BSI-Sicherheitstest antwortet

Der Schock war Anfangs schon recht groß. Wie ich? Wirklich?! Ich, der immer großen Wert auf Sicherheit legt und bei den Online-Accounts unterschiedliche Passwörter benutzt. Mist!
Hier genaue Text der eMail vom BSI.

Betreff: Ihre Anfrage bei sicherheitstest.bsi.de mit der Kennung […]
Sehr geehrte Dame, sehr geehrter Herr,

Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse […] auf der Webseite www.sicherheitstest.bsi.de eingegeben und überprüft wurde.

Die von Ihnen angegebene E-Mail-Adresse […] wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.

Um diesen Missbrauch zukünftig zu verhindern, empfiehlt das BSI die folgenden Schritte:

1. Überprüfen Sie Ihren eigenen Rechner sowie weitere Rechner, mit denen Sie ins Internet gehen, mittels eines gängigen Virenschutzprogramms auf Befall mit Schadsoftware.

2. Ändern Sie alle Passwörter, die Sie zur Anmeldung bei Online-Diensten nutzen.

3. Lesen Sie die weiteren Informationen hierzu unter www.sicherheitstest.bsi.de.

Diese E-Mail ist vom BSI signiert. Wie Sie die Signatur überprüfen können erfahren Sie auch unter www.sicherheitstest.bsi.de.

Mit freundlichen Grüßen
Ihr BSI-Sicherheitstest-Team

Aber was bedeutet das nun konkret? Das eMailpostfach ist also nicht gehackt worden, sondern lediglich die eMailadresse in Kombination mit einem Passwort. Nur welches?

Was ist zu tun?

Als erstes habe ich trotzdem das Passwort vom eMailpostfach geändert. Damit ist der Punkt trotzdem gesichert, falls sie doch Zugang hatten. Nun geht es zu den Accounts. Bei welchem Onlinedienst habe ich mich mit dieser eMailadresse registriert? Gute Frage?!

Ein Glück nutze ich seit Jahren das Passwort-Tool KeePass. Ein kostesloses Tool, das alle Passwörter verwaltet und durch ein Masterpasswort gesichert ist.
Dort kann man nicht nur nach Diensten suchen, sondern eben auch nach Benutzernamen. YEAH! Leider war das Ergebnis etwas ernüchternd. Über 30 Ergebnisse wurden angezeigt. Zwar waren in der Liste viele alte Dienste, aber eben auch die großen wie Amazon, Apple, Dropbox und Google!

Also hieß es nun alle Dienste durchgehen, anmelden und das Passwort ändern. In diesem Zug auch gleich die Passwortstärke auf ca. 150 Bits bzw ca. 25 Zeichen erhöht. Die besonders großen Dienste haben eine noch höhere Passwortstärke erhalten Und einige Dienste konnte ich auch gleich löschen, da ich sie seit Jahren nicht nutze.

Als weiteren Dienst sehe ich die folgenden Webseiten, die mich nach der Änderung per eMail über diese informiert haben. Dazu zählen Apple, Pixorial, Dropbox, Amazon und Google. Bei Google gab es sogar 2 eMails. Einmal an die eigentliche eMailadresse und einmal an die Alternativadresse Gut zu wissen, das man dort immer nochmal informiert wird, falls jemand das Passwort ändern will.

Fazit

Jetzt kann ich wieder ruhigen Gewissens im Netz surfen, da ich durch diesen Vorfall zwangsläufig mal wieder die Passwörter bei den meisten Diensten ändern musste. Viele Dienste hatten (laut dem Passwortmanager) seit über 4 oder mehr Jahren das gleiche Passwort. Man könnte bei einigen Diensten sagten, seit immer

Um so mehr bin ich froh, dass Tool zu nutzen. Ohne das Tool hätte ich vermutlich nie alle Dienste aus dem Kopf wieder zusammen bekommen, um die Passwörter dort zu ändern.

Für alle die etwas Geld ausgeben wollen, es gibt natürlich auch noch andere Dienste wie 1Password, das kostet aber Geld.
[appbox appstore id568903335] [appbox googleplay com.android.keepass]

Randinfo: Das Passwort im Bild dient nur als Symbolfoto und ist natürlich so nicht in Verwendung

Lieber Freund,
Mein Name ist Elena und ich schicke Ihnen diese Nachricht von einer Provinz in Russland. Ich lebe mit meiner kleinen Tochter, ohne Ehemann, weil Sie nicht unsere Familie verlassen.
Als Ergebnis ^(o) F tiefen Krise verlor ich meinen Job und nicht fu“r die Beheizung von unseren bezahlen Wohnung mehr.

Das Wetter ist extremally kalt jetzt in unserer Region, und wir wissen nicht, was zu tun ist. Die einzige Mo“glichkeit, in unsere Wohnung heizen ist eine portable Holzofen, der mit Feuer und Holz umgehen, verwenden, weil wir Einsparungen von Holz in unseren Schuppen haben. Aber wir ko“nnen es nicht kaufen in unserem lokalen Markt, weil es veryexpensive fu“r uns ist (Equivalent von 196 EUR), und wir ko“nnen es sich nicht leisten.
Ich fand Ihre E-Mail auf der Website und beschlossen, diesen Brief von unserem schreiben lokalen Bibliothek. Wenn Sie eine alte tragbaren Holzofen und haben Sie nicht schon, ich bitte euch Geschenk an uns und transportieren sie an unsere Adresse. Ich hoffe auf Ihre Antwort und ich gebe Ihnen unsere Adresse bis zur Auslieferung.

Ich wu“nsche Ihnen ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr. P.S. Ich u“bersetzte diesen Brief mit google-U“bersetzer und ich hoffe, Sie ko“nnen in englischer Sprache zu beantworten, weil ich es studierte an der Schule.

Zuerst habe ich vermutet, man soll Geld überweisen. Davon steht aber hier nichts. Nein man fragt nach einem Holzofen, welchem man an ihre Adresse schicken soll. Nen Holzofen schicken? Richtig! Jedoch bitte an welche Adresse? Per eMail?

Oh man! Das war wirklich lustig.
Hast du auch mal außergewöhnlichen Spam bekommen?