 25 Zeichen erhöht. Die besonders großen Dienste haben eine noch höhere Passwortstärke erhalten 🙂 Und einige Dienste konnte ich auch gleich löschen, da ich sie seit Jahren nicht nutze.
Als weiteren Dienst sehe ich die folgenden Webseiten, die mich nach der Änderung per eMail über diese informiert haben. Dazu zählen Apple, Pixorial, Dropbox, Amazon und Google. Bei Google gab es sogar 2 eMails. Einmal an die eigentliche eMailadresse und einmal an die Alternativadresse 🙂 Gut zu wissen, das man dort immer nochmal informiert wird, falls jemand das Passwort ändern will.
Fazit
Jetzt kann ich wieder ruhigen Gewissens im Netz surfen, da ich durch diesen Vorfall zwangsläufig mal wieder die Passwörter bei den meisten Diensten ändern musste. Viele Dienste hatten (laut dem Passwortmanager) seit über 4 oder mehr Jahren das gleiche Passwort. Man könnte bei einigen Diensten sagten, seit immer 😉
Um so mehr bin ich froh, dass Tool zu nutzen. Ohne das Tool hätte ich vermutlich nie alle Dienste aus dem Kopf wieder zusammen bekommen, um die Passwörter dort zu ändern.
Für alle die etwas Geld ausgeben wollen, es gibt natürlich auch noch andere Dienste wie 1Password, das kostet aber Geld.
[appbox appstore id568903335]
[appbox googleplay com.android.keepass]
Randinfo: Das Passwort im Bild dient nur als Symbolfoto und ist natürlich so nicht in Verwendung 🙂
Hab eine Mail überprüfen lassen, alle anderen haben das selbe Passwort, nicht kam von denen.
Ich habe auch meine Mailadressen prüfen lassen.
Bisher habe ich glücklicherweise keine Rückmeldung erhalten.
Meine E-Mail-Adresse wurde auch in der Datenbank gefunden. Ich nutze sie (mit jeweils verschiedenen Passwörtern) bei vielen Diensten. Dabei ist auch Amazon, Google, Apple, E-Bay, Facebook und Paypal.
Aber wo kommen die Daten her? und vor allem: Welches Passwort wurde gefunden? Am Passwort könnte ich vielleicht den Dienst an Hand des Passwortes ausmachen.
Ich kann mir nicht vorstellen, dass das BSI nicht weiss, aus welcher Quelle die Daten stammen. Bei 16 Millionen Adressen, kann das doch nur ein großes Internetportal sein, oder? Und wegen einem möglichen Image-Schaden wird das betroffene Unternehmen nicht genannt. Und immer wird auf die möglichen Online-Portale verweisen. Welches Programm ist nun auf meinem Rechner der Bot? Was denkt ihr?
Wunderbar, hatte das auch noch vor gehabt aber immer wieder vergessen selbiges zutun bis eben jetzt, wo ich deinen Artikel dazu gelesen habe. DANKE dafür! 😀
Habe ergo alle 5 IMAP (eigener Server) E-Mail Adressen eingegeben und somit getestet, aber bei KEINER eine Antwort bisher erhalten. Somit ist wohl alles schick, es sei denn die Rückantwort dauert ähnlich wie manchmal bei der Post die Briefe, eben Tage. 😉
Lediglich bei Einer URALTEN Web.de E-Mail-Adresse, die ich lediglich nur noch weiterleitet, bekam ich eine Rückmeldung. Nur bei dieser einen ist mir das auch ziemlich egal, da ich selbige nirgends mehr verwenden und ich im Bestand von 1Password dazu auch nichts mehr vermerkt habe. 🙄
Lohnt sich also für mich schon, das ich mindestens 1mal pro Jahr meine gesamten Passwörter ändere und eh alles unterhalb von 30 Zeichen eh nicht mache. Es sei denn, die Anwendung verträgt nicht so viele Stellen. Minimum sind 30+ Zeichen bei mir, Maximum gibt nur die Anwendung vor. *lol*
@Nils, @CONeal: Das freut mich für euch 🙂
@Tim: Eine schöne Theorie, an dem was dran sein kann. Vielleicht sogar so groß und wichtig, das ein erheblicher Imageschaden entstehen könnte. Oder aber die NSA äh BSI 😉 haben die Daten beim ausspionieren erfahren bzw das diese dort unverschlüsselt in der Datenbank lagen. Wie damals bei Sony. Und daher dieser Weg, das die Leute mal wieder das Passwort ändern bzw sich Gedanken drüber machen.
@Stefan:Gerne 🙂 Ich hatte das ja auch schon ewig mal vor und nun eben gemacht. Ich hätte auch gedacht, das die Web.de eMail gehackt wurde, welche ich oft verwendet habe (dient auch nur als Weiterleitung). Aber dem war wohl nicht so. Leider musste ich (wg der Passwortlänge) feststellen, das einige Dienste heftige Einschnitte machen. Zum Beispiel nur Zahlen und Buchstaben. Also keine Sonderzeichen. Oder aber max 20 Zeichen oder bei einem Dienst waren es sogar nur max 10 Zeichen. Das fand ich schon grenzwertig. Aber der Dienst war so klein, vergleichbar mit einem Forum für Oldtimer 😉 Daher nicht ganz so schlimm.