Zum Inhalt springen Zur Navigation springen
18 Millionen Passwörter gestohlen: Sind Sie auch betroffen?

18 Millionen Passwörter gestohlen: Sind Sie auch betroffen?

Es ist nicht das erste Mal, dass tausende von Passwörtern und Benutzernamen gestohlen worden sind. Nachdem bereits im Dezember 2.000.000 Zugangsdaten und Passwörter im Internet veröffentlich wurden, folgte ein weiterer millionenfacher Identitätsdiebstahl, den das BSI im Januar publik machte – obwohl es zu diesem Vorfall ebenfalls bereits im Dezember gekommen war. Und nun sind erneut E-Mail-Zugangsdaten gestohlen worden…

18 Millionen Zugangsdaten gestohlen

Bereits letzte Woche berichtete zdnet.de, dass ein Datensatz mit 18 Millionen gestohlenen E-Mail-Adressen samt Zugangsdaten sichergestellt worden sei. Dabei handele es sich sowohl um Adressen aller großen deutschen Provider als auch um internationale Anbieter. Allerdings stellt das BSI auch klar, dass es sich nicht nur um Zugangsdaten zu E-Mail-Accounts handelt, sondern auch um solche zu Online-Shops, Internet-Foren und sozialen Netzwerken.

Da diese bereits teilweise missbraucht werden würden, versucht das BSI zusammen mit den entsprechenden E-Mail-Providern, eine datenschutzkonforme Lösung zu finden, die Betroffenen zu informieren. Schwierig wird dies insbesondere bei den E-Mail-Adressen, die bei anderen Providern oder vom Anwender selbst gehostet werden.

Eigener E-Mail-Account betroffen?

Für alle Bürger besteht ab heute die Möglichkeit zu überprüfen, ob auch ihre E-Mail-Adresse unter den gestohlenen ist. Hierfür hat das BSI eine extra Webseite eingerichtet: Unter https://www.sicherheitstest.bsi.de/ kann die jeweilige E-Mailadresse eingegeben werden, die überprüft werden soll.

Falls die Adresse betroffen ist, erhält man per E-Mail eine entsprechende Information sowie die Empfehlungen zu den erforderlichen Schutzmaßnahmen. Zur Prüfung, ob es sich tatsächlich um eine E-Mail des BSI handelt, wird ein vierstelliger Code generiert, der eine Authentisierung der E-Mail ermöglichen soll. Eine Überprüfung sollte in jedem Fall vorgenommen werden!

Risiko Identitätsdiebstahl

Werden Zugangsdaten für den E-Mail-Account gestohlen, können so nicht nur fremde E-Mails – insbesondere Spam—Mails – verschickt werden, es kann auch zu einer Nutzung der eignen Identität durch einen Dritten kommen. Durch diesen sogenannten Identitätsdiebstahl wird eine fremde Identität vorgetäuscht. Dadurch entstehen ungeahnte Möglichkeiten, nämlich etwa

  • unter fremden Namen Accounts zu eröffnen und Kunden zu prellen,
  • mit fremden Kreditkartendaten auf Einkaufstour zu gehen oder
  • Online-Banking-Accounts auszuspähen und Konten leer räumen.

Mehr über den Identitätsdiebstahl und -missbrauch im Internet finden Sie auf der Seite klicksafe.de, einer EU-Initiative für mehr Sicherheit im Netz.

Sicherheitsmaßnahmen

Die Häufigkeit der Daten-Diebstähle zeigt, wie wichtig ein gutes und sicheres Passwort ist. Eine Möglichkeit zur sicheren Passwortverwaltung ist die Software Keepass. Sie ist sehr benutzerfreundlich und auf nahezu allen stationären und mobilen Systemen einsetzbar.

Darüber gibt das BSI Tipps für den Gebrauch von Passwörtern:

  1. Komplexe Passwörter wählen
  2. Keine Namen verwenden
  3. Merksatz als Eselsbrücke
  4. Passwörter regelmäßig ändern
  5. Passwörter nicht aufschreiben
  6. Unterschiedliche Passwörter für unterschiedliche Anwendungen
  7. Voreingestellte Passwörter ändern

Und auch für die Gestaltung sicherer Passwörter hat das BSI einige Tipps auf Lager.

Empfehlung

Es empfiehlt sich in jedem Fall seine E-Mail-Adresse überprüfen zu lassen. Unabhängig von dem Ergebnis der Überprüfung sollten Sie Ihr Passwort einmal kritisch betrachten – entspricht es den Vorschlägen des BSI oder ist es vielleicht doch eher verbesserungsfähig?

Die letzten Vorfälle sollten klargemacht haben, dass es sich in jedem Fall lohnt, etwas Zeit in ein gutes und sicheres Passwort zu investieren. Denn sollte Ihre Identität erst einmal missbraucht worden sein, haben Sie ganz andere Probleme…

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Was macht Sie so sicher, dass allein ein gutes Passwort der Weisheit letzter Schluss sein könnte?

    Wenn die Anbieter/Unternehmen oftmals ein derart schlechtes Sicherheitsniveau besitzen, dann kann der Nutzer ein noch so gutes Passwort wählen – es hilft nicht. Auf Anbieterseite tuen sich leider Abgründe auf, wenn es um Datensicherheit geht.

  • @ Secure:

    Selbstverständlich haben Sie Recht und zu einer guten Zugangskontrolle gehören immer zwei: Sowohl der Anbieter als auch der Nutzer.

    Der Verantwortung des Anbieters soll durch das Konzept „Privacy by Design“ Rechnung getragen werden. Dabei sollen etwaige Datenschutzprobleme schon bei der Entwicklung neuer Technologien festgestellt, geprüft und behoben werden.
    Doch wie Sie bereits richtig fest gestellt haben, verfolgen nur die wenigsten Anbieter diesen Ansatz. Daher liegt ein Großteil der Verantwortung beim Nutzer, was wiederum zumindest zur Notwendigkeit sicherer Passwörter führt.

  • ein eigener Mailserver und eine eigene Domain sind der beste Schutz gegen so etwas.
    Für *jede“ registrierung generiert man eine individuelle Adresse (und Passwort), so dass ein Diebstahl bei Anbieter A nur dort ‚weh tut‘.
    Nebenbei sieht man noch, *welcher* Anbieter schlampig mit Daten umgeht oder diese verkauft. Denn wenn plötzlich SPAM auf einer (und nur einer) spezifischen Adresse kommt: Ja, woher hat der SPAMer die wohl?
    Ein Tool wie StickyPasswords macht den Login auf Seiten dennoch bequem.

    Einziger echter Nachteil: Ich müsste jetzt 500+ Adressen einzeln prüfen (und dem BSI vertrauen, dass sie die Adressen nicht speichert)

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.