Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gestern den Bericht des Nachrichten-Portals Spiegel Online bestätigt, wonach die Staatsanwaltschaft Verden 18 Millionen gestohlene E-Mail-Adressen samt Passwörtern entdeckt habe. Diese habe die Adressen im Rahmen eines Ermittlungsverfahren gefunden und dem BSI zur Verfügung gestellt.

"Es handelt sich um ein Sammelsurium von E-Mail-Adressen, die nicht zwangsläufig alle von Mail-Konten stammen müssen", erklärt Matthias Gärtner vom BSI. In vielen sozialen Netzwerken oder Online-Shops kommen E-Mail-Adressen als Kontoname zum Einsatz. Unter den 18 Millionen Adressen befinden sich nach Einschätzungen des BSI rund drei Millionen deutsche Nutzerdaten. Eine genaue Zahl sei schwierig zu ermitteln. Gerade bei internationalen Mail-Anbietern wie etwa Google sehe man es einer Adresse oft nicht an, woher der Nutzer stamme. Von den drei Millionen deutschen Adressen entfallen rund 70 Prozent auf die großen Anbieter Telekom, GMX, Freenet, web.de, Vodafone und Kabel Deutschland. Ferner seien auch kleinere Provider sowie einige Adressen von Unternehmen betroffen.

"Die Datensätze werden aktuell von Kriminellen genutzt", erläutert Gärtner die Bedrohungslage. Diese loggen sich mithilfe der gekaperten Adressen und Passwörter in das E-Mail-Konto des Opfers ein und versenden vor dort unbemerkt Werbemails (Spam). Wie viele der Adressen aktuell auf diese Weise genutzt werden, sei aber nicht zu ermitteln, so Gärtner.

Kunden der oben genannten sechs E-Mail-Provider werden nach Angaben des BSI seit gestern Morgen direkt vom jeweiligen Unternehmen informiert, wenn ihre E-Mail-Adresse auf der Liste der gestohlenen Zugangsdaten steht. Alle anderen können auf der Internetseite sicherheitstest.bsi.de manuell überprüfen, ob sie betroffen sind. Besucher müssen hier nur ihre E-Mail-Adresse eingeben. Anschließend erhalten sie einen vierstelligen Sicherheitscode und später eine E-Mail mit dem Ergebnis - allerdings nur, wenn ihre Adresse auf der Liste der gestohlenen Daten steht. Ansonsten kommt keine Post.

Öffnen sollten Empfänger die E-Mail aber nur, wenn der Sicherheitscode in der Betreffzeile mit dem, den sie auf der BSI-Webseite bekommen haben, übereinstimmt, warnt das BSI. Stimmt der Code aus vier Buchstaben oder Zahlen nicht oder fehlt er gänzlich, handelt es sich möglicherweise um einen Betrugsversuch. "Wir gehen davon aus, dass es Trittbrettfahrer gibt", so Gärtner. Beim letzten Fall von massenhaftem Datendiebstahl Anfang des Jahres, für den es ebenfalls eine BSI-Testseite gab, hatten Kriminelle die Aufmerksamkeit genutzt, um gefälschte Warnmails zu verbreiten. Wer beim Test seiner Adresse ganz auf Nummer sicher gehen will, dass die Antwortmail vom BSI stammt, könne, so Gärtner, die Signatur der E-Mail überprüfen. Wie das funktioniert, erläutert das BSI auf der oben genannten Seite unter "Häufige Fragen".

Betroffenen bietet das Bundesamt dort zudem Hilfe an. Da davon auszugehen sei, dass die Datendiebe mit Spähprogrammen an die Adressen gelangten, sei der erste Schritt, den eigenen PC dahingehend zu überprüfen. "Zunächst eine Analyse machen und dann Maßnahmen ergreifen", fasst Gärtner die Verhaltensregel für Betroffene zusammen. Um die Spähprogramme zu entdecken, empfiehlt das BSI Virenschutzprogramme. Zusätzlich steht auf sicherheitstest.bsi.de der "PC-Cleaner" zum Download bereit, der die Dateien auf dem eigenen PC nach Schädlingen absucht und diese entfernt. Dennoch könne man laut Gärtner nicht garantieren, dass damit tatsächlich alle Übeltäter entdeckt werden.

Unabhängig davon sollten Betroffene daher unbedingt alle ihre Passwörter ändern, sowohl das E-Mail-Passwort als auch die Passwörter von Onlinediensten. Direkt auf der Seite des Sicherheitstests hat das BSI außerdem zwölf Regeln für den sicheren Umgang mit dem Internet veröffentlicht.

sicherheitstest.bsi.de