Millionen E-Mail-Konten geknackt
Berlin (dpa) - Mehrere Millionen Zugangsdaten für Online-Dienste sind nach Angaben des Bundesamt für Sicherheit in der Informationstechnik (BSI) gekapert worden. Betroffen seien 16 Millionen Benutzerkonten, teilte die Behörde am Dienstag mit.
Sie richtete eine Webseite ein, auf der Menschen überprüfen konnten, ob sie betroffen sind. Der Ansturm an Anfragen zwang allerdings die Server in die Knie, die Seite war zeitweise nicht mehr erreichbar.
Die Datensätze enthielten meist eine E-Mail-Adresse und ein Passwort, erklärte das BSI. Forscher und Strafverfolger seien auf die Daten gestoßen und hätten sie an das BSI übergeben.
Auf der Webseite können Nutzer ihre E-Mail-Adresse eingeben, die dann mit den Daten abgeglichen wird. Auch die Bundesregierung wies auf die Testseite hin. Regierungssprecher Steffen Seibert verschickte den Link über sein Twitter-Profil. Das sorgte zusammen mit ersten Medienberichten über den Vorfall zu einem riesigen Ansturm an Anfragen: Schon nach kurzer Zeit war die Seite teilweise nicht mehr erreichbar.
Der test beim BSI läuft so ab: Gibt es bei der Überprüfung der E-Mail-Adresse einen Treffer, bekommen die Internetnutzer eine Nachricht geschickt. „Wenn das passiert, ist Ihr Rechner wahrscheinlich mit einer Schadsoftware infiziert“, sagte Tim Griese vom BSI der dpa. Die Nachricht des BSI enthalte Tipps, was in diesem Fall zu tun sei. Mehr als die Hälfte der Mailadressen endeten auf .de und gehörten daher wahrscheinlich Internetnutzern aus Deutschland, sagte Griese. Wer keine Mail vom BSI bekommt, ist demnach nicht von dem Datenklau betroffen.
Die Zugangsdaten tauchten bei der Analyse von Botnetzen auf. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen solche Zombie-Rechner beispielsweise, um massenhaft E-Mails mit Werbung oder Schadprogrammen zu versenden. „Hinter Botnetzen steckt verdammt viel kriminelle Energie und eindeutig ein böser Wille“, schreibt das BSI auf seiner Webseite. Weil noch ermittelt werde, wollte die Behörde keine weiteren Angaben zur Quelle der Daten machen. Das Bundeskriminalamt bestätigte lediglich, dass es polizeiliche Ermittlungen gegeben habe. Diese dauerten an.
Die Datensätze können nicht nur auf gekaperte E-Mail-Konten hindeuten. Dieselbe Kombination aus Mail-Adresse und Passwort verwenden viele Internet-Anwender fahrlässig auch zum Anmelden bei anderen Dienste, etwa für Online-Netzwerke wie Facebook oder bei Shopping-Seiten. Viele Menschen setzten dasselbe Passwort für mehrere Online-Dienste ein. Wer einen Dienst knackt, kann sich in diesen Fällen dann Zugang zu weiteren Profilen verschaffen. Betroffene sollten ihren Computer digital säubern und Zugangsdaten für ihre Online-Profile ändern, empfiehlt das BSI.