Millionen Nutzer haben beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in den vergangenen Tagen einen Sicherheitstest gemacht. Bis Donnerstagmittag 12 Uhr registrierte das BSI mehr als 22 Millionen eingegebene E-Mail-Adressen, von denen rund 1,3 Millionen vom Identitätsdiebstahl betroffen waren. Es herrscht jedoch noch viel Unklarheit darüber, welche Konten betroffen sind und woher die Daten stammen. Laut dem BSI wurden sie von einem Botnetz gesammelt.

Welche Arten von Konten sind betroffen?

Laut BSI sind nur solche Konten betroffen, die eine E-Mail-Adresse als Benutzernamen haben. Das heißt aber nicht, dass nur E-Mail-Accounts gehackt wurden. Bei vielen Onlinediensten, wie zum Beispiel Facebook, Google oder Twitter, ist eine Anmeldung mit E-Mail-Adresse üblich. Unklar ist, ob der Datenbestand des Botnetzes auch Konten mit einer anderen Art des Benutzernamens enthält. Solche Datensätze ließen sich allerdings nicht mit der vom BSI gewählten Form überprüfen, da die Nutzer nicht per E-Mail kontaktiert werden könnten.

Woher stammen die Datensätze?

Nach Angaben des BSI wurden die Daten bei der Analyse eines Botnetzes entdeckt. In diesem Fall ist aber "nicht genau nachvollziehbar, wie und wann die Botnetzbetreiber an Ihre E-Mail-Adresse und Ihr Passwort gelangt sind". Möglich sei eine Infektion des heimischen PCs (beispielsweise mit einem Keylogger), aber auch ein Ausspähen der Daten in einem Internetcafé oder einem ungesicherten WLAN. Ebenfalls ist möglich, dass Teile der Daten beim Hack eines Onlinedienstes erbeutet wurden und nun an verschiedenen anderen Diensten ausprobiert werden sollen. Die Daten wurden dann für ein Botnetz zusammengetragen. Es ist nicht ganz klar, ob das Botnetz die Daten erbeutet hat, um sie für kriminelle Zwecke zu verwenden, oder ob hinter den Datensätzen jeweils infizierte Rechner (Zombies) stehen, die für typische Botnetz-Aufgaben wie Spamversand oder DDoS-Attacken genutzt werden. Für solche Attacken sind aber aktuelle IP-Adressen der infizierten Rechner erforderlich und nicht andere Nutzerkonten.

Sind nur deutsche Nutzer betroffen?

Nach Angaben des BSI endet die Hälfte der 16 Millionen Adressen auf .de, die anderen kommen aus anderen Bereichen. Allerdings nutzen auch viele Deutsche E-Mail-Adressen mit den Endungen .net oder .com. Die zuständige Behörde eines anderen Staates sei ebenfalls informiert worden, hat aber offenbar noch keine eigenen Schritte eingeleitet.

Wann wurden die Daten abgegriffen?

Darüber gibt das BSI keine genaue Auskunft. "Wann die Daten in das Botnetz integriert wurden, ist nachträglich nicht mehr feststellbar", heißt es. Nutzer berichten, dass auch seit Jahren ungenutzte Accounts betroffen sein sollen. Das BSI geht selbst davon aus, dass es sich auch um veraltete und nicht mehr genutzte Konten oder Passwörter handeln kann.

Wie kam das BSI an die 16 Millionen Datensätze?

Die Daten stammen nach Angaben des BSI aus der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden. Eine wichtige Rolle spielt dabei das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in Wachtberg bei Bonn. Dieses beobachtet und analysiert seit Jahren die Verbreitung von Botnetzen. Das BSI erhielt lediglich die Datenbank mit den E-Mail-Adressen.