BSI – Sebastian Michalke https://sebastian-michalke.de Der Blog aus Berlin Sat, 03 Nov 2018 16:00:41 +0000 de hourly 1 https://wordpress.org/?v=6.7.1 https://sebastian-michalke.de/wp-content/uploads/cropped-fernsehturm-1-32x32.jpg BSI – Sebastian Michalke https://sebastian-michalke.de 32 32 Positiver Fund beim BSI Sicherheitstest – eMailadresse im Datensatz gefunden https://sebastian-michalke.de/positiver-fund-beim-bsi-sicherheitstest-emailadresse-im-datensatz/ https://sebastian-michalke.de/positiver-fund-beim-bsi-sicherheitstest-emailadresse-im-datensatz/#comments Thu, 23 Jan 2014 07:55:08 +0000 http://sebastian-michalke.de/?p=13918 Read more

]]>
Vor 2 Tagen hat das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI alle Bürger aufgefordert ihre genutzen eMails zu prüfen. Die extra dafür eingerichtete Webseite brach am ersten Tag vollkommen zusammen. Über den Ansturm hatte wohl niemand gerechnet. 😉 800.000 Aufrufe pro Tag waren verzeichnet worden.
Am ersten Tag habe ich die ersten beiden eMails geprüft, ohne Ergebnis bzw Rückantwort per eMail. Erst am nächsten Tag war der Ansturm geringer oder die Server aufgerüstet, dass ich weitere eMails prüfen konnte. Und siehe da, plötzlich war in meinem Postfach eine Antwort vom BSI-Sicherheitstest eingegangen.

BSI-Sicherheitstest antwortet

Der Schock war Anfangs schon recht groß. Wie ich? Wirklich?! Ich, der immer großen Wert auf Sicherheit legt und bei den Online-Accounts unterschiedliche Passwörter benutzt. Mist!
Hier genaue Text der eMail vom BSI.

Betreff: Ihre Anfrage bei sicherheitstest.bsi.de mit der Kennung […]
Sehr geehrte Dame, sehr geehrter Herr,

Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse […] auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde.

Die von Ihnen angegebene E-Mail-Adresse […] wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.

Um diesen Missbrauch zukünftig zu verhindern, empfiehlt das BSI die folgenden Schritte:

1. Überprüfen Sie Ihren eigenen Rechner sowie weitere Rechner, mit denen Sie ins Internet gehen, mittels eines gängigen Virenschutzprogramms auf Befall mit Schadsoftware.

2. Ändern Sie alle Passwörter, die Sie zur Anmeldung bei Online-Diensten nutzen.

3. Lesen Sie die weiteren Informationen hierzu unter www.sicherheitstest.bsi.de.

Diese E-Mail ist vom BSI signiert. Wie Sie die Signatur überprüfen können erfahren Sie auch unter www.sicherheitstest.bsi.de.

Mit freundlichen Grüßen
Ihr BSI-Sicherheitstest-Team

Aber was bedeutet das nun konkret? Das eMailpostfach ist also nicht gehackt worden, sondern lediglich die eMailadresse in Kombination mit einem Passwort. Nur welches?

Was ist zu tun?

Als erstes habe ich trotzdem das Passwort vom eMailpostfach geändert. Damit ist der Punkt trotzdem gesichert, falls sie doch Zugang hatten. Nun geht es zu den Accounts. Bei welchem Onlinedienst habe ich mich mit dieser eMailadresse registriert? Gute Frage?!

Ein Glück nutze ich seit Jahren das Passwort-Tool KeePass. Ein kostesloses Tool, das alle Passwörter verwaltet und durch ein Masterpasswort gesichert ist.
Dort kann man nicht nur nach Diensten suchen, sondern eben auch nach Benutzernamen. YEAH! 🙂 Leider war das Ergebnis etwas ernüchternd. Über 30 Ergebnisse wurden angezeigt. Zwar waren in der Liste viele alte Dienste, aber eben auch die großen wie Amazon, Apple, Dropbox und Google!

keepass

Also hieß es nun alle Dienste durchgehen, anmelden und das Passwort ändern. In diesem Zug auch gleich die Passwortstärke auf ca. 150 Bits bzw ca. 25 Zeichen erhöht. Die besonders großen Dienste haben eine noch höhere Passwortstärke erhalten 🙂 Und einige Dienste konnte ich auch gleich löschen, da ich sie seit Jahren nicht nutze.

Als weiteren Dienst sehe ich die folgenden Webseiten, die mich nach der Änderung per eMail über diese informiert haben. Dazu zählen Apple, Pixorial, Dropbox, Amazon und Google. Bei Google gab es sogar 2 eMails. Einmal an die eigentliche eMailadresse und einmal an die Alternativadresse 🙂 Gut zu wissen, das man dort immer nochmal informiert wird, falls jemand das Passwort ändern will.

Fazit

Jetzt kann ich wieder ruhigen Gewissens im Netz surfen, da ich durch diesen Vorfall zwangsläufig mal wieder die Passwörter bei den meisten Diensten ändern musste. Viele Dienste hatten (laut dem Passwortmanager) seit über 4 oder mehr Jahren das gleiche Passwort. Man könnte bei einigen Diensten sagten, seit immer 😉

Um so mehr bin ich froh, dass Tool zu nutzen. Ohne das Tool hätte ich vermutlich nie alle Dienste aus dem Kopf wieder zusammen bekommen, um die Passwörter dort zu ändern.

Für alle die etwas Geld ausgeben wollen, es gibt natürlich auch noch andere Dienste wie 1Password, das kostet aber Geld.
[appbox appstore id568903335] [appbox googleplay com.android.keepass]

Randinfo: Das Passwort im Bild dient nur als Symbolfoto und ist natürlich so nicht in Verwendung 🙂

]]>
https://sebastian-michalke.de/positiver-fund-beim-bsi-sicherheitstest-emailadresse-im-datensatz/feed/ 5