Wer in diesen Tagen eine Nachricht von seinem Mailprovider bekommt, sollte sie nicht vorschnell wegklicken. Es könnte eine ernstzunehmende Warnung sein, dass seine Zugangsdaten zum Mailaccount von Kriminellen abgefangen wurden.

Am vergangenen Donnerstag hatte die Staatsanwaltschaft Verden (Aller) in Niedersachsen bekannt gegeben, dass sie im Laufe eines Ermittlungsverfahrens auf 21 Millionen E-Mail-Adressen samt Zugangspasswörtern gestoßen ist. Kriminelle versuchen demnach, sich in die Konten einzuloggen und diese für den Versand von unerwünschter Werbung zu missbrauchen. 

Weil es sich aber laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wohl auch um "Zugangsdaten zu anderen Online-Accounts wie Online-Shops, Internet-Foren oder Sozialen Netzwerken handelt", könnten Kriminelle mit den Zugangsdaten ebenso gut einkaufen gehen – auf Kosten der Betroffenen. Das BSI empfiehlt deshalb, den heimischen PC mit einem Virenscanner zu überprüfen und anschließend ein neues Passwort für das eigene Mailkonto zu vergeben. Was als sicheres Passwort gilt, beschreibt das Amt auf seiner Seite bsi-fuer-buerger.de.

Die Behörde hat zudem den Auftrag, die betroffenen deutschen Nutzer zu informieren. Bereinigt handele es sich um 18 Millionen Adressen mitsamt Passwörtern, teilte die Behörde mit. Laut Staatsanwaltschaft könnten etwa drei Millionen davon deutschen Nutzern gehören.

Die sollen auf zwei Wegen davon erfahren können: Das BSI hat den Providern Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de ihre jeweiligen betroffenen Kunden genannt, damit sie diese selbst informieren können. Damit würden bereits 70 Prozent der Betroffenen in Deutschland abgedeckt, teilt das Amt mit. Wer aber zum Beispiel eine Adresse bei Google hat – also googlemail.com oder gmail.com – oder einen eigenen Mailserver betreibt, muss selbst überprüfen, ob seine Zugangsdaten von Kriminellen abgefangen wurden.

Dazu hat das BSI einen webbasierten Sicherheitstest unter https://www.sicherheitstest.bsi.de veröffentlicht. Das BSI gleicht die dort eingegebene Adresse mit den Daten der Staatsanwaltschaft Verden (Aller) ab. Ist die eingegebene Adresse unter jenen, die auch der Staatsanwaltschaft vorliegen, erhält der jeweilige Nutzer eine entsprechende Information an diese Mail-Adresse. Ist die Adresse nicht im Datensatz der Staatsanwaltschaft vorhanden, erhält der Nutzer auch keine Benachrichtigung.

Der zweite große Fall in kurzer Zeit

Wie die Kriminellen an die Daten gelangt sind, ist unklar. Das BSI geht davon aus, dass sie mehrere Quellen hatten. Eine davon könnten Rechner sein, die zuvor mit Schadsoftware infiziert wurden. Denkbar ist aber auch, dass ein Onlinedienst gehackt wurde, der als Kunden-Login eine Kombination aus E-Mail-Adresse und Passwort verlangt. Auch in ungesicherten Funknetzen oder in Internetcafés könnten Kriminelle an solche Daten gelangen.

Es ist der zweite große Fall innerhalb kurzer Zeit, in dem die Ermittler auf Millionen von Adressen und Passwörtern gestoßen sind. Anfang Januar wurde bekannt, dass Strafverfolger 16 Millionen solcher Datensätze gefunden hatten. Die Hälfte davon betrafen deutsche Nutzer, darunter auch einige Bundestagabgeordnete. 

Allerdings wussten das BKA und auch das BSI laut Spiegelschon seit August davon. Das BSI benachrichtigte zunächst nur die IT-Sicherheitsbeauftragten des Bundestags und der Bundesministerien. Die Öffentlichkeit erfuhr erst ein knappes halbes Jahr später davon.