Hacker kommen an Passwörter für 16 Millionen E-Mail-Konten. Worauf sollte beim Surfen im Internet geachtet werden? Was passiert, wenn die Identität gestohlen wurde und was sollte bei Passwörtern beachtet werden? BSI richtet Infoseite ein.

Frankfurt/Main Nach dem millionenfachen Diebstahl von Online-Zugangsdaten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bis zum Mittwochmittag bereits 12,6 Millionen Anfragen von besorgten Internet-Nutzern bearbeitet. Das sagte BSI-Präsident Michael Hange. Darunter seien 884.000 Betroffene gewesen. Die Behörde bemühe sich, mit dem Ansturm an Anfragen fertig zu werden, sagte Hange am Rande einer Konferenz zur Cybersicherheit. Die Testseite war am Dienstag zeitweise nicht erreichbar, weil viele besorgte Bürger ihre Mail-Daten überprüfen wollten.

Die oberste Behörde für die IT-Sicherheit in Deutschland hatte am Dienstag mitgeteilt, dass 16 Millionen Benutzerkonten gekapert worden seien. Die Warnung verbreitete sich sehr schnell. Die BSI-Web-Seite, auf der Menschen überprüfen konnten, ob sie betroffen sind, ging schon nach kurzer Zeit unter der Flut der Anfragen in die Knie. Hange sagte, die Seite sei inzwischen umprogrammiert worden. Der Ansturm an Anfragen habe auch für das BSI eine neue Dimension.

Hange sagte, das BSI habe bereits vor Dezember von dem Datendiebstahl erfahren. Kurz vor Weihnachten habe das Bundesamt dann die Freigabe dafür bekommen, eine Warnung herauszugeben. „Eine solche Aktion muss aber extrem gut vorbereitet sein.“ Das BSI habe beispielsweise Zeit gebraucht, um den Sicherheitscheck zu programmieren und Datenschutzfragen zu klären. Der Behördenchef versicherte: „Wir haben schon sehr schnell gemacht. Schneller geht es nicht.“

Die gestohlenen Datensätze enthielten laut BSI meist eine E-Mail-Adresse und ein Passwort. Forscher und Strafverfolger seien auf die Daten gestoßen und hätten sie an das Bundesamt übergeben. Nicht alle betroffenen Mail-Adressen würden noch benutzt, betonte Hange. Viele der gekaperten Adressen stammten nicht aus Deutschland, sondern aus anderen EU-Staaten. Es sei deshalb davon auszugehen, dass hinter dem Datenklau ein international agierendes Netz stecke. Identitätsdiebstahl sei als Kriminalitätsform bekannt. Die Dimension des aktuellen Falls sei aber spektakulär.

Die Zugangsdaten tauchten bei der Analyse von Botnetzen auf. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Allein auf das Netz der Bundesregierung gibt es laut BSI 2000 bis 3000 Angriffe pro Tag. Etwa fünf davon sind dabei auf so hohem technischen Niveau, dass ein nachrichtendienstlicher Hintergrund zu unterstellen sei.

Wer die Sicherheit seiner E-Mail-Konton und seines Computers überprüfen möchte, findet hier die wichtigsten Fragen und Antworten dazu.

Wie kann ich feststellen, ob die Zugangsdaten für mein E-Mail-Konto geklaut wurden?

Unter www.sicherheitstest.bsi.de hat das BSI eine Website eingerichtet. Hier können Nutzer ihre E-Mail-Adresse eingeben und bekommen im Fall, dass die E-Mail-Adresse unter den Gekaperten ist, vom BSI eine E-Mail zugesandt .

Was passiert, wenn meine Identität gestohlen wird?

Die E-Mail-Konten werden – wie in dem jetzigen Fall, vor dem das BSI warnt – genutzt, um mit Hilfe des Kontos andere Identitäten zu stehlen. Unangenehm ist das vor allem, weil häufig die Adressbuch-Funktion genutzt wird, um alle Bekannten anzuschreiben und beispielsweise um Geld zu bitten. Freunde, die einem dann vermeintlich Geld schicken, senden dies dem Unbekannten, der sich Zugang zum E-Mail-Konto verschafft hat. Wer Zugang zu fremden E-Mail-Konten hat, kann häufig auch über eine „Passwort vergessen?“-Funktion neue Passwörter zum Beispiel für das Konto beim Online-Shop anfragen und damit dann unerwünscht einkaufen.

Was sollte ich machen, wenn mein Computer infiziert ist?

Das BSI empfiehlt, mit einem Virenschutzprogramm nach Schadsoftware zu suchen und diese zu entfernen. Ein Virenschutzprogramm sollte zur Sicherheit sowieso auf jedem Rechner installiert werden. Zusätzlich empfiehlt das BSI nicht nur das E-Mail-Passwort, sondern alle Passwörter bei Online-Shops, Sozialen Netzwerken, anderen E-Mail-Konten und anderen Online-Diensten sicherheitshalber zu ändern, wenn der Computer infiziert war.

Was sollte ich bei Passwörtern beachten?

Sichere Passwörter enthalten möglichst Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Je länger und individueller sie sind, desto schwieriger sind sie zu knacken. Passwörter sollten regelmäßig geändert werden. Außerdem empfiehlt es sich , für unterschiedliche Dienste unterschiedliche Passwörter zu benutzen.

Wie kann ich meinen Computer sicherer machen?

Neben einem Anti-Viren-Programm sollte auf jedem Computer eine Firewall installiert sein. Entsprechende Programme gibt es kostenlos im Internet. Die Programme müssen genauso wie das Betriebssystem und der Browser, der zum Betrachten von Internetseiten verwendet wird, regelmäßig aktualisiert werden.

Worauf sollte ich noch achten, wenn ich im Internet surfe?

Vorsicht ist vor allem dort geboten, wo Nutzer persönliche Daten preisgeben oder Dateien herunterladen. Anbieter von Gewinnspielen etwa sammeln teils mehr Daten als sie benötigen, um diese weiterzuverkaufen. Bei Downloads – auch dem Herunterladen von E-Mail-Anhängen – sollten sich Nutzer immer versichern, von wo sie was laden. Ist die Herkunft unbekannt, sollten Nutzer die Finger davon lassen.

Was passiert mit meinen Daten, die im Internet gesammelt werden?

Oft werden die Informationen für Werbung verwendet, die genau auf Nutzer zugeschnitten ist. Arbeitgeber nutzen das Internet häufig auf der Suche nach Informationen über Bewerber. Die leichtsinnige Preisgabe persönlicher Daten kann auch finanzielle Folgen haben. So nutzen Kriminelle immer wieder Kreditkarten- und Bankverbindungsdaten, um illegal Geld abzubuchen.