87.000 Kunden der Telekom und 80.000 Vodafone-Nutzer betroffen. Opfer werden von Anbietern informiert

Bonn/Berlin. Die E-Mail-Konten von gut drei Millionen deutschen Internetnutzern könnten von Online-Kriminellen für Spamversand und Internetbetrug missbraucht worden sein. Das gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag bekannt. BSI-Experten hatten einen Datensatz von insgesamt mehr als 21Millionen Mailadressen und Passwörtern untersucht, auf den die Staatsanwaltschaft Verden (Niedersachsen) Ende März bei Ermittlungen gestoßen war. Nun will das BSI mit den großen deutschen E-Mail-Providern zusammenarbeiten, um die betroffenen deutschen Nutzer über den potentiellen Missbrauch ihrer Online-Identität zu informieren.

Die Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de haben die Daten ihrer betroffenen Kunden bereits erhalten. Bei der Telekom sind 87.000 Kunden betroffen, Vodafone meldet 80.000. Durch die Zusammenarbeit mit den Providern will das BSI vermeiden, dass Nutzer – wie bei einem vergleichbar großen Fall Ende Januar dieses Jahres – durch Verzögerungen und technische Probleme verunsichert werden.

Der Haken an der aktuellen Methode: Da die Betrüger ebenfalls gefälschte Warnmails verschicken können, bringt das Verfahren des BSI neue Sicherheitsprobleme mit sich. Zum einen sind die Mailkonten der betroffenen Kunden potentiell von Hackern kompromittiert – diese könnten eintreffende Mails zur Information der Nutzer einfach automatisch löschen, und so ihre Opfer ein wenig länger ahnungslos halten. Zum andern könnten Trittbrettfahrer nun Warnmails fälschen, und etwa arglose, gar nicht betroffene E-Mail-Nutzer dazu bringen, ihre Mailkontodaten preiszugeben. Wer also nun Mails erhält, in denen vor Mailkontomissbrauch gewarnt wird, der sollte genau hinsehen, und keinesfalls auf Forderungen eingehen wie „Geben Sie Ihre Adresse und Ihr Passwort ein, um zu erfahren, ob Sie zu den Opfern gehören“. Die Nutzer von US-Mailprovidern bleiben bei dem Warnverfahren zudem außen vor, da die US-Provider die strengen Vorgaben der deutschen Datenschützer bei dem Verfahren zunächst nicht erfüllen wollten.

Wer auf Nummer sicher gehen will, kann deswegen wie auch beim letzten vergleichbar großen Fall im Januar seine Mailadresse auf einer speziellen Webseite des BSI überprüfen: Auf https://www.sicherheitstest.bsi.de/ können Nutzer ihre Mailadressen eingeben. Anschließend erhalten sie einen vierstelligen Sicherheitscode und später eine E-Mail mit dem Ergebnis – allerdings nur, wenn ihre Adresse auf der Liste der gestohlenen Daten steht. Ansonsten kommt keine Post. Öffnen sollten Empfänger die E-Mail nur, wenn der Sicherheitscode in der Betreffzeile mit ihrem übereinstimmt, warnt das BSI. Ansonsten handelt es sich möglicherweise um einen Betrugsversuch.

Beim letzten Fall von massenhaftem Datendiebstahl Anfang des Jahres, für den es ebenfalls eine BSI-Testseite gab, hatten Kriminelle die Aufmerksamkeit genutzt, um Spam- und Phishing-Mails zu verbreiten. Doch auch hier gilt das gleiche Problem: Ist ein Mailkonto kompromittiert, können die Täter theoretisch alle warnenden Mails von BSI oder Provider automatisch löschen, bevor der Nutzer sie lesen kann. Web.de und GMX nutzen daher ein eigenes Verfahren, und sperren die Konten betroffener Kunden gleich ganz. Dann müssen diese das Passwort ändern – entweder über die Eingabe eines per SMS versandten Einmalcodes, oder über eine Verifizierung via Hotline.

Fraglich ist bislang, woher die gestohlenen Datensätze stammen – die Sicherheitsforscher des BSI gehen davon aus, dass die Datensätze aus vielen verschiedenen Diebstählen zusammengetragen wurden; eine einheitliche Quelle der Daten ist bislang nicht bekannt. Auch ob die gefundenen Mailadressen-Passwort-Kombinationen jeweils tatsächlich den Zugang zum Mailkonto gewähren, ist ungeklärt – das BSI hat die Passwörter nicht überprüft.

Die Kombination aus Mail-Adresse und Passwort wird häufig auch zum Anmelden bei anderen Dienste benutzt, etwa für Online-Netzwerke oder Shopping-Seiten. BSI-Sicherheitsforscher Dirk Häger, Leiter des Fachbereichs Operative Netzabwehr, erklärte: „Die Mail-Adressen wurden für den Versand von Spammails per Botnetz verwendet.“ Botnetze sind Armeen von per Schadsoftware gekaperten Privatcomputern. Sie werden von Cyberkriminellen ferngesteuert, um etwa unentdeckt massenhaft Spam-Werbemails zu verschicken. Theoretisch könnten die gestohlenen Daten auch für Online-Shopping-Betrug genutzt werden.

Das BSI rät Betroffenen, ihre Rechner per Virenscanner auf Schadsoftware zu überprüfen. Auch sollten sie sofort die Passwörter ihrer Mailkonten ändern. Ohnehin gilt: Passwörter für Mailkonten sollten einerseits öfters geändert werden, andererseits nicht auch gleichzeitig für Online-Shopping oder soziale Netzwerke verwendet werden. So wird bei einem Datendiebstahl bei einem Online-Shop nicht auch gleichzeitig das Mailkonto kompromittiert.

Wer ein Konto bei einem amerikanischen Provider – wie zum Beispiel Google oder Microsoft – hat, kann zudem eine Zwei-Faktor-Authentifizierung aktivieren: Ist sie aktiv, kommt nur noch ins Mailkonto, wer neben dem Passwort auch einen Sicherheitscode kennt, der bei jedem Login neu per SMS geschickt wird.