Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will einen Teil der Internetnutzer informieren, die von dem großen Klau von Zugangsdaten betroffen sind, der vergangene Woche öffentlich wurde. Ermittler hatten eine Datenbank mit 18 Millionen E-Mail-Adressen und Passwörtern gefunden.
Dafür informiert das BSI die Anbieter Telekom, Freenet, GMX.de, Web.de, Kabel Deutschland und Vodafone. Sie haben vom BSI die betroffenen E-Mail-Adressen ihrer jeweiligen Kunden bekommen und können den Opfern nun Bescheid sagen. So sei der Datenschutz gewährleistet, teilte das BSI mit.
Wer seine E-Mail bei einem anderen Anbieter nutzt - etwa beim US-Konzern Google oder einem kleinen deutschen Anbieter - wird nicht informiert. Diese Nutzer können auf sicherheitstest.bsi.de prüfen, ob ihre E-Mail-Adresse betroffen ist.
Nach Darstellung des BSI und der Staatsanwaltschaft Verden benutzen Kriminelle die E-Mail-Adressen derzeit aktiv, um Spam zu verschicken. Nach Angaben des BSI lassen sich den 18 Millionen gefundenen E-Mail-Adressen drei Millionen deutsche Konten zuordnen. Rund 70 Prozent davon seien bei den oben genannten Anbietern registriert.
Wie das BSI die deutschen Nutzer identifiziert hat, teilte die Behörde zunächst nicht mit. In der Regel entscheiden Behörden dies anhand der Endung einer E-Mail-Adresse: Lautet sie .de gilt der Nutzer als deutscher Fall. Damit fallen Nutzer aus der Zählung, die etwa den Google-Dienst nutzen. Dessen Adressen enden auf gmail.com.
E-Mail-Adressen sind die Ausweise des Internets. Viele Dienste, von Facebook bis Shoppingseiten, verlangen eine E-Mail-Adresse und ein Passwort, damit sich der Nutzer einwählen kann. Viele Menschen benutzen die gleiche Kombination aus E-Mail und Passwort für viele Webseiten. Das ist gefährlich: Fällt Hackern die Datenbank mit den Zugangsdaten einer Internetseite in die Hand, können sie potentiell viele Dienste angreifen.
Wie Nutzer sich schützen können
Ist man vom Datenklau betroffen, kann es dafür verschiedene Ursachen geben. Womöglich ist der eigene Rechner mit einer Schadsoftware infiziert - etwa einem sogenannten Keylogger, der Tastatureingaben wie Kennwörter oder Kontoverbindungen speichert und heimlich an die Kriminellen weiterleitet.
Im ersten Schritt sollte der Rechner jedenfalls mit aktueller Anti-Virus-Software überprüft und gesäubert werden. Erst danach sollte man Passwörter ändern. Ansonsten besteht die Gefahr, dass auch die neuen Codes wieder gestohlen werden. In jedem Fall sollten betroffene Nutzer ihr Kennwort bei allen Online-Diensten ändern, bei denen sie unter dieser E-Mail-Adresse gemeldet sind.
Ein sicheres Passwort sollte regelmäßig erneuert werden und setzt sich im Idealfall aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen zusammen. Außerdem raten Experten davon ab, echte Wörter oder gar Bestandteile der damit verbundenen E-Mail-Adresse zu verwenden. Ein gängiger Trick, sichere und doch gut zu merkende Passwörter zu erfinden, ist es, sich einen Satz auszudenken und aus den Anfangsbuchstaben der einzelnen Wörter das Kennwort zu bilden.
Grundsätzlich sollten Nutzer bei jedem Online-Dienst ein anderes Kennwort verwenden. Geraten dann Kriminelle an diese Informationen, ist lediglich ein einzelnes Konto betroffen. Die automatischen Versuche der Hacker, sich so auf mehreren gängigen Plattformen anzumelden, würden dann ins Leere laufen.