Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will am Montag über das Vorgehen beim jüngsten Datenklau von 18 Millionen E-Mail-Adressen informieren. Mit Hochdruck werde derzeit eine datenschutzkonforme Lösung zusammen mit den Providern erarbeitet, teilte die Behörde am Freitag mit. Bis Montag sollen die notwendigen Vorbereitungen abgeschlossen sein. Bis dahin bleiben damit Millionen von Menschen im Ungewissen, ob sie Opfer des jüngsten Datendiebstahls wurden.
Rund 70 Prozent der betroffenen deutschen Adressen-Inhaber sollen direkt über die Provider informiert werden. Bei den übrigen 30 Prozent der Adressen, die bei anderen Providern oder direkt vom Anwender gehostet sind, will das BSI einen Warndienst vorbereiten. Die Behörde verwies erneut auf ihr Angebot „BSI für Bürger“, in dem grundlegende Sicherheitsregeln zusammengestellt sind. Nach Informationen des Bundesinnenministeriums hatte das BSI bereits vor rund einer Woche den entdeckten Datensatz mit 18 Millionen E-Mail-Adressen inklusive Passwörtern von der Staatsanwaltschaft Verden bekommen. Die Datensätze seien am 27. März übermittelt worden, sagte ein Sprecher am Freitag in Berlin. „Sie wurden dann technisch analysiert und bereinigt und geprüft.“
Drei Millionen Adressen betroffen
Von 21 Millionen Datensätzen seien nach der Analyse 18 Millionen geknackte Mail-Konten übrig geblieben. Bei drei Millionen davon handele es sich definitiv um deutsche Mail-Adressen. Das vom BSI entwickelte Warnverfahren soll dem von Januar ähneln, als der Zugriff Krimineller auf 16 Millionen Datenkonten ans Licht gekommen war. Damals hatte das BSI einen Sicherheits-Check im Netz eingerichtet. Nutzer konnten dort prüfen, ob sie betroffen waren. Die Website war mehrfach unter dem Ansturm der Nutzer zusammengebrochen.
Die Analyse der Daten und das Prüfverfahren seien technisch nicht unkompliziert, sagte der Innenressortsprecher. Dabei seien auch Datenschutzfragen zu beachten. Außerdem sei sicherzustellen, dass das Verfahren den zu erwartenden Belastungen standhalte. Er betonte grundsätzlich, trotz aller Bemühungen um Sicherheit sei nicht auszuschließen, „dass solche Identitätsdiebstähle auch in Zukunft eintreten werden – leider“.
Zum Versand von Spam genutzt
Wie am Donnerstag bekannt wurde, war die Staatsanwaltschaft Verden bei ihren Ermittlungen zu einem ähnlich großen Datenklau auf den Datenbestand gestoßen. Demnach handelt es sich diesmal aber um aktiv genutzte Adressen, die zum Teil schon für den Versand von Spam-Mails missbraucht worden seien. Kriminelle hätten damit nicht nur Zugang zu den privaten Mails, sondern könnten sich auch in Netzwerke einwählen und im Internet einkaufen, wenn die Nutzer dort die gleiche Passwort-Kombination verwenden.
Die Frage sei, wo die Daten herkommen könnten, sagte Jörg Fries-Lammers, Sprecher von gmx und web.de, am Freitag, Möglicherweise könnten sie auch aus zurückliegenden Diebstählen zusammengestellt sein. „Die Erfahrung zeigt, dass es sich in solchen Fällen oft um einen Mix aus älteren und aktuellen Daten handelt“, sagte Fries-Lammers.
Wie erstellt man ein sicheres Passwort?
Es gibt verschiedene Tipps, ein sicheres E-Mail-Passwort zu generieren. Das Passwort sollte nicht aus einer einfachen Zahlenkombination oder nur einem Wort bestehen. Ein Passwort wie „12345“ oder das Geburtsdatum ist viel zu unsicher. Auch ein Wort wie „Katze“ ist als Passwort ungeeignet. Datendiebe finden solche Worte leicht mit Computerprogrammen heraus.
In einem sicheren Passwort sollten große und kleine Buchstaben und Zahlen vorkommen. Außerdem sollte man es gut behalten können. Experten raten, sich einen Satz zu merken – etwa aus einem Lied oder einen Spruch. Die Anfangsbuchstaben des Liedes „Because I'm Happy“ könnte man zu folgendem Passwort kombinieren: „BecIHa“. Um das Passwort zusätzlich abzusichern, sollte man allerdings auch Zahlen und Sonderzeichen wie !, ? oder & dazumischen. Ein Passwort sollte nicht zu kurz sein, sondern nach Möglichkeit mindestens zehn Zeichen umfassen. Außerdem sollte man sich auf jeden Fall unterschiedliche Passwörter für verschiedene Internet-Konten zulegen. Text: Dpa