18 Millionen E-Mail-Konten, darunter 3 Millionen aus Deutschland – das ist die Bilanz des jüngsten Datenklaus, über den der „Spiegel“ letzte Woche berichtete. Die Staatsanwaltschaft Verden habe dem Bundesamt für Sicherheit in der Informationstechnik (BSI) 21 Millionen E-Mail-Adressen übergeben, 18 Millionen seien davon vom Indentifikationsdiebstahl betroffen.
Botnetz noch aktiv
Wie schon Ende Januar hat das BSI inzwischen einen Sicherheitstest für das Datenleck zur Verfügung gestellt. Dabei wurden die betroffenen Adressen einfach in den bereits bestehenden Test (damals waren es 16 Millionen Konten) eingepflegt und können nun von den Nutzern abgeglichen werden. Nachdem man seine Adresse eingetragen hat, prüft das BSI, ob diese bekannt ist. Ist dem so, bekommt man eine E-Mail mit Hinweisen zu den nächsten Schritten.
Kunden von Deutsche Telekom, Freenet, GMX, Kabel Deutschland, Vodafone und Web.de werden vom BSI zusammen mit den jeweiligen Providern informiert. Alle anderen, insbesondere die, die einen eigenen Server und eine eigene Domain für die E-Mail-Adressen nutzen, sollten sich schnellstmöglich dem Sicherheitstest unterziehen. Mit den E-Mail-Adressen und den zugehörigen Passwörtern versuchen Kriminelle per Botnetz, sich in E-Mail-Accounts einzuloggen und diese für den Versand von Spam-Mails zu missbrauchen.
Datenschutzkonforme Weitergabe der Daten
Das Botnetz ist laut BSI noch in Betrieb, die gestohlenen Identitäten werden also noch aktiv ausgenutzt. Es ist zudem davon auszugehen, dass es sich bei den gefundenen Adressen und Passwörtern sowohl um Zugangsdaten zu E-Mail-Konten als auch um Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt. Schließlich verwenden viele Nutzer bei ihren jeweiligen Accounts die selben Kombinationen.
Wer sich fragt, warum Deutsche Telekom, GMX und die anderen Provider nun die E-Mail-Adressen haben, kann laut BSI beruhigt sein: „Aufgrund der aktuellen Ausnutzung der Daten erfolgt die Information der Betroffenen in Deutschland in einem zweigeteilten, datenschutzkonformen Verfahren unter Beteiligung der Online-Dienstleister.“ Damit können 70 Prozent der Betroffenen informiert werden. Mehr zum Thema Datensicherheit gibt es auch in unserer Verschlüsselungsreihe.
