16 Mio. E-Mail-Passwörter gestohlen - BSI Service nutzen?

Ein drastischer Fall von Datendiebstahl soll geschehen sein: Kriminelle sollen die Zugangsdaten zu den Accounts von etwa 16 Millionen fremden E-Mail-Adressen ermittelt haben. Betroffen sollen, so heißt es in diversen Nachrichtenmeldungen, sehr viele, wenn nicht sogar hauptsächlich, deutsche E-Mail-Konten sein. Bei 16 Millionen Adressen sind das schon enorm viele Betroffene, selbst, wenn man davon ausgehen kann, dass oftmals einer Person mehrere E-Mail-Adressen gehören.

Aufgrund des großen Umfangs des Problems hat das deutsche BSI, das Bundesamt für Sicherheit in der Informationstechnik in Bonn, eine Website speziell zu diesem Fall von Datenklau eingerichtet. Dort kann man nun in ein Formular seine eigenen E-Mail-Adressen eingeben. Dem Bundesamt liegt eine Liste der vom Datendiebstahl betroffenen E-Mail-Adressen vor, mit der die eingehenden Anfragen, also die, die man über das Formular auf der Website machen kann, abgeglichen werden. Wenn man selber betroffen ist, erhält man an die betroffene E-Mail-Adresse eine E-Mail, in der mehr darüber steht. Ist man nicht betroffen, erhält man keine Nachricht. Das ist wohl derzeit der einzige Weg, um herauszufinden, ob man selber betroffen ist, oder nicht.

Dass die Liste nicht komplett, aber natürlich ohne die gestohlenen Passwörter, veröffentlicht wird, wird mit geläufigen Datenschutzrichtlinien begründet. Niemand soll erfahren dürfen, wer außer einem selbst möglicherweise alles betroffen ist. Verstehen kann ich das schon, denn einige Unternehmen könnten einen Image-Verlust befürchten, wenn herauskäme, dass sie offenbar so schlampig gegen Viren und Trojaner abgesichert sind, dass ihnen so etwas passieren kann. Daher kann man eben nur auf E-Mail-Anfrage hin vom BSI erfahren, ob man selber zum Opfer dieses Datendiebstahls geworden ist, oder nicht.

Hinweisen möchte ich nebenbei außerdem darauf, dass das BSI nicht eigenständig Warn-E-Mails an Betroffene verschickt. Es könnte gut sein, dass dieser Vorfall in Kürze von Spammern genutzt wird, die sich als BSI ausgeben und dann virenverseuchte E-Mail rundsenden. Von daher sollte man keine E-Mail vom BSI öffnen, es sei denn, man hat selbst eine Anfrage über das Formular auf der entsprechenden Website abgesendet. Nach dem Absenden des Formulars erhält man außerdem einen Code, der, sollte man eine E-Mail zurückerhalten, im Betreff dieser E-Mail vorhanden sein wird. Das ist die Authentifizierung dafür, dass es sich um eine echte Antwort auf die Anfrage beim BSI handelt, und nicht um Spam.

Man könnte die ganze Sache als freundlichen Service betrachten. Allerdings gibt es auch Kritiker, die sich nun zu Wort melden. Einige behaupten, dass es möglicherweise gar keinen derart großen Datendiebstahl gegeben hätte, sondern dass das alles nur eine Masche diverser Geheimdienste sei. Man befürchtet, dieses Formular, über das man "angeblich" abfragen könne, ob man vom Datendiebstahl betroffen ist oder nicht, diene nur dazu, die E-Mail-Adressen, die dort eingegeben werden, zu sammeln. Beim Absenden der Anfrage wird logischerweise die IP-Adresse, unter der man das macht, mit übermittelt. Wenn jemand nun mehrere Adressen hintereinander abfragt, lassen sich alle diese Adressen einer IP zuweisen. Das könnte ein guter Hinweis darauf sein, dass diese E-Mail-Adressen auch alle einer Person gehören. Denn laut Benutzungsrichtlinien des Services darf man nur eigene E-Mail-Adressen abfragen. Wobei natürlich keiner so wirklich prüfen kann, ob sich auch jeder daran hält. Die Kritiker meinen aber, das alles sei ein großer Versuch, verschiedene E-Mail-Adressen einem einzelnen Nutzer zuzuordnen. Ist unter den E-Mail-Adressen auch eine mit dem realen Namen dabei, würde man somit auch ganz real erfahren, wer all diese E-Mail-Adressen besitzt.

Was das "den Geheimdiensten" bringen soll, darüber schreiben die Kritiker nichts. Ebenso könnte man natürlich auch über einen Proxy anonym die Anfragen losschicken. Dann würde allerhöchstens bekannt, dass eine bestimmte E-Mail-Adresse noch in Gebrauch ist, und dass der Besitzer dieser sich offenbar um diesen E-Mail-Zugang sorgt. Aber das ist, so meine ich, ja eigentlich kein Geheimnis. Da geben viele Menschen weitaus sensiblere Daten von sich preis. Allein schon, wenn man sich ansieht, was Horden von Menschen für Intimitäten unter ihrem echten Namen bei Facebook und Co. verbreiten, dürfte man erkennen, dass es Probleme in Sachen Datenschutz wohl eher an anderen Stellen gibt, und dort scheint es kaum jemanden zu interessieren.

Was meint Ihr, was hinter dieser Sache steht? Ist das wirklich ein bürgerfreundlicher Service, oder nur Datensammelei? Werdet Ihr Eure E-Mail-Adresse oder E-Mail-Adressen auf der Website prüfen lassen? Habt Ihr das vielleicht schon getan? Wenn ja, was kam heraus? Konnte die E-Mail, die Ihr daraufhin vom BSI erhalten habt, Euch mit dem Datendiebstahl-Problem weiterhelfen? Oder lehnt Ihr diesen Service komplett ab? Wenn ja, warum?

Ich denke, es wäre naiv zu glauben, das die Geheimdienste noch nicht wissen, über welche IP-Adressen welche Emailadressen abgefragt werden. Das geht doch auch ohne so ein Formular! Mit Sicherheit protokollieren die Dienstanbieter von Emailpostfächern auch solche Details. Zudem meldet sich der gewöhnliche Normalbürger auch mit dem realen Klarnamen beim Provider an, wenn er ein Postfach beantragt. Sprich: Ein Geheimdienst kann da ganz einfach an solche Daten kommen.

Zudem, selbst wenn das nicht offiziell erfragt wird, geht das auch anders. Mittlerweile kann man rein rechentechnisch locker auswerten, wer mit wem mailt. Das kann man ganz einfach ausrechnen. Spielerisch kann man das zum Beispiel bei Facebook sehen. Da gibt es eine Webseite, da kann man ganz offiziell als Privatanwender eine Grafik erstellen lassen, welche der eigenen Kontakte andere meiner Kontakte kennen, obwohl ich das nicht mal wusste. Wenn man das nicht nur auf der Dimension belässt, sondern auch noch dreidimensional berechnet., welche meine Freunde welchen Prominenten kennt oder so, dann braucht man nicht mehr viel.

Was denken sich viele Leute eigentlich? Es war doch von Anfang an bekannt, dass Email vom Sicherheitslevel her etwa so geheim ist, wie eine Postkarte von früher. Zig Leute können das lesen. Ein Mitarbeiter meines Emailproviders muss einfach nur in die Datenbank gucken und kann mein Passwort sehen und meine Mails lesen. Wer sich per Email zum nächsten terroristischen Akt verabredet, der will entdeckt werden oder ist mit dem Klammerbeutel gepudert.

Ja, ich habe die Abfrage vom BSI genutzt. Ob nun vier oder fünf Geheimdienste meine Daten haben, das macht den Kohl mittlerweile auch nicht mehr fetter. Solche Meldungen halte ich für echt lustig. Wer trotz Edward Snowden noch nicht kapiert hat, dass wir längst total durchleuchtet sind, der wird es nie lernen.

Ja, wenn man sich online in seinen E-Mail-Account einloggt, dann wird garantiert die beim Log-In genutzte IP-Adresse aufgezeichnet. Wahrscheinlich gilt das auch für diverse andere Daten, die nebenbei übermittelt werden, wie beispielsweise die genauen Systemeinstellungen, die man auf dem PC, den man nutzt, hat. Ebenso wird die IP meines Wissens auch festgehalten, sobald man eine E-Mail versendet. Also an sich sind solche Daten bei den Anbietern sowieso vorhanden, und dort könnten sich Geheimdienste garantiert bedienen.

Von daher stimme ich Dir auch zu, dass dazu kein Geheimdienst unbedingt irgendein Formular online stellen müsste, damit da vielleicht irgendwer seine Daten eingibt. Ich kann diese jetzt ausbrechende Paranoia also auch nicht verstehen. Gerade, da so viele Leute mit ihren persönlichen Daten im Internet ja sonst eher nahezu übertrieben freizügig umgehen. Aber kaum werden mal nicht diverse persönlichste Nachrichten auf Facebook gepostet, sondern eine staatliche Behörde macht eine Website auf, wo man bloß eine E-Mail-Adresse eintippen kann, schon werden große Verschwörungstheorien aufgestellt, dass das eine Geheimdienst-Aktion sei. An sich ist das schon extrem bescheuert.

Wobei ich schon anmerken muss, dass es übrigens auch E-Mail-Anbieter gibt, wo man sich gar nicht registrieren muss. Und ob jemand bei der Registration bei Web.de, GMX, Freenet oder sonstwem auch wirklich seine realen Daten eingibt, oder irgendeinen Schwachsinn, wird ja auch nicht richtig geprüft. Es gibt zwar Prüfmechanismen, die manchmal sicherstellen, ob Postadresse und Postleitzahl zusammenpassen, aber beim Vor- und Nachnamen kann jemand, der das will, dennoch irgendwelche Fantasieangaben eintippen. Das prüfen die meisten Freemail-Anbieter nämlich nicht.

Allerdings ändert das natürlich auch nichts daran, dass zumindest der Internet-Provider, über den man online geht, die realen Daten hat. Also über die IP-Adresse, über die eine E-Mail abgesendet wurde, käme man definitiv zum Internetprovider und könnte über diesen herausfinden, vom Anschluss welcher Person diese IP genutzt worden ist. Und schon wüsste man zumindest, wem der Anschluss gehört, wenn natürlich auch nicht zwangsläufig, welcher Mensch da gerade am Rechner saß. Aber ich glaube, soetwas wäre dann auch eher zweitrangig. Den Haushalt zu kennen, dürfte oftmals schon ausreichen. Wohlgemerkt, all das, wenn man nicht über einen Proxy anonymisiert online geht.

Ich habe das BSI-Formular übrigens auch verwendet. An einem Tag habe ich mal meine Lieblings-Krimskrams-Adresse nachgesehen, am nächsten habe ich beschlossen, vielleicht auch mal meine berufliche Adresse zu checken. Wobei bei der sowieso mein realer Name drin vorhanden ist, da gibt es nichts Spannendes, Geheimes zu ermitteln.

Übrigens scheint von meinen Adressen keine vom Datendiebstahl betroffen zu sein. Mich würde ja wirklich interessieren, ob überhaupt mal jemand hier auftaucht, der wirklich betroffen ist oder war. Bei angeblich über 16 Millionen Datensätzen sollte das doch eigentlich gar nicht so selten vorkommen. Trotzdem ist mir bislang aus meinem Bekanntenkreis keiner bekannt, den es erwischt hat.

Ich habe bislang auch noch keine Rückmeldung bekommen, betroffen zu sein. Neulich hatte mir nämlich mein Email-Provider geraten, mein Passwort zu ändern, da komische Aktivitäten auf meinem Profil fest zu stellen waren. Sprich: Es hörte sich so an, als hätte jemand mehr oder weniger erfolgreich versucht, mein Passwort zu hacken. Trotzdem bin ich nicht dabei. Aber vielleicht bei einer der nächsten Chargen, die entdeckt werden.

Keine Ahnung, wie viele Email-Adressen jeder deutsche rein statistisch sein Eigen nennt. Aber vermutlich hat es wirklich viele getroffen. Vielleicht sind deine Freunde einfach so schlau gewesen und haben sichere Passwörter gewählt. Ich würde nämlich schon vermuten, dass das auch ein Faktor ist, dass prinzipiell solche Mailpostfächer, die solche höchst kreativen Passwörter wie 1234 oder 0000 oder "Passwort" als Passwort haben statistisch häufiger gekapert wurden. Schließlich bricht ein klassischer Einbrecher auch schneller in Häuser ohne Alarmanlage und Stacheldrahtzaun ein, weil es einfacher ist. So was machen aber eher Personen, die mit Computern nicht so viel am Hut haben.