IT-Sicherheitsbehörde BSI:16 Millionen Schlüssel, unbekanntes Schloss

Illustration Cyberkriminalität

16 Millionen Anmeldeinformationen sind laut BSI in einem Botnetz aufgetaucht.

(Foto: dpa)

Vorsicht, Datendiebe: Hacker haben laut BSI 16 Millionen Mail-Adressen samt Passwörtern gestohlen. Unklar ist, wozu die Anmelde-Informationen gehören und woher die Kriminellen die Daten haben. Das BSI wusste einem Bericht zufolge aber offenbar schon seit Dezember von dem Klau.

Von Matthias Huber

123456. Einfach zu merken. Das haben sich im Jahr 2013 offenbar besonders viele Internetnutzer gedacht und deshalb diese Zahlenkombination zum geheimen Kennwort für ihren E-Mail-Zugang oder ihr Facebook-Konto gemacht. Ein amerikanisches Unternehmen, das Programme zur Passwortverwaltung entwickelt, veröffentlichte jetzt eine Liste mit häufig verwendeten - und besonders ungeeigneten - Kennwörtern. "123456" führt die Rangliste in diesem Jahr an, gefolgt vom Vorjahressieger "password". Was sie so besonders ungeeignet macht? Für Kriminelle und Hacker sind solche Passwörter ebenso einfach zu knacken, wie sie für den Nutzer zu merken sind.

Wie oft solche Passwörter auf der Liste stehen, die jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten hat, ist nicht bekannt. Auch nicht dem BSI selbst. "Uns liegen nur E-Mail-Adressen vor", sagte ein Sprecher der Behörde, "die zugehörigen Passwörter wurden uns nicht übermittelt." Einem Bericht der Mitteldeutschen Zeitung zufolge weiß das BSI allerdings schon seit Dezember von dem Datenklau bei deutschen E-Mail-Konten - unter Verweis auf laufende Ermittlungen wollte sich die Behörde damals aber nicht äußern.

16 Millionen solcher Begriffspaare aus E-Mail-Adresse und Passwort wurden von Ermittlern in einem sogenannten Botnetz gefunden. Ein Botnetz ist ein Netzwerk privater Computer, die ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen die betroffenen Rechner beispielsweise, um massenhaft ungewollte E-Mails zu versenden. Mehr als die Hälfte der Mailadressen endeten auf ".de" und gehörten daher wahrscheinlich Internetnutzern aus Deutschland, teilte das BSI mit.

Es ist aber nicht bekannt, wofür diese Zugangsdaten gelten. Wahrscheinlich ist, dass ein Teil der Einträge den Zugriff auf die jeweiligen E-Mail-Konten ermöglicht sowie möglicherweise auch auf andere Accounts, etwa in sozialen Netzwerken oder bei Online-Shops, falls dort die gleichen Anmeldedaten benutzt werden. Womöglich sollte die geballte Rechenleistung des Botnetzes dazu genutzt werden, um genau das herauszufinden: Die infizierten Computer würden dann besonders gängige Online-Dienste - beispielsweise Google, Facebook oder Amazon - automatisch aufrufen und die in der Liste enthaltenen E-Mail-Passwort-Kombinationen nacheinander für die Anmeldung ausprobieren.

Eine derart umfangreiche Liste speist sich wohl aus verschiedenen Quellen

Die 16 Millionen Datensätze sind jedoch kaum mit 16 Millionen betroffenen Internetnutzern gleichzusetzen. Einzelne E-Mail-Adressen könnten mehrmals mit unterschiedlichen Passwörtern auftauchen, also verschiedene Konten eines Nutzers beschreiben. Außerdem wisse man nicht, wie alt die Datensätze sind, sagte der BSI-Sprecher. "Gut möglich, dass manche Adressen seit Monaten oder Jahren nicht mehr genutzt werden oder bereits gelöscht sind, und dass die zugehörigen Passwörter längst nicht mehr funktionieren."

