Häufige Fragen Woher hat das BSI meine E-Mail-Adresse? Ihre E-Mail-Adresse wurde bei der Analyse von Botnetzen entdeckt. Botnetze sind eine der größten Gefahren im Internet. Online-Kriminelle kapern unzählige Rechner von Privatanwendern und schließen diese zu einem Botnetz zusammen. Dieses nutzen sie beispielsweise, um durch Phishing millionenfach Benutzerkonten, Login-Daten und Passwörter und somit digitale Identitäten zu stehlen. Viele Internetnutzer verwenden als Benutzernamen ihre E-Mail-Adresse – nicht nur für den eigenen E-Mail-Account, sondern auch für Benutzerkonten bei Internetdiensten wie Online-Shops oder Sozialen Netzwerken. Zur Verbesserung der Cyber-Sicherheit in Deutschland steht das BSI unter anderem mit Forschungseinrichtungen und Strafverfolgungsbehörden in Kontakt, die Botnetze analysieren. Im Rahmen solcher Analysen wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. Die zugehörigen E-Mail-Adressen wurden dem BSI übergeben, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können.
Das BSI hat Ihre E-Mail-Adresse somit nicht von einem Ihrer Dienstanbieter erhalten, sondern im Zuge der Analyse eines Botnetzes bekommen.
Was ist ein Bot? Was ist ein Botnetz? Bei einem Bot handelt es sich um ein Programm, das ohne Wissen des Anwenders auf dessen Rechner installiert wird. Der so gekaperte Computer führt dann die Anweisungen des Angreifers aus. Durch den Zusammenschluss vieler Bot-infizierter Rechner entsteht ein Botnetz. Um möglichst viele Rechner von Privatanwendern zu erreichen, werden Schadprogramme meist über E-Mail oder manipulierte Webseiten verteilt. Zur Installation werden Schwachstellen auf dem Rechner des Anwenders ausgenutzt. In großen Botnetzen sind häufig mehrere hunderttausend infizierte Rechner zusammengeschlossen. Sie eignen sich daher zum Beispiel zum massenhaften Versand von Spam-E-Mails. Diese werden zu Werbezwecken versandt, aber auch dazu genutzt, Schadprogramme massenhaft zu verteilen oder Weblinks zu verbreiten, die auf Phishing-Webseiten verweisen.
Botnetze werden zudem dazu eingesetzt, vertrauliche Daten wie Passwörter, Online-Banking-Daten oder Geschäftsinformationen zu stehlen. Botnetze dienen auch dazu, verteilte Angriffe auf die Verfügbarkeit von Internetsystemen (sogenannte Distributed Denial of Service Angriffe oder kurz DDoS) durchzuführen. Aufgrund ihrer vielfältigen Einsatzmöglichkeiten und der wirtschaftlich motivierten kriminellen Energie, welche die Täter aufbringen, stellen Botnetze derzeit eine der größten Gefahren im Internet dar.
Woher haben Botnetzbetreiber meine E-Mail-Adresse und mein Passwort? In diesem konkreten Fall ist nicht genau nachvollziehbar, wie und wann die Botnetzbetreiber an Ihre E-Mail-Adresse und Ihr Passwort gelangt sind. Es ist nicht ausgeschlossen, dass der Botnetzbetreiber Ihre Daten von einem anderen Kriminellen gekauft hat. In der Regel jedoch geschieht ein Identitätsdiebstahl oder das Ausspähen von persönlichen Daten wie E-Mail-Adressen oder Passwörtern meist mithilfe von Schadprogrammen, die Online-Kriminelle unter Ausnutzung von Schwachstellen auf dem Rechner des Anwenders installiert haben. Dies kann der eigene PC sein oder auch ein öffentlicher Internet-PC, beispielsweise in einem Internet-Café. Auch bei Nutzung eines ungesicherten WLANs (z.B. WLAN-Hotspot) ist ein Abgriff persönlicher Daten möglich, auch wenn das benutzte Gerät nicht mit Schadsoftware infiziert ist.
