Ist Ihr E-Mail-Konto sicher?



  • BSI-Schnelltest nach millionenfachem Identitätsdiebstahl
    Ist Ihr E-Mail-Konto sicher?

    Im Rahmen einer Botnetz-Analyse wurden 16 Millionen Login-Datensätze entdeckt, die sich aus E-Mail-Adresse und Passwort zusammensetzen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat deshalb eine Webseite eingerichtet, über die Anwender prüfen können, ob sie von dem Identitätsdiebstahl betroffen sind.

    zum Artikel



  • Danke für die schnelle Info! Ihr seid ja fast so schnell wie der Spiegel! 😉

    Dass man sich den Betreff-Key merken / aufschreiben muss ist nervig, vor allem wenn man mehrere Mailadressen testen will. Störend ist auch, dass man wie ihr richtig schreibt, keine Info bekommt, dass die Abfrage erfolgreich war und die Adresse nicht betroffen ist.

    Richtig bescheuert ist aber, dass ich als Webmaster nicht eine gesamte Domain überprüfen lassen kann. Soll ich jetzt alle 120 Mailadressen meiner Anwender per Hand eingeben?



  • Gerne. Wäre sogar noch schneller gegangen, wenn ich nicht gerade einen wichtigen Artikel zur SAP-Sicherheit redigieren würde 😉

    Das mit der Domain-Prüfung ist freilich auch ein berechtigter Einwand… allerdings ist das BSI natürlich in erster Linie auf Bürger/Innen ausgerichtet, die ihre Adressen selber prüfen sollen. Vielleicht arbeitet das Bundesamt ja nach.

    Danke für den Kommentar

    Stephan Augsten
    Redakteur Security-Insider



  • Die Kritik ist ja mehr oder weniger berechtigt.
    Zugute halten muss man dem BSI aber, dass er schnell gehandelt hat, und nicht erst an einem ausgefeilten Konzept gearbeitet hat.
    Der Server ist ja jetzt schon überlastet, und das bei dem einfachen Verfahren.
    Wenn man jetzt einfach eine ganze Domain überprüfen könnte, wäre das ganze schnell auszuhebeln, z.B. wenn der Server t-online.de überprüfen müsste …



  • Hallo, ich habe auch eine eigene Domain und frage mich, ob ich alle Mailadressen einzeln checken muss, die ich für die verschiedenen Dienste, Newsletter, Services verwende, oder ob es möglich ist, sich zu informieren, ob es überhaupt irgendwelche Mailadressen @dieser.domain.de gibt, die betroffen sind.

    Mir ist klar, dass das BSI mir ggf. nicht sagen kann und darf, um welche Adressen es sich handelt. Aber die Info, OB mindestens eine oder gar keine Adresse meiner Domain betroffen ist, sollte datenschutzrechtlich möglich sein, oder?

    Helfen würde schon eine Möglichkeit, eine Komma-getrennte Liste einzugeben. Und das Ergebnis so einer Anfrage (nur den Fakt, OB …) sollte halt an den Admin der Domain gemailt werden, dessen Adresse ja beim DENIC hinterlegt ist. Nicht an das oder die betroffenen Mail-Konten ...

    Danke und Grüße



  • Ich fürchte aktuell wird man um den Einzelcheck nicht herum kommen. Nach meinem Verständnis erlaubt die aktuelle Prüfmethode (Hash aus der eingegebenen Mailadresse wird mit Hashes der 16 Mio Adressen verglichen) keine Domainsuche. Das Prüfverfahren macht aber auf jeden Fall Sinn, weil es auf diesem Weg sicherstellt, dass erst einmal nirgends mit den Echtdaten gearbeitet wird.

    Ich sehe aber auf jeden Fall den Sinn hinter einem Domaincheck und wir werden heute noch versuchen mit dem BSI Kontakt aufzunehmen und die Möglichkeiten für Unternehmen hinterfragen.

    Das Problem beim Domaincheck ist halt auch der Missbrauch, selbst wenn die Infos nur an den Admin-C gehen könnte man damit viel Blödsinn anstellen, man denke nur daran, dass bspw. per Script @t-online.de abgefragt wird. Klar kann man das alles irgendwie abfangen, aber das wird sicher etwas Zeit brauchen. Gut. hören wir mal was das BSI meint.

    Herzliche Grüße,
    Peter Schmitz
    Chefredakteur Security-Insider.de



  • Und hallo noch einmal in die besorgte Runde.

    Das BSI hat bezüglich der Domain-Check-Problematik wie folgt geantwortet:

    Auf Anfrage von Unternehmen und Institutionen gibt das BSI die Information heraus, ob eine Betroffenheit einer bestimmten Domain vorliegt. Zudem informieren wir auch über die Anzahl der betroffenen Mails innerhalb dieser Domain. Die betroffenen Mailadressen selbst jedoch können wir aus datenschutzrechtlichen Gründen nicht herausgeben.

    Derzeit warte ich noch auf ein Feedback, wie man am besten Kontakt aufnimmt. Sobald ich nähere Informationen habe, werde ich diese Zeile editieren.

    Die häufigsten Fragen beantwortet das BSI im Übrigen in einem FAQ-Bereich.

    Viele Grüße,
    Stephan Augsten
    Redakteur SecurityInsider


Log in to reply