Haben Sie Ihre E-Mail-Adresse(n) schon auf der Seite www.sicherheitstest.bsi.de eingegeben und überprüft? Nein? Dann sollten Sie das bald nachholen – denn wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende Januar mitgeteilt hat, sind knapp 16 Millionen Benutzerkonten – bestehend aus E-Mail-Adresse und Passwort – kompromittiert worden.
Wie inzwischen bekanntgeworden ist, gehören die „gehackten“ Zugangsdaten nicht zwangsläufig zu einem E-Mail-Konto, sondern ermöglichen unter Umständen den Login auf anderen Webseiten wie eBay, Amazon oder Facebook. Jeder Betroffene sollte schnellstmöglich sein Passwort ändern, so das BSI.
„Botnets“ und „Bot-Master“ greifen Daten ab
Alle Benutzerkonten sind in den Datenbanken eines sogenannten „Botnets“ aufgetaucht – eine Gruppe miteinander vernetzter, virusähnlicher Computerprogramme, die von einem oder mehreren Administratoren (den sogenannten „Bot-Mastern“) ferngesteuert werden. So kann die geballte Rechenpower vieler hundert oder tausend infizierter Heim-PCs nutzbar gemacht werden: zum Angriff auf andere Computersysteme, zum illegalen Transfer urheberrechtlich geschützter Daten – oder eben, um Zugangsdaten von Benutzerkonten zu knacken.
Besser für jede Webseite ein anderes Passwort
Trotz aller Rechenkraft ist das sogenannte „Brechen“ von Benutzerkonten alles andere als einfach. Wenn aber – wie im vorliegenden Fall – Passwörter nicht den gängigen Regeln entsprechen (mindestens acht Zeichen, gleichzeitige Verwendung von Buchstaben und Zahlen sowie von Groß- und Kleinschreibung, Vermeidung allgemein gebräuchlicher Begriffe), dann haben Angreifer relativ leichtes Spiel. Dazu kommt, dass viele Menschen ein und dasselbe Passwort für verschiedene Internet-Logins nutzen, was die „Ausbeute“ eines geknackten Benutzerkontos weiter erhöht. Wer für jede Webseite ein anderes Passwort nutzt, hat zwar mehr Gedächtnisarbeit zu leisten, beugt einer umfassenden Kompromittierung seiner Daten aber wirkungsvoll vor.
Pikantes Detail am Rande
Medienberichten zufolge soll das BSI schon seit Monaten vom großangelegten Datenklau gewusst und die deutsche Regierung sowie zahlreiche Ämter sofort davor gewarnt haben. Warum die Warnung an „Normalbürger“ erst jetzt erfolgt ist, ist nicht bekannt.