Der Abgriff einer E-Mail-Adresse muss nicht unbedingt bei der Nutzung des E-Mail-Accounts erfolgen. E-Mail-Adressen werden häufig auch zur Anmeldung bei Web-Diensten wie Online-Shops oder Sozialen Netzwerken verwendet. Bei den im Botnetz gefundenen Kennwörtern kann es sich daher neben den Zugangsdaten für den Mail-Account auch um Zugangskennwörter zu anderen Internet-Diensten handeln.
Was bedeutet es, dass meine E-Mail-Adresse und mein Passwort bekannt sind und ich somit betroffen bin? Was soll ich tun? Das BSI empfiehlt betroffenen Anwendern, grundsätzlich alle genutzten Rechner auf Befall mit Schadsoftware zu überprüfen und alle Passwörter zu ändern, die Sie für Ihren Mail-Account und andere Benutzerkonten bei Online-Shops, Sozialen Netzwerken oder anderen Internetdiensten nutzen. Achten Sie bei der Änderung darauf, dass Sie ein möglichst sicheres Passwort wählen und nicht für jeden Dienst das gleiche Passwort nutzen. Empfehlungen hierzu gibt das BSI unter
www.bsi-fuer-buerger.de/Passwoerter
Zur Prüfung auf Schadsoftwarebefall gibt es eine Reihe von Virenschutzprogrammen. In den
Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt.
Der
Avira PC-Cleaner eignet sich für einen Schnelltest auf Schadsoftwarebefall, ersetzt jedoch kein vollwertiges Virenschutzprogramm.
Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI unter
www.bsi-fuer-buerger.de/SicherSurfen
Wie prüfe ich, ob ich betroffen bin? Sie können auf der Webseite
www.sicherheitstest.bsi.de Ihre E-Mail-Adresse zur Prüfung angeben. Sollten Sie betroffen sein, so erhalten Sie kurz darauf eine E-Mail an die eingegebene Adresse. Im Betreff dieser E-Mail wird der vierstellige Betreff-Code angegeben, der Ihnen nach Angabe Ihrer E-Mail-Adresse auf der Webseite angezeigt wurde. Mithilfe dieses Codes können Sie auch ohne Öffnung der E-Mail sicherstellen, dass es sich tatsächlich um die Antwortmail auf Ihre Anfrage handelt. Des Weiteren wird die Antwort- E-Mail des BSI mittels OpenPGP digital signiert.
Wenn Sie nicht betroffen sind, erhalten Sie keine Benachrichtigung per E-Mail. Auch auf der Webseite selbst wird keine entsprechende Information gegeben. Dies ist aus Sicherheitsgründen nicht anders möglich.
Alle eingegebenen Daten, insbesondere die E-Mail-Adresse, werden nach der Prüfung unverzüglich gelöscht. Eine Speicherung der Daten nach Abschluss der Anfrage erfolgt nicht.
(siehe auch Datenschutzerklärung).
Die Bundesbeauftragte für den Datenschutz wurde über dieses Verfahren informiert und hat keine Einwände.
Wie sind die Nutzungsbedingungen? Sie sind damit einverstanden, dass personenbezogene Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Sie bestätigen, dass Sie das Angebot auf dieser Webseite ausschließlich unter Angabe Ihrer eigenen E-Mail-Adresse(n) nutzen.
Wird meine eingegebene E-Mail-Adresse nach der Eingabe gespeichert und geloggt? Eine Speicherung der E-Mail-Adresse nach Abschluss der Abfrage erfolgt nicht. Aus der eingegebenen E-Mail-Adresse wird im Rahmen des Überprüfungsverfahrens ein sogenannter Hash-Code generiert. Mithilfe dieses Hash-Codes lässt sich feststellen, ob Ihre E-Mail-Adresse betroffen ist. Sofern dies der Fall ist, wird die E-Mail-Adresse als Empfängeradresse der generierten Antwortmail genutzt und sofort danach auf dem Webserver gelöscht. Sind Sie nicht betroffen, wird die E-Mail-Adresse direkt nach Feststellung der Nicht-Betroffenheit gelöscht.
Die Bundesbeauftragte für den Datenschutz wurde über dieses Verfahren informiert und hat keine Einwände.
