Provider warnen User vor gekapperten Mailaccounts

[rtf]

In den letzten Tagen kam heraus, das wiedermal 18 Mio Mailaccounts geknackt worden sind. Darunter sollen sich auch 3Mio deutsche befinden. Jetzt arbeitet das BSI mit einigen größeren Anbietern wie gmx, web, Deusche Telekom, Freenet, Kabel Deutschland und Vodafone zusammen. Laut Golem.de will das BSI die Informationen an die Provider herausgeben, um somit die User per Mail zu warnen.
Wer keinen Account bei dem angegebenen Anbiertern hat, kann hier alternativ überprüfen, ob die eigene Adresse betroffen ist. Bei dem Link handelt es sich um den gleichen Sicherheitstest, der im Januar gehostet wurde. Dabei wurde der neue Datensatz eingepflegt.



Eigene Meinung:
Ich bezweifel, ob es sinnvoll ist einen bereits gehackten Account per Mail darüber zu warnen. Witzlos find ich auch den aktuellen Sicherheitstest, den dieser senden ebenfalls nur eine Mail an die Adresse. Damals wurde eine Mail verschickt wenn der eigene Account betroffen war. Wenn dort keine Mail ankam, war man entweder auf der sicheren Seite, weil der Sicherheitstest keine Mail versendet wenn alles in Ordnung war. Es ist aber auch vorstellbar, das eben diese Mail abgefangen worden ist.

Gut finde ich, dass die Provider jetzt mit einbezogen werden.

 

[mrpendulum]

Und wieder einmal wurde keine meiner E-Mail Adressen angerührt. Web.de scheint ein wirklich gutes Sicherheitssystem anzuwenden. Oder die betroffenen surfen halt sehr gefährlich. Auf meinen eigenen Server sollen sie erstmal kommen.

 

[efdev]

bin auch verwundert, bei so einem erbärmlichen pw was ich habe und immer noch alles gut.

 

[Oberst Klink]

Web.de spackt gerade rum. Scheint wohl mit den geklauten Passwörtern zusammen zu hängen.

 

[Knaeckebrot93]

bin auch verwundert, bei so einem erbärmlichen pw was ich habe und immer noch alles gut.

Die werden die Passwörter auch kaum mit Brute Force/Wörterbuchattacken klauen die brauchen dazu ja auch erstmal deine Mail Adresse .

 

[Dr Bakterius]

Von meinen Anbietern kam bisher keine Warnung und nach mehreren Stunden kam noch keine Mail vom BSI

 

[Cuddleman]

Ich frage mich nur, wie man die E-Mail zugestellt bekommen soll, wenn jetzt gerade keiner meiner genutzten Provider, das öffnen der dazu notwendige Seite zuläßt!
Ob das nun ein Indiz ist, das man betroffen ist, oder schon ernsthaft Korrekturen zu den E-Mail-Accounts vorgenommen werden?
Wer weiß!

 

[Freakless08]

Jetzt arbeitet das BSI mit einigen größeren Anbietern wie gmx, web, Deusche Telekom, Freenet, Kabel Deutschland und Vodafone zusammen. Laut Golem.de will das BSI die Informationen an die Provider herausgeben, um somit die User per Mail zu warnen.

E-Mail Made in Germany.
Bei diesen Providern wird Sicherheit groß geschrieben

 

[Cuddleman]

Seit alle Provider wieder mitmachen und die Mail-Seiten jetzt gerade wieder zugänglich sind, gibt's zumindest für mich, Entwarnung!
Welche Provider haben den jetzt z.B. eine SSL-Verschlüsselung aktiv am Laufen?

 

[T-Drive]

1und1, GMX, das jetzt wieder läuft, haben anfang des Jahres auf SSL umgestellt.

 

[derP4computer]

Wie schaut es eigentlich mit gmail aus? Habe jetzt auch nicht unbedingt lust auf andere/n Adressen zu schwitzen/switchen.

 

[Dartwurst]

@derP4computer:Gmail: Google verschlüsselt alle E-Mails gegen die NSA - Golem.de.

 

[Dr Bakterius]

Klasse jetzt ist Freenet wieder mit Dummheit beschlagen, egal was man eingibt es gibt keine Themen dazu außer Amazonas und Piratenbucht

 

[rtf]

Habe den ersten Test "geschwänzt". Wie lange dauert es denn, bis sich das BSI eventuell bei mir meldet?