Ebenfalls unbekannt ist, wie die Botnetz-Betreiber überhaupt an die Datensätze gelangt sind. Weil noch ermittelt werde, wollte das BSI keine weiteren Angaben zur Quelle der Daten machen. Denkbar ist, dass ein Teil der betroffenen Nutzer auf Phishing-Mails hereingefallen ist oder Schadsoftware auf ihre Rechner eingeschleust wurde. "Der PC des Anwenders ist immer eine potenzielle Quelle für solche Datenlecks", heißt es von Seiten der Behörde. Das BSI empfiehlt daher allen Betroffenen, den eigenen Computer auf Schadsoftware zu überprüfen.

Allerdings liegt nahe, dass eine derart umfangreiche Liste mit Zugangsdaten sich aus verschiedenen Quellen speist. So könnte ein Teil der Passwörter von einer Datenbank eines kleineren Online-Dienstes - etwa eines Internet-Diskussionsforums - stammen, die nicht ausreichend gegen Hacker-Angriffe geschützt war. Solche kleinen Listen aus E-Mail-Adressen und zugehörigen Passwörtern tauchen täglich im Netz auf - unverschlüsselt und für jeden auf anonymen Text-Veröffentlichungs-Plattformen wie Pastebin auffindbar. Diese Listen umfassen in der Regel nur einige Hundert bis mehrere Tausend Einträge. Beobachtet man jedoch solche Quellen dauerhaft, lässt sich in relativ kurzer Zeit eine Liste mit mehreren Millionen Einträgen zusammenstellen.

Wie Nutzer sich schützen können

Wer jetzt herausfinden will, ob er von dem großen Datenklau betroffen ist, kann die Webseite sicherheitstest.bsi.de aufsuchen, die das Bundesamt für Sicherheit in der Informationstechnik eingerichtet hat. Dort kann man die E-Mail-Adresse eingeben - die Behörde versichert, dass diese Daten nur verschlüsselt übertragen und nicht gespeichert werden. Das BSI gleicht die Adresse mit den gefundenen Datensätzen ab. Allerdings war die Webseite durch die vielen Anfragen besorgter Nutzer am Dienstag mehrere Stunden lang kaum erreichbar.

Kommt keine Post, sind Nutzer nicht betroffen. Bei einem Treffer erhält man eine E-Mail vom BSI. Das bedeutet, dass der Rechner womöglich mit einer Schadsoftware infiziert ist - etwa einem sogenannten Keylogger, der Tastatureingaben wie Kennwörter oder Kontoverbindungen speichert und heimlich an die Kriminellen weiterleitet. Die Nachricht des BSI enthalte Tipps, was zu tun sei, um das unerwünschte Programm loszuwerden, teilte die Behörde mit.

Im ersten Schritt sollte der Rechner jedenfalls von allen Schädlingen gesäubert werden. Erst danach sollte man Passwörter ändern. Ansonsten besteht die Gefahr, dass auch die neuen Codes wieder gestohlen werden. In jedem Fall sollten betroffene Nutzer ihr Kennwort bei allen Online-Diensten ändern, bei denen sie unter dieser E-Mail-Adresse gemeldet sind.

Ein sicheres Passwort sollte regelmäßig erneuert werden und setzt sich im Idealfall aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen zusammen. Außerdem raten Experten davon ab, echte Wörter oder gar Bestandteile der damit verbundenen E-Mail-Adresse zu verwenden. Ein gängiger Trick, sichere und doch gut zu merkende Passwörter zu erfinden, ist es, sich einen Satz auszudenken und aus den Anfangsbuchstaben der einzelnen Wörter das Kennwort zu bilden.

Grundsätzlich sollten Nutzer bei jedem Online-Dienst ein anderes Kennwort verwenden. Geraten dann Kriminelle an diese Informationen, ist lediglich ein einzelnes Konto betroffen. Die automatischen Versuche der Hacker, sich so auf mehreren gängigen Plattformen anzumelden, würden dann ins Leere laufen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: