BSI Sicherhsitstest: Millionen Passwörter gestohlen: So prüfen Sie, ob Sie betroffen sind

Passwörter sind die Schlüssel des Internets. Umso gefährlich, wenn sie in die falschen Hände geraten. Doch genau das ist passiert: Unbekannte Kriminelle haben mehrere Millionen Mailadressen samt zugehöriger Passwörter erbeutet. Drei Millionen davon gehören zu deutschen Mail-Postfächern.

Wie finde ich heraus, ob auch ich betroffen bin? Was muss ich tun? Wo gibt es den BSI- Sicherheitscheck? Und was machen die Behörden? Hier die wichtigsten Fragen, Antworten und Tipps zu dem groß angelegten Datendiebstahl.

Der große Datenklau: Was genau ist passiert?

Die Staatsanwaltschaft Verden (Aller) ist bei Ermittlungen im Internet auf einen Datensatz von rund 18 Millionen Mailadressen und zugehörigen Passworten gestoßen. Mindestens drei Millionen Zugänge gehören zu  deutschen Mailpostfächern. Betroffen sind den Angaben zufolge Kunden aller großen Provider.

Wo und wie wurden die Mailadressen und Passwörter gestohlen?

Das ist noch nicht bekannt. Klar ist, dass in den vergangenen Jahren immer wieder Firmen Opfer von Datendiebstählen wurden. Es ist nicht ausgeschlossen, dass die Datensätze aus diesen Fällen stammen. Die Staatsanwaltschaft Verden teilte mit, dass der Datenfund wohl zu einem Tatkomplex gehört, den die Ermittler bereits 2013 aufdeckten. Damals entdeckten die Fahnder schon einmal rund 16 Millionen gestohlener Datensätze. Die Täter dürften möglicherweise in Osteuropa sitzen.

Wie werden die gestohlenen Daten missbraucht?

Medienberichten zufolge werden die Daten dazu eingesetzt, Spam zu verschicken. Das könnten Werbemails sein, oder auch gefälschte Bankmails die das Ziel haben, an fremde Zugangsdaten zu kommen.

Wie finde ich heraus, ob auch mein Mail-Passwort gestohlen wurde?

Die Mailprovider – etwa Telekom, GMX, Web.de und andere – wollen ihre betroffenen Kunden wohl diese Woche direkt informieren. Für die Inhaber der restlichen E-Mail-Adressen, beispielsweise solche, die bei anderen Providern oder vom Anwender selbst gehostet werden, bereitet das BSI einen Warndienst vor.

Update: Passwörter gestohlen: Wo gibt es einen Sicherheits-Check zur Prüfung?

Am Montagvormittag stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Sicherheitstest online bereit. Wie beim können Internetnutzer auf der Website ihre E-Mail-Adresse eingeben. Sie wird in einem technischen Verfahren mit den Daten abgeglichen, die die Staatsanwaltschaft zur Verfügung gestellt hat. Falls das Konto betroffen ist, erhalten Internutzer per E-Mail eine entsprechende Information sowie die Empfehlungen zu den erforderlichen Schutzmaßnahmen.

Zur Authentifizierung wird eine vierstelliger Betreff-Code mitgesendet. Damit soll das Verfahren gegen kriminelle Trittbrettfahrer abgesichert werden.

Ich habe den Sicherheitstest gemacht, bekomme aber keine Mail vom BSI. Warum nicht?

Wenn die von Ihnen eingegebene E-Mail-Adresse nicht von dem Diebstahl betroffen ist, erhalten Sie vom BSI auch keine Benachrichtigung.

An welchen Anzeigen erkenne ich, dass ich Opfer von Identitätsdiebstahl geworden bin?

• wenn in Ihrem Namen unerwünsche Mails verschickt werden
• wenn Sie plötzlich Rechnungen für Bestellungen bekommen, die Sie gar nicht getätigt haben
• wenn Sie plötzlich nicht mehr auf Ihre Mails oder Ihren Facebook-Account zugreifen können, weil das Passwort geändert wurde
• wenn Sie Ihren Namen googlen und auf merkwürdige Ergebnisse stoßen, etwa Webseiten, die in Ihrem Namen gestartet wurden

Datenklau: Was kann oder soll ich jetzt tun?

Sie können – und sollten auch – sofort aktiv werden.

1. Ändern Sie umgehend das Passwort zu Ihrem Mailpostfach oder zu Ihren Mailpostfächern. Verwenden Sie dabei sichere Passwörter, also Kombinationen aus mindestens zwölf Buchstaben, Zahlen und Sonderzeichen. Nehmen Sie keinesfalls Namen oder gängige Wörter. Auch Kombinationen wie Hans12345 oder Passwort0815 sollten Sie vermeiden.

2. Verwenden Sie für jeden Dienst ein anderes Passwort. Das ist zwar mühsam, aber im Fall eines Diebstahls verhindern Sie so, dass die Täter auf alle Ihre Accounts zugreifen können.

3. Achten Sie auf Unregelmäßigkeiten in Ihren Accounts. Beschwert sich jemand, weil unter Ihrem Namen fragwürdige Nachrichten verschickt wurden? Gibt es Abbuchungen von Ihrem Konto, die Sie nicht veranlasst haben? Nehmen Sie in solchen Fällen unbedingt Kontakt mit Ihrem Diensteanbieter auf.

4. Besuchen Sie am Montag die Seite des Bundesamts für Sicherheit in der Informationstechnik oder informieren Sie sich in seriösen Medien über die aktuelle Entwicklung in diesem Fall.

Wie sollte ich mich in den nächsten Tagen verhalten?

Es ist nicht auszuschließen, dass kriminelle Trittbrettfahrer versuchen, die allgemeine Verunsicherung auszunutzen. Deshalb: Seien Sie äußerst misstrauisch, wenn Sie in Mails oder Facebook-Nachrichten dazu aufgefordert werden, irgendwo persönliche Daten herauszugeben. Klicken Sie in Mails, die scheinbar von Behörden oder Banken stammen, niemals auf Links, um dort private Daten oder gar Passwörter einzutragen. Sichern Sie sich in solchen Fällen möglichst immer zuvor per Telefonanruf beim angeblichen Absender ab.

Was sollte ich tun, wenn ich tatsächlich zum Opfer des Datendiebstahls geworden bin?

1. Ändern Sie umgehend alle Ihre Passwörter.

2. Kontrollieren Sie in den nächsten Wochen ganz genau Ihr Konto. Sagen Sie der Bank Bescheid, wenn Sie unerklärliche Bewegungen auf Ihrem Konto feststellen.

3. Achten Sie auf Unregelmäßigkeiten im Netz. Googeln Sie regelmäßig Ihren Namen. Werden Sie aktiv, sollte mit Ihrer Identität Schindluder getrieben werden. Erstatten Sie gegebenenfalls Strafanzeige bei der Polizei. bo