Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 21. Januar 2014 vor sogenannten Identitätsdiebstählen im Internet gewarnt. Ein Identitätsdiebstahl liegt vor, wenn eine Email-Adresse samt Passwort unberechtigten Personen bekannt ist und somit von einer Person genutzt werden kann, die nicht Inhaber der Email-Adresse ist. Dies betrifft nicht nur den Emailverkehr, sondern kann sich auch auf Zugangsdaten zu Online-Shops etc beziehen.
Bei einer Analyse von Botnetzen seien 16 Millionen kompromitierte Benutzerkonten entdeckt worden, also Emailadresse nebst dazugehörigem Passwort. Eine Liste der betroffenen Email-Adressen ist dem Bundesamt zur Verfügung gestellt worden.
Hinsichtlich der Gefährdungen bei einem Identitätsdiebstahl führt das BSI aus:
Identitätsdiebstahl ist eines der größten Risiken bei der Internetnutzung. Online-Kriminelle stehlen die digitalen Identitäten von Internetnutzern, um in deren Namen aufzutreten, E-Mails zu versenden, auf fremde Kosten in einem Online-Shop einzukaufen oder sich auf andere Weise zu bereichern oder den Betroffenen zu schaden. Personenbezogene Anwendungen wie E-Mail- oder Messenger-Dienste, Online-Shops oder Soziale Netzwerke bieten personalisierte Services, für die man sich anmelden muss, um seine Daten zu erhalten oder die Dienstleistung in Anspruch nehmen zu können. Zur Authentisierung wird in den meisten Fällen immer noch die Kombination aus Benutzername und Passwort genutzt. Geraten diese Authentisierungsmerkmale in die falschen Hände, können sie für Identitätsmissbrauch verwendet werden.
Meist geschieht dies durch eine Schadsoftware-Infektion des genutzten Internet-Rechners. Die Schadprogramme werden unbemerkt auf den Rechnern der Anwender platziert, um beispielsweise Tastatureingaben und Anmeldevorgänge zu protokollieren oder Transaktionen direkt zu manipulieren. Die protokollierten Daten werden dann vom Nutzer unbemerkt an speziell vom Angreifer dafür präparierte Rechner im Internet (“Dropzones”) gesendet, von wo sie von den Tätern heruntergeladen und missbraucht werden können.
Das BSI hat eine Internetseite eingerichtet, auf welcher Nutzer ihre Emailadresse eingeben können. Befindet sich diese auf der Liste der kompromitierten Konten, dann erhält man eine Nachricht seitens des BSI und kann Gegenmaßnahmen ergreifen. Befindet sich die Adresse nicht auf der Liste, dann erfolgt keine Rückmeldung.Der BSI-Sichtheitstest findet sich auf www.sicherheitstest.bsi.de .
In diesem Zusammenhang sei auf die Bedeutung eines sicheren Passwortes hingewiesen. Ebenfalls sollte man keinesfalls ein Passwort für mehrere Nutzerkonten, also beispielsweise das selbe Passwort für den Emailzugang und einen Online-Shop verwenden, sondern jeweils getrennte Passwörter nutzen. Mehr zu sicheren Passwörtern und zu dem Umgang mit diesen findet sich hier.
Quelle: Pressemitteilung des BSI