Warnung der IT-Sicherheitsbehörde Kriminelle stehlen 16 Millionen Zugangsdaten

Diebesgut Passwort: Das Bundesamt für Sicherheit in der Informationstechnik hat lange Listen mit gestohlenen Login-Informationen entdeckt - sie könnten von verschiedenen Diensten wie etwa E-Mail-Konten stammen. Nutzer können ihre Adressen daraufhin überprüfen lassen.

Millionen deutsche Internetnutzer sind Opfer von Datendieben geworden. 16 Millionen Zugangsdaten, die möglicherweise den Zugriff auf Nutzerkonten bei verschiedenen Online-Diensten erlauben, seien bei der Analyse krimineller Online-Netzwerke entdeckt worden, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit.

Nach Auskunft der Behörde handelt es sich bei diesen Daten um Listen, die aus einer Reihe von E-Mail-Adressen mit jeweils einem zugehörigen Passwort bestehen. Allerdings ist nicht bekannt, wofür diese Zugangsdaten gelten. Denkbar ist aber, dass mindestens ein Teil der Einträge den Zugriff auf die jeweiligen E-Mail-Konten ermöglicht, sowie möglicherweise auch auf andere Accounts, etwa in sozialen Netzwerken oder bei Online-Shops, falls dort die gleichen Anmeldedaten benutzt würden. Mehr als die Hälfte der Mailadressen endeten auf .de und gehörten daher wahrscheinlich Internetnutzern aus Deutschland, sagte ein Sprecher der Behörde.

Wer fürchtet, von dem Datenklau betroffen zu sein, kann unter sicherheitstest.bsi.de seine E-Mail-Adresse überprüfen lassen (Anm. d. Red.: Seite zurzeit überlastet). Die Behörde gleicht die Adresse mit den Millionen Datensätzen ab, die in den kriminellen Netzwerken entdeckt wurden. Bei einem Treffer bekommen die Nutzer eine Nachricht an die angegebene Mailadresse.

Das BSI empfiehlt Betroffenen, alle benutzten Computer auf Schadsoftware zu prüfen. Außerdem sollten alle Passwörter für Online-Dienste geändert werden - egal ob für E-Mails, soziale Netzwerke wie Facebook, Online-Shops wie Amazon oder andere Angebote. Hintergrund ist, dass die Betrüger mithilfe der Schadsoftware auch diese Daten ausspioniert haben könnten.

Den Angaben zufolge entdeckten Ermittler und Wissenschaftler die 16 Millionen Datensätze in sogenannten Botnetzen. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen die betroffenen Rechner beispielsweise, um massenhaft ungewollte E-Mails zu versenden. Weil noch ermittelt werde, wollte das BSI keine weiteren Angaben zur Quelle der Daten machen.

Allerdings tauchen derart unspezifische Listen aus E-Mail-Adressen und Passwörtern täglich im Netz auf - beispielsweise auf der anonymen Text-Veröffentlichungs-Plattform Pastebin. Diese Listen umfassen zwar in der Regel nur einige Hundert bis mehrere Tausend Einträge. Beobachtet man jedoch solche Quellen dauerhaft, lässt sich in relativ kurzer Zeit eine Liste mit mehreren Millionen Einträgen zusammenstellen - die dann womöglich doppelte und nicht funktionierende Einträge enthält.