Erneut sind Kriminelle in den Besitz von Millionen Datensätzen im Internet gelangt. Das gefährliche daran: Neben den 18 Millionen E-Mail-Adressen hatten sie auch gleich die dazugehörigen Passwörter abgefischt. Unter Umständen kann das eine Freikarte sein zum ungehinderten Einkaufen im Netz unter fremdem Namen. Die Daten lassen sich aber auch für den Zugang zu Online-Netzwerken missbrauchen, wenn der Nutzer dort die gleiche Kombination aus Adresse und Passwort benutzt.
Es ist nicht der erste Fall von Datenklau in großem Stil. Erst vor wenigen Monaten war bekanntgeworden, dass 16 Millionen Datensätze in die Hände von Kriminellen gerieten. Auch damals war die Zentralstelle zur Bekämpfung von Internet-Kriminalität im niedersächsischen Verden während ihrer Ermittlungen auf den Fund gestoßen. Nach Angaben von Lutz Gaebel, Sprecher der Staatsanwaltschaft, stehen die beiden Funde in Zusammenhang. Damals verfolgten die Ermittler die Spur bis ins Baltikum.
Nach dem Fall im Januar war das BSI als zentrale Informationsstelle ins Visier der Kritik geraten. Erst spät war ans Licht gekommen, dass die Behörde bereits fünf Monate lang von dem Diebstahl wusste, bevor sie an die Öffentlichkeit trat. Über diesen Zeitraum hinweg waren potenzielle Opfer nicht informiert worden. Als das BSI schließlich ein Prüfverfahren ins Netz stellte, mit dem Nutzer klären konnten, ob ihre Mail-Adresse betroffen ist oder nicht, stürzten zudem wiederholt die Server ab.
Der aktuelle Vorfall zeige, dass das Thema Datensicherheit "endlich eine Priorität auf der Bundes- und Länderebene einnehmen" müsse, betonte am Freitag der Verein Cybersicherheitsrat Deutschland. "Das BSI muss schnell handeln" sagte Vereinspräsident Arne Schönbohm. Nur wenn die betroffenen Nutzer schnell informiert würden und die nötigen Maßnahmen eingeleitet werden könnten, könne das Schadensausmaß begrenzt werden. "Bei einem solch großen Ausmaß an Datenklau von E-Mail-Adressen und Passwörtern wird deutlich, dass die zuständigen Behörden ihre Fähigkeiten anpassen und Ressourcen aufstocken müssen, um die Reaktionszeiten deutlich zu verbessern."
Das Bundesinnenministerium betonte am Freitag allerdings, dass bei der Beurteilung solcher Funde auch Datenschutzfragen beachten werden müssten. Die Datenanalyse und das Prüfverfahren seien zudem technisch kompliziert, sagte der Sprecher des Innenressorts. Es müsse zudem sichergestellt werden, dass das Verfahren auch den zu erwartenden Belastungen standhalte.
Nach Angaben der Staatsanwaltschaft Verden geht es bei dem neuen Fund um einen Berg "frischer Mail-Konten", die noch aktiv genutzt werden. Einige davon sollen aktuell bereits missbraucht worden sein, auch wenn es nur zum Versenden von Spam-Mails war. Bei der akuten Missbrauchsgefahr könnte allerdings auch eine Woche schon eine lange Zeit sein.
Einen großen Beitrag zur Sicherheit können aber inzwischen die Nutzer und potenziellen Opfer selbst leisten. Das BSI rät allen Internet-Nutzern, einige wesentlichen Schritte zur Sicherheit zu ergreifen, darunter auf jeden Fall auch fünf "Kernmaßnahmen". Wer im Netz unterwegs ist, sollte dafür beispielsweise "keinesfalls ein Administrator-Konto" nutzen. Alle gängigen Betriebssysteme böten die Möglichkeit an, sich auch als Nutzer mit eingeschränkten Rechten anzumelden, betont die Behörde.
In Kürze will auch die Telekom ihren Kunden aktuelle Tipps im sicheren Umgang mit Mails und Passwörtern geben. So solle ein Passwort nicht als sinnvolles Wort erkannt werden können, rät das Unternehmen. Am besten sollten sich Nutzer einen Satz merken und aus deren Anfangsbuchstaben ein neues Wort bilden. Auch empfiehlt die Telekom die Nutzung unterschiedlicher Passwörter für verschiedene Dienste. (dpa/rs)