Identit\u00e4ten gefunden<\/h2>\n
Aber zur\u00fcck zum vorherigen extremen Fall. Das BSI hat erneut eine Meldung heraus gegeben: 18 Millionen Identit\u00e4ten<\/a> seien gefunden wurden. Mit Identit\u00e4t sei gemeint, soweit ich das herausfinden konnte, dass eine E-Mail-Adresse mit dazugeh\u00f6rigem Passwort gefunden wurden. 3 Millionen deutsche E-Mail-Konten sollen darunter sein.<\/p>\n Ob diese Daten im Zusammenhang mit der oben genannten OpenSSL-L\u00fccke stehen? Ich wei\u00df es nicht.<\/p>\n Das BSI hat die gr\u00f6\u00dferen E-Mail-Provider informiert so dass diese wiederum die betroffenen Kunden informieren k\u00f6nnen.<\/p>\n Einer dieser betroffenen Kunden ist mein Vater.<\/p>\n Da mein Vater nun \u00fcberhaupt keine Ahnung von solchen technischen Dingen hat, rief er mich an und fragte, was er denn nun tun solle. Naja, genau das, was in der E-Mail von Kabel-Deutschland steht, n\u00e4mlich das Passwort \u00e4ndern.<\/p>\n Aber Halt mal, einen Schritt zur\u00fcck. Nochmal langsam zum mitdenken.\u00a0Das BSI Informiert u.a. Kabel-Deutschland, dass eine Liste von E-Mail-Adressen mit dazugeh\u00f6rigen Passw\u00f6rtern ausgesp\u00e4ht wurden.<\/p>\n Frage Nummer 1: E-Mail-Adresse + Passwort benutzt man an sehr vielen Stellen im Internet. Das BSI informiert nicht, wo es die Daten gefunden hat und auch nicht woher diese Daten stammen. Ist denn tats\u00e4chlich das eigentliche E-Mail-Konto beim Provider gemeint? Oder ist es das eBay-Konto? Oder das Konto von einem Online-Forum? Ich wei\u00df es nicht.<\/p>\n Frage Nummer 2: Kabel-Deutschland geht nun offenbar davon aus, dass die Daten vom E-Mail-Konto gemeint sind denn genau dieses Passwort soll man jetzt \u00e4ndern, schreiben sie. Sie schreiben aber im selben Text, dass die Server von Kabel-Deutschland nicht betroffen sind. Sch\u00f6n, die Daten wurden also nicht direkt von deren Servern entwendet. Sie gehen also davon aus, dass die Daten vom Rechner des Betroffenen ausgesp\u00e4ht wurden, z. B. mithilfe einer Schadsoftware. Nehmen wir also an, das w\u00fcrde stimmen: Warum werden die Betroffenen dann per E-Mail \u00fcber eben dieses betroffene Konto informiert? Ist das nicht sehr unsicher? Wenn ein Angreifer meine Mail-Konto-Daten hat, so kann er das Passwort schon ge\u00e4ndert haben oder solche Mails abfangen\/l\u00f6schen. Und wenn die betroffenen die Mail erhalten aber technisch nicht in der Lage sind die Schadsoftware zu entfernen oder \u00fcberhaupt zu finden, dann wird ein neues Passwort, und sei es noch so lang, nicht helfen, da es wieder ausgesp\u00e4ht wird.<\/p>\n Im Fall meines Vaters handelt es sich um einen sehr alten Mac auf PowerPC-Basis – entwickelt daf\u00fcr \u00fcberhaupt jemand Schadsoftware? Mir ist bisher keine Bekannt. Das neuere Ger\u00e4t ist ein MacBook und l\u00e4uft, wenn ich mich recht erinnere, mit OS-X 10.8. Java ist meines Wissens nicht installiert, bei Flash bin ich gerade nicht sicher. Ich wei\u00df es nicht aber ich halte es zumindest f\u00fcr unwahrscheinlich, dass die Daten direkt vom Rechner stammen.<\/p>\n Da man nichts genaues wei\u00df, kann die L\u00f6sung eigentlich nur sein: \u00c4ndert alle Passw\u00f6rter. \u00dcberall, wo Ihr Euch mit der betroffenen E-Mail-Adresse registriert habt, solltet Ihr die Passw\u00f6rter \u00e4ndern.<\/p>\n Bitte nehmt f\u00fcr jedes Konto ein anderes Passwort! Ansonsten hat ein Angreifer leichtes Spiel. Hat er mal ein Passwort, kann er einfach mal bei allen g\u00e4ngigen Anbietern ein Login versuchen. Macht es diesen Leuten nicht so leicht und verwendet individuelle Passw\u00f6rter.<\/p>\nUnklar und Inkonsequent<\/h2>\n
Was tun?<\/h2>\n
![\"\"](\"http:\/\/imgs.xkcd.com\/comics\/password_strength.png\")
<\/a><\/p>\n