Was sind PGP, OpenPGP, GnuPG und GPG? PGP "Pretty Good Privacy“ ist eine Verschlüsselungs-Software, die Public-Key-Verfahren für die digitale Signatur und die Verschlüsselung verwendet. Sie eignet sich zum Ver- und Entschlüsseln sowie Signieren von Daten und E-Mails. Mehr Informationen zur Verschlüsselung von E-Mails sind unter
www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html abrufbar.
OpenPGP ist ein offener Internet-Standard für verschlüsselte und signierte Daten auf Basis von PGP. GnuPG bzw. GPG (siehe
www.gnupg.org) ist eine freie Implementierung des OpenPGP-Standards.
Die Antwort-E-Mail des BSI wird mithilfe von OpenPGP digital signiert und kann somit zusätzlich als authentisch erkannt werden.
Warum ist die E-Mail des BSI mittels OpenPGP signiert? Sofern die auf der Webseite
www.sicherheitstest.bsi.de angegebene E-Mail-Adresse betroffen ist, erhalten Sie die Antwortmail unverschlüsselt, jedoch mit einer Signatur des BSI. Diese können Sie mit dem entsprechenden GnuPG-Mail-Plugin auf Authentizität prüfen und so sicherstellen, dass die E-Mail auch tatsächlich vom Dienst
www.sicherheitstest.bsi.de gesendet wurde. Der öffentliche Schlüssel ist unter der Webseite
Unser GPG-Zertifikat verfügbar. Sie benötigen in der Regel für Ihr E-Mail-Programm ein Plugin, um die OpenPGP-Signatur zu prüfen.
Woher bekomme ich ein PlugIn für mein E-Mail-Programm, um die OpenPGP-Signatur prüfen zu können? Wir listen hier einige Programme auf, mit denen Sie eine OpenPGP-Signatur überprüfen können. Die Liste enthält auch verbreitete Plugins für E-Mail-Programme, die dasselbe leisten:
Sind nur Microsoft Windows-Nutzer betroffen? Was ist mit Smartphones, Linux und Apple OS X? Online-Kriminelle sind an der digitalen Identität ihres Opfers interessiert, die sie für ihre kriminellen Zwecke missbrauchen können. Den Zugriff auf die Identitäten erhalten Sie in der Regel über Schadsoftware, die sie auf die Rechner der Opfer aufgebracht haben. Aufgrund der immer noch sehr hohen Verbreitung des Windows-Betriebssystems stehen Windows-Nutzer nach wie vor im Fokus der Angreifer. Das Risiko eines Befalls mit Schadsoftware unter Windows ist nach wie vor sehr hoch. Allerdings ist auch der Befall mit Schadsoftware bei Smartphones und Rechnern mit Linux-Betriebssystem oder Apple OS X nicht ausgeschlossen.
Wie ändere ich mein Passwort? Hierzu finden Sie nachfolgend eine Auswahl von Anleitungen für die meist verbreiteten Online-Dienste (in alphabetischer Reihenfolge). Bevor Sie das Kennwort ändern, müssen Sie sich bei dem entsprechenden Dienst in der Regel anmelden.
Ich habe mein Kennwort vergessen. Wie setze ich es zurück? Hierzu finden Sie nachfolgend eine Auswahl von Anleitungen für die meist verbreiteten Online-Dienste (in alphabetischer Reihenfolge).
Reicht es, das Passwort zu wechseln? Der Wechsel des Passworts ist bereits ein erster wichtiger Schritt, wenn Sie von dem Identitätsdiebstahl betroffen sind. Sollten Sie betroffen sein, so erhalten Sie eine Mitteilung, die konkrete Handlungsempfehlungen des BSI enthält.
Wenn Sie betroffen sind, sollten Sie
- Ihren Rechner sowie weitere genutzte Rechner auf Befall mit Schadsoftware überprüfen. Eine solche Prüfung ist mit einem Virenschutzprogramm möglich. In den Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt. Weitere Hinweise erhalten Sie unter www.bsi-fuer-buerger.de/SicherSurfen.
Der Avira PC-Cleaner eignet sich für einen Schnelltest auf Schadsoftwarebefall, ersetzt jedoch kein vollwertiges Virenschutzprogramm.
