16 Millionen Online-Konten sollen es sein, an deren Zugangsdaten Kriminelle gelangt sind. So lautete die Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am Dienstag. Wie viele tatsächlich von normalen Usern genutzte Zugangsdaten darunter sind, weiß das BSI aber nicht. Eine Stichprobe der IT-Zeitschrift iX hat nun ergeben, dass die Liste, die dem BSI vorliegt, "offenbar eine Menge Datenmüll" enthält. Das meldet heise online.
Das BSI hatte Anfang der Woche von einer Liste mit E-Mail-Adressen und zugehörigen Passwörtern berichtet, die Ermittler in einem Botnetz gefunden hatten. Inzwischen ist man offenbar auch beim BSI davon überzeugt, dass die Zahl der tatsächlich betroffenen Nutzer wesentlich kleiner ist.
Ein Sprecher der Behörde sagte, dass gewisse Adressen, die in der ursprünglichen Liste mehrfach enthalten waren, womöglich als "fiktive Adresse bei der Registrierung für einen Online-Dienst eingegeben wurde" - also beispielsweise sogenannte Wegwerf-Adressen, die von den Nutzern höchstens einmalig für die Anmeldung verwendet wurden, aber nie tatsächlich in Gebrauch waren.
Auch ungenutzte E-Mail-Adressen in der Liste
Das BSI hat eine Webseite bereitgestellt, auf der besorgte Internetnutzer ihre E-Mail-Adresse eintragen können. Wird diese Adresse in den Botnetz-Daten gefunden, so verschickt die Behörde eine automatische Warn-Mail an besagte Adresse. Diese Adresse und das in der Liste enthaltene zugehörige Kennwort stamme von einem kompromittierten Online-Konto, beispielsweise bei einem E-Mail-Dienst, einem sozialen Netzwerk oder einem Online-Shop, so heißt es darin.
Laut iX sind entsprechende Warnungen aber auch bei "diversen" von der Redaktion eingerichteten Adressen eingegangen, die lediglich dem Einsammeln von Spam dienen, aber für keinerlei Zugänge auf Social-Media-Seiten oder in Online-Shops benutzt werden.
Die Zahl von 16 Millionen "gestohlenen Identitäten", von denen das BSI berichtet, sei demnach also höchstens eine "sehr grobe Schätzung". Möglicherweise enthalte sie vielmehr auch Datensätze, die von den Tätern lediglich "massenhaft" als Anmeldeinformationen ausprobiert werden sollten.
Den Angaben des BSI zufolge sind bis Mittwoch mehr als zwölf Millionen E-Mail-Adressen zur Überprüfung eingetragen worden. Allerdings ist die Prüf-Webseite offenbar nicht gegen automatisierte massenhafte Anfragen geschützt. Unter den etwa 1,3 Millionen Warn-Mails, die das BSI inzwischen verschickt hat, sind laut iX auch Empfänger, die selbst gar keine Anfrage auf der Webseite der Behörde gestellt haben.