 

[hbf878]

E-Mail Made in Germany.
Bei diesen Providern wird Sicherheit groß geschrieben

Um das klarzustellen: die Logindaten wurden nicht den E-Mail-Providern entwendet. Das BSI wendet sich an die o.g. Provider, weil sie die wichtigsten deutschen E-Mail-Anbieter sind und das BSI über diese Provider einen hohen Anteil der Bestohlenen erreichen kann. Ich habe das Gefühl, dass du das nicht verstanden hast?

Das BSI stellte nach eigenen Angaben den deutschen Providern die E-Mail-Adressen zur Verfügung, die in ihren Domänenbereich fielen. "Hierbei handelt es sich um ein datenschutzgerechtes Verfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund 70 Prozent der Betroffenen in Deutschland abgedeckt werden können", teilt die Behörde mit. Nutzer, deren E-Mail-Account nicht bei den genannten Providern gehostet wird, könnten mit Hilfe des bereits im Januar vom BSI bereitgestellten webbasierten Sicherheitstests unter www.sicherheitstest.bsi.de überprüfen, ob sie von dem Identitätsdiebstahl betroffen sind.

 

[Cuddleman]

Habe den ersten Test "geschwänzt". Wie lange dauert es denn, bis sich das BSI eventuell bei mir meldet?

Nach dem Test wird dir unmittelbar eine Buchstabe-Zahlen-Kombination in der BSI-Testseite angezeigt.
Diese notierst du und wartest, bis du eine E-Mail bekommst, die genau diese Buchstaben-Zahlen-Kombination erhält, was dann heißt, du hast das Problem.
Die E-Mail wird allgemein unmittelbar an dich gesandt, oder innerhalb eines Tages.

Wenn nichts kommt, ist alles Sauber.

Natürlich entbindet ein Resultat mit "Sauber", nicht von der eigenen Pflicht, den PC mit geeigneten Mitteln, regelmäßig nach Schadsoftware zu untersuchen und ein gesundes Verhalten beim "Surfen" einzuhalten.

Ein Restrisiko bleibt aber immer, gemäß dem Grundsatz, "Jäger und Gejagte", was das ernsthafte Problem, der relativ leichten Routerübernahme durch Böswillige angeht.
Nachlässigkeit zu verfügbaren Updates kann heftige Folgen haben, doch sind immernoch erwiesenermaßen, die Routerhersteller dabei Geringschätzung zum bestehenden Problem zu betreiben, oder überlassen das Risiko einfach dem Nutzer, in dem das Problem einfach ausgesessen wird, ala Helmut Kohl's Stil.

Ich empfehle in der aktuellen c't den Artikel "Das Router-Desaster" mal dazu zu lesen, welche gerade seit dem 07.04.2014 im Handel erhältlich ist.
Sehr interessant!
Es werden auch mögliche Schutzmaßnahmen angeführt, mit Lösungsbeispielen!

 

[marvinj]

bin auch verwundert, bei so einem erbärmlichen pw was ich habe und immer noch alles gut.

Das doch gut.
Allerdings knacken die ja nicht random Konten, sondern greifen halt die Daten ab. Dabei ist die Passwortlänge und Stärke denen sehr egal. Schlimm wird erst dann, wenn das PW auch bei anderen Seiten verwendet wird, z.B. Online Banking

 

[Gadteman]

1und1, GMX, das jetzt wieder läuft, haben anfang des Jahres auf SSL umgestellt.

Sorry, aber aktuell dazu hier. Im Augenblick scheint vieles nicht mehr sicher.

 

[marvinj]

Sorry, aber aktuell dazu hier. Im Augenblick scheint vieles nicht mehr sicher.

womit sich meine Annahme, das Internet ist unsicher, nur bestätigt.
Naja, wenigstens wirds aufgedeckt, dadurch wird halt verbessert

 

[razzor1984]

@derP4computer:Gmail: Google verschlüsselt alle E-Mails gegen die NSA - Golem.de.

Zw den ganzen Datencenters wird mit RC4 verschlüsselt was m.m nach nutzlos ist. Rc4 lässt sich in echtzeit decodieren
Teste es mal, gehe auf Youtube mit deaktivierten Rc4 im Browser, keine video wird mehr geladen !!!!!!!

Edit: Für alle die sich fragen warum Rc4 eingesetzt wird, die einzig mir logische Erklärung liegt in der Latenz, Rc4 verursacht fast keine Geschwindigkeitseinbuße