Mindestens drei Millionen Menschen in Deutschland von allen Providern könnten von dem großen Datenklau betroffen sein. Hier können Sie testen, ob Ihr E-Mail-Account betroffen ist.

Bonn. Ab sofort können Computernutzer selbst überprüfen, ob unter den 18 Millionen gestohlenen E-Mail-Adressen mit Passwörtern auch ihre eigenen Daten sind. Eine entsprechende Webseite hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter www.sicherheitstest.bsi.de ins Netz gestellt. Besucher müssen hier nur ihre E-Mail-Adresse eingeben. Anschließend erhalten sie einen vierstelligen Sicherheitscode und später eine E-Mail mit dem Ergebnis - allerdings nur, wenn ihre Adresse auf der Liste der gestohlenen Daten steht. Ansonsten kommt keine Post.

Öffnen sollten Empfänger die E-Mail aber nur, wenn der Sicherheitscode in der Betreffzeile mit ihrem übereinstimmt, warnt das BSI. Ansonsten handelt es sich möglicherweise um einen Betrugsversuch. Beim letzten Fall von massenhaftem Datendiebstahl Anfang des Jahres, für den es ebenfalls eine BSI-Testseite gab, hatten Kriminelle die Aufmerksamkeit genutzt, um Spam- und Phishing-Mails zu verbreiten. Kunden der E-Mail-Provider T-Online, Freenet, GMX, Web.de, Kabel Duetschland, Google und Vodafone müssen den Sicherheitstest nicht unbedingt selbst nutzen: Sie werden nach Angaben des BSI direkt informiert, wenn ihre E-Mail-Adresse auf der Liste der gestohlenen Zugangsdaten steht.

+++ Hier können Sie den Test machen +++

Betroffene sollten zunächst alle genutzten Computer auf mögliche Schadsoftware überprüfen. Das BSI empfiehlt dafür den PC-Cleaner von Avira, den Nutzer direkt über die Webseite des Amts herunterladen können. Einen vollwertigen Virenscanner ersetzt die Software allerdings nicht, dieser muss daher zusätzlich installiert sein. Im nächsten Schritt ändern Betroffene am besten die Passwörter für sämtliche Onlinedienste, nicht nur die der betroffenen Konten. Denn eventuell haben die Kriminellen das gestohlene Passwort genutzt, um über Trojaner oder auf anderen Wegen weitere Zugangsdaten zu stehlen.

Schwachstelle in Verschlüsselungs-Software SSL

Darüber hinaus ermöglicht es eine Schwachstelle in der weit verbreiteten Verschlüsselungs-Software OpenSSL Angreifern, eigentlich geschützte Informationen auszulesen und Kommunikation abzugreifen. Der Fehler wurde am späten Montagabend öffentlich gemacht und von seinen Entdeckern „Heartbleed“ genannt. Die Schwachstelle „erlaubt es Angreifern, Kommunikation zu belauschen, Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als Dienste oder Nutzer auszugeben“, schrieben die Entdecker.

Besonders schwerwiegend: Die Schwachstelle erlaubt es Angreifern, die privaten Schlüssel auszulesen, mit denen Informationen geschützt werden. „Das sind die Kronjuwelen“, warnen die Sicherheitsexperten von Google und Codenomicon, die den Bug entdeckten. Wer sie habe, könne eigentlich verschlüsselte Informationen entziffern.

OpenSSL sei einer der am meisten genutzten SSL-Bausteine oder „Bibliotheken“, sagte Falk Garbsch vom Chaos Computer Club der dpa. OpenSSL stellte bereits in der Nacht zu Dienstag eine neue Version zur Verfügung, die die Schwachstelle schließt. „Wer einen Webserver oder einen E-Mail-Server betreibt, sollte zeitnah diese Update durchführen“, sagte Garbsch.