Name/Branche
PLZ/Ort
DasÖrtliche
DasTelefonbuch
GelbeSeiten

18 Millionen E-Mail Passwörter geklaut – Was sollten Betroffene tun?

E-Mail Passwörter geklaut

Die Staatsanwaltschaft Verden hat bekanntgegeben, dass sie auf 18 Millionen Passwörter von E-Mail-Konten und Social-Network-Accounts gestoßen ist, die Kriminelle entwendet haben. Das besonders Dramatische dabei: Es handelt sich um keine veralteten Datensätze, sondern um Passwörter, die aktuell in Gebrauch sind. Die Kriminellen nutzen sie beispielsweise dafür, um Spam-Nachrichten zu versenden oder andere sensible Daten auszuspähen. Betroffen sind alle großen E-Mail-Provider in der Bundesrepublik.

Wie viele deutsche Nutzer sind betroffen?

Hierzu wollte die Staatsanwaltschaft Verden bislang keine genauen Angaben machen. Rund ein Sechstel der Passwörter – also etwa drei Millionen – lässt sich deutschen Nutzern zuordnen. Allerdings können User auch mehrfach betroffen sein, weshalb sich bislang keine zuverlässige Aussage darüber machen muss, wie viele Menschen hierzulande tatsächlich Opfer der Diebe geworden sind.

Was können deutsche User tun?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte wie schon bei einem fast gleich gelagerten Fall im Januar die Möglichkeit anbieten, auf einer sicheren Homepage seine Accounts zu testen. Ein System gleicht ab, ob die angegebene Email-Adresse mit einer der sichergestellten übereinstimmt. Zugleich diskutieren BSI sowie die Verdener Staatsanwaltschaft auch nach wie vor über andere Wege, wie man die Nutzer informieren könne.

Für die User gilt, dass sie schon jetzt ihre Passwörter ändern sollten. Da die Accounts derzeit noch immer missbraucht werden, sei dieser Schritt „dringend zu empfehlen“, heißt es von den Behörden. Einmal mehr sei deshalb an die Grundregeln mit Passwörtern im Internet erinnert: Man sollte keinesfalls für alle Konten die gleichen Passwörter verwenden, sondern für jeden Account ein anderes wählen. Zudem sei es ratsam, diese alle sechs Monate zu tauschen.

Opfer von „Heart Bleed“?

Die Frage, die unter den Nägeln zu brennen beginnt, wenn man diese Meldung liest, lautet: Haben die Kriminellen die „Heart Bleed“-Lücke von Open SSL ausgenutzt, über die man momentan täglich auf den Nachrichtenseiten lesen kann? Hierzu wollten die Behörden bislang aus „ermittlungstaktischen Gründen“ keine Angaben machen, wie sie insgesamt sehr zurückhaltend sind, was Informationen zu dem aktuellen Fall und dem weiteren Vorgehen angeht.

So ist bisher lediglich nach außen gedrungen, dass der aktuelle Fall wohl mit dem aus dem Januar zusammenhängt. Damals überprüfte das BSI mehr als 30 Millionen Email-Adressen – und dies erfolgreich. Rund 1,6 Millionen der getesteten Konten waren tatsächlich Opfer eines Passwort-Diebstahls geworden. Die damaligen Täter sowie die Methode, wie sie eigentlich an die Passwörter gekommen waren, konnten damals allerdings nicht ermittelt werden.

Führt die Spur ins Baltikum?

Jetzt könnte es allerdings anders aussehen, wie der „Spiegel“ berichtet. Nach Recherchen des Magazins führt die Spur der Cyberverbrecher ins Baltikum. Weitere Informationen konnten die Journalisten bislang aber auch nicht beisteuern. Interessant wird jedoch zu beobachten, ob die Diebstähle, jetzt, da die „Heart Bleed“-Lücke geschlossen ist, rückläufig sind.

In den letzten Jahren entstand im Netz ein reger Schwarzmarkt, der für die Nutzer dramatische Konsequenzen hatte. Vor allem größere Datenpakete, die dazu befähigten, weitere Accounts zu hacken und Online Banking Konten leerzuräumen, ließen sich hier problemlos zu Geld machen. Teilweise konnten die Cyberkriminellen auf dem Schwarzmarkt auch die hierfür benötigten Daten aus unterschiedlichen Quellen zusammensetzen. Die Behörden standen diesem Treiben weitgehend machtlos gegenüber, zumal sich die Verdächtigungen hartnäckig halten, dass viele der Hacker im Auftrag von Staaten wie China oder den USA handeln.