Millionen geknackter E-Mail-Konten: Sicherheitstest des BSI schlug bereits 884.000 Mal Alarm

Die Befürchtungen haben sich als zutreffend erwiesen. Unter den 12,6 Millionen Anfragen, die besorgte Internetnutzer seit Dienstag beim Bundesamt für die Sicherheit in der Informationstechnik (BSI) gestellt haben, befanden sich 884.000 E-Mail-Adressen, die tatsächlich von Internetbetrügern gekapert worden sind, wie BSI–Präsident Michael Hange am Mittwoch in Berlin sagte.

Am Tag zuvor hatte seine Behörde mitgeteilt, dass 16 Millionen Benutzerkonten einem gigantischen Identitätsdiebstahl um Opfer gefallen sind. Die BSI-Webseite, auf der Menschen überprüfen konnten, ob ihre Konten betroffen sind, ging schon kurz darauf unter der Flut der Anfragen in die Knie. Obwohl die Homepage umprogrammiert wurde, mussten sich die Nutzer auch am Mittwochmorgen noch in Geduld üben. Der Ansturm an Anfragen habe auch für das BSI eine neue Dimension, sagte Hange.

Trojaner über gefälschte Rechnungen, Drive-by-Infektionen

Für Sicherheitsexperten wie Christoph Fischer kommt die hohe Zahl an gekaperten Mail-Konten nicht überraschend. „In letzter Zeit wurde mit einer extrem hohen Penetranz versucht, Trojanische Pferde über gefälschte Rechnungen wie zuletzt bei der Telekom oder Vodafone zu verbreiten“, sagte Fischer dem Tagesspiegel. Hinzu kämen Drive-by-Infektionen beim Besuch ganz normaler Webseiten.

Hier findet die Installation auf dem Rechner statt, ohne dass der Nutzer selbst aktiv etwas tun muss. Dass so viele der Anfragen beim BSI-Schnelltest positiv ausfielen, führt er aber auch darauf zurück, dass sich neben den besonders sicherheitsbewussten Internetnutzern auch viele Menschen mit schlechtem Gewissen gemeldet hätten, die wüssten, wie schlecht ihre Computer abgesichert sind.

BSI wusste seit Dezember von Datenklau

Das BSI wusste seit Dezember von dem gigantischem Datenklau. Das Amt konnte jedoch mit seiner Warnung erst jetzt an die Öffentlichkeit gehen, weil zuvor ein Verfahren aufgesetzt werden musste, dass sowohl datenschutzgerecht ist als auch der großen Zahl von Anfragen gewachsen ist, begründete BSI-Präsident Hange die Verzögerung. Auch die laufenden Ermittlungen gegen die Urheber der Angriffe dürften eine Rolle spielen.

Auf die Daten der 16 Millionen gekaperten Mail-Adressen, darunter rund acht Millionen mit der Endung „.de“, waren Forscher und Strafverfolger gestoßen, als sie kriminelle Botnetze analysiert hatten. Diese Netzwerke bestehen aus gekaperten Computern, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen solche Zombie-Rechner beispielsweise, um massenhaft E-Mails mit Werbung oder Schadprogrammen zu versenden.

Was Betroffene tun können

Den betroffenen Internetnutzern, denen das Amt per Mail bestätigt hat, dass ihr Konto gekapert wurde, rät das Bundesamt zu zwei Schritten. Zuerst sollten sie die Computer mit Hilfe von Antiviren-Programmen säubern. Da allerdings viele Schädlinge die Aktualisierung des vorhandenen Antiviren-Systems unterbinden, kann dies nicht direkt von Windows aus geschehen. „Entweder wird der Computer mit einer Sicherheits-CD gestartet und geprüft, wie sie zuletzt die Fachzeitschrift „c’t“ beigelegt hatte (Ausgabe 26/13) oder mit einer vergleichbaren Start-CD eines Antiviren-Programms“, erklärt Fischer.

Im zweiten Schritt werden sämtliche Passwörter geändert. Da der Zugang zu den meisten sozialen Netzwerken, zu vielen Shoppingseiten und mitunter auch zum Online-Banking über die E-Mail-Adresse läuft, müssen für alle Zugänge neue Passwörter erstellt werden. Die Webseite des BSI gibt Tipps, was dabei zu beachten ist (https://www.bsi-fuer-buerger.de/Passwoerter). „Die Passwörter vom Browser oder einem zentralen Anbieter speichern zu lassen, ist bequem, aber gefährlich“, warnt Fischer zudem. Die beste Variante sei nach wie vor, sich die Passwörter auf Papier aufzuschreiben und diese Aufzeichnungen sicher zu verwahren.

Genauso wichtig wie das Säubern des Computers und die Vergabe neuer Passwörter ist die Vorbeugung vor neuen Infektionen. Bei einem Windows-Computer sollten die automatische Update-Verwaltung und die eingebaute Firewall aktiviert sein. Häufig unterschätzt werden die Gefahren, die von Programmen wie Java, dem Flash-Player oder PDF-Dateien ausgehen. Gerade hier sollten verfügbare Updates oder Patches möglichst unverzüglich installiert werden.

Ständig neue Schädlinge

Wegen der extrem hohen Zahl ständig neuer Schädlinge empfiehlt Sicherheitsexperte Fischer den Einsatz kostenpflichtiger Anti-Virenprogramme. Diese würden schneller mit neuen Erkennungssignaturen versorgt als die For-Free-Varianten. „Um das dann noch vorhandene Restrisiko zu minimieren, sollte man sich Zeit nehmen, die Sicherheitseinstellungen des Computers regelmäßig zu pflegen.

Und man sollte den gesunden Menschenverstand eingeschaltet lassen, und nicht jede Mail unbedacht anklicken“, rät Fischer. In schlechtem Deutsch verfasste Mails, die dazu auffordern, einen Anhang zu öffnen oder dem Link zu einer Webseite zu folgen, sollten besser sofort gelöscht werden. Dies gilt bei der Nutzung eines klassischen PC genauso wie bei mobilen Endgeräten. Vor allem die Android-Plattform für Smartphones und Tablet-PCs steht inzwischen unter Dauerbeschuss durch Schadsoftware.