Deutsche Fahnder haben einen Datensatz mit rund 18 Millionen Mailadressen samt Passwörtern gefunden. Wahrscheinlich sind auch Nutzer in der Schweiz und Österreich betroffen. [...]
Ermittler der Staatsanwaltschaft Verden haben einen Datensatz mit Mailzugangsdaten sichergestellt. Wie Spiegel Online berichtet, sind in dem Datensatz rund 18 Millionen Mailadressen mitsamt Passwörtern gespeichert. Betroffen sind alle großen deutschen Anbieter und einige internationale Dienste. Daher sind wahrscheinlich auch Österreicher und Schweizer betroffen. Laut den Fahndern werden viele der Konten aktuell missbraucht. Aus „ermittlungstaktischen Gründen“ wollte die Behörde keine genaueren Daten herausgeben.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet nach eigenen Angaben „mit Hochdruck“ an einer Lösung, wie die betroffenen Nutzer informiert werden können. Es soll „Anfang nächster Woche“ eine entsprechende Mitteilung veröffentlicht werden.
Bereits im Januar konnten die gleichen Fahnder Datensätze mit rund 16 Millionen Adressen sicherstellen. Damals war ein großer Teil der Nutzerdaten bereits älter und nicht mehr brauchbar. Die aktuell entwendeten Daten sollen jedoch neuer sein.
Der Markt für gestohlene Zugangsdaten läuft nach wie vor gut. Die gekaperten Mailkonten werden hauptsächlich zum Versenden von Spammails verwendet. Zudem kann über eine Mailbox oftmals der Zugang zu sozialen Netzwerken zurückgesetzt werden. So können Cyberkriminelle beispielsweise Spam über diese Netze verteilen. Im schlimmsten Fall können Hacker Zugang auf das E-Banking des Opfers ergaunern und das Konto leer räumen.
Angesichts dieses Falles raten Securityanbieter wie zum Beispiel der Antivirenhersteller ESET dazu, nicht nur bessere Passwörter zu nutzen – was hierbei nichts genutzt hätte – sondern auch 2-Faktor-Authentifizierung zu nutzen, wie sie von vielen Web-Services bereits angeboten wird. Das Prinzip ähnelt dem m-Tan-Verfahren, das vielen Anwendern aus dem Online-Banking geläufig ist. Nach der gewohnten Eingabe von Benutzername und Passwort wird der Nutzer nach einem weiteren, einmalig generierten Schlüssel oder Code gefragt. Diesen sendet der Online-Dienst an eine bereitgestellte App auf dem Smartphone oder per SMS-Nachricht. Erst nach dessen Eingabe erhält der Nutzer den Zugang zu seinem Internetkonto.
ESET Senior Research Fellow David Harley sagt: „Die traurige Tatsache ist, dass statische Passwörter als vordergründig billige, aber konzeptionell unbefriedigende Lösung für ein sehr schwieriges Problem eingesetzt werden. Das gilt umso mehr, wenn sie nicht durch ergänzende Techniken geschützt werden. One-Time-Passwörter und Token sind viel sicherer – vor allem, wenn sie in der Hardware als Zwei-Faktor-Authentifizierung umgesetzt werden.“ (idg/rnf)
* Luca Diggelmann ist Redakteur der Schweizer PCtipp.
Be the first to comment