- die Passwörter ändern,die Sie in Verbindung mit der überprüften E-Mail-Adresse zur Anmeldung bei Online-Diensten nutzen. Hinweise zur Nutzung sicherer Passwörter erhalten Sie unter www.bsi-fuer-buerger.de/Passwoerter
Wann wurden meine Daten abgegriffen? Die Daten wurden im Rahmen der Analyse eines Botnetzes entdeckt. Wann die Daten in das Botnetz integriert wurden, ist nachträglich nicht mehr feststellbar.
Warum muss ich ein sogenanntes Captcha eingeben? In der Regel ist die Nutzung des Webdienstes ohne Captcha möglich. Die Eingabe ist notwendig, wenn von Ihrer Internetadresse aus der Dienst häufig genutzt wird. Dies kann auch der Fall sein, wenn Ihr Rechner in einem Firmennetzwerk über einen Proxy auf das Internet zugreift oder die Ihnen vom Internetprovider zugewiesene Internetadresse bereits vorher von einem anderen Kunden für Abfragen genutzt wurde. Dieses Verfahren soll den Missbrauch durch automatisierte Abfragen verhindern, so dass der Webdienst nicht für den Versand von Spam missbraucht werden kann. Captchas sind so aufgebaut, dass diese automatisiert nicht ohne weiteres gelöst werden können, für Menschen jedoch einfach zu lösen sind. Die Einblendung eines Captchas bei diesem Dienst ist kein Indiz dafür, dass Ihr Rechner infiziert ist.
Warum erhalte ich keine Antwortmail, wenn ich nicht betroffen bin? Da wir eine Dienstleistung implementiert haben, die jeder anonym in Anspruch nehmen kann, ist leider nicht zu verhindern, dass jemand beliebige E-Mail-Adressen zur Überprüfung eingibt, die nicht seine eigenen sind. Würden auch im Falle der Nicht-Betroffenheit Antwortmails verschickt, bekämen auch nicht betroffene Bürger die Antwortmails, obwohl sie den Dienst nicht selbst in Anspruch genommen haben.
Was passiert, wenn meine E-Mail-Adresse nicht mehr existiert, ich sie aber noch als Benutzername bei einem Online-Dienst nutze? In diesem Fall ist eine Benachrichtigung nicht möglich. Grundsätzlich raten wir davon ab, eine nicht existierende E-Mail-Adresse als Benutzernamen bei einem Online-Konto zu verwenden. Gerade, wenn der Diensteanbieter eine mit der E-Mail-Adresse verknüpfte Passwort-Zurücksetzungsfunktion anbietet, könnte jemand die betroffene E-Mail-Adresse selber registrieren und mittels der Passwort-Zurücksetzungsfunktion das Konto übernehmen.
Wie lange muss ich auf eine Antwortmail warten? Eine Rückmeldung per E-Mail erhalten Sie nur, wenn Ihre E-Mail-Adresse betroffen ist. Abhängig von der Auslastung aller beteiligten Mailserver, über die Ihre Mail zugestellt wird, erfolgt die Rückmeldung in der Regel innerhalb von wenigen Minuten, spätestens nach einigen Stunden. Wenn Sie nicht von dem Identitätsdiebstahl betroffen sind, dann erhalten Sie keine Rückmeldung.
Warum bekomme ich eine Warnung, obwohl ich diesen Dienst nicht genutzt habe? Sofern Sie eine Warnung erhalten, den Dienst jedoch nicht selbst genutzt haben, löschen Sie bitte aus Sicherheitsgründen die E-Mail. Bitte nutzen Sie persönlich die Möglichkeit, Ihre E-Mail-Adresse auf der Webseite einzugeben. Falls Sie betroffen sind, erhalten Sie eine Benachrichtigung.
Warum schreibt das BSI nicht alle betroffenen E-Mail-Accounts an? Eine direkte Benachrichtigung der Betroffenen ist nicht zielführend. Es ist nicht auszuschließen, dass Kriminelle daraufhin im Aussehen ähnliche E-Mails versenden, um Informationen abzugreifen oder Schadprogramme zu verteilen. Daher hat sich das BSI dazu entschlossen, einen Dienst anzubieten, den der Nutzer selbst anfordern kann.
