27

Warum ich relativ gelassen bin, obwohl ich eine Mail vom BSI erhalten habe

bsi

Diverse meiner Mailadressen hatte ich vor zwei Tagen auf der dafür vorgesehenen Seite des BSI eingegeben, um prüfen zu lassen, ob eines oder mehrere dazu gehörende Passwörter als „gehackt“ gelten. Abgesehen davon, dass es an dem ganzen Verfahren auch Kritik gibt, war ich anfangs sehr froh, danach eben keine Mail vom BSI erhalten zu haben. Alles gut, anscheinend.

Nun kam aber doch eine Benachrichtigung (böse Zungen behaupten, es dauere halt zwei Tage, bis ein Beamter die Liste der 16 Millionen Mailadressen nach meiner durchsucht habe), und der Code in der Subject-Zeile stimmt mit einem derjenigen überein, die ich nach Eingabe meiner Adressen beim BSI erhalten hatte.

Aber wir wissen ja: Don’t panic.

Ich hab eine recht schludrige, aber meiner Meinung nach ausreichende Passwortstrategie, die garantiert kein Vorbild sein darf, denn das geht alles noch viel sicherer. Wer weiß, was in den nächsten Tagen noch passieren könnte mit meinem wohl gehackten Account, aber ich habe mich zumindest so weit abgesichert, dass ich keine wirklichen Dramen erwarte. Denn:

– Ich nutze für die reinen Mail-Konten, also zum Abruf der Mails, ein recht kompliziertes Passwort, und das nutze ich allein und ausschließlich für dieses eine Konto und nur für die Mails. Benutze ich also eine Mailadresse, um mich damit bei einem anderen Dienst (z.B. Twitter oder Facebook) anzumelden, verwende ich ein anderes Passwort. Im vorliegenden Fall konnte ich dieses reine Mail-Passwort schnell ändern und bin, was meine Mail-Kommunikation angeht, wieder auf der „sicheren“ (haha …) Seite. Selbst, wenn jemand das frühere Mail-Passwort hat: Es ist jetzt nutzlos, denn ich habe es nirgendwo anders eingesetzt. Für „kritische“ Dienste wie Onlinebanking gibt es natürlich auch noch mal ein ganz individuelles Passwort.

– Für eine Handvoll „wichtiger“ Dienste, die ich tatsächlich regelmäßig und öffentlich nutze und bei denen ich eine Mailadresse angegeben habe, die ich auch für andere Kommunikation nutze, habe ich weitere, ebenfalls ziemlich komplexe Passwörter, so viele, wie ich mir merken kann: Ein Dutzend etwa. Die tausche ich ab und zu hin und her, ändere sie auch mal. Das kann etwas nerven (wenn man bei neuem Login zu oft ausprobieren muss und keine Lust hat, schon wieder eine Reminder-Mail anzufordern), da ich aber meist Software wie 1Password oder die Schlüsselbundfunktion auf meinem Mac und auch auf iOS nutze, hält sich der Stress in Grenzen. Trotzdem nutze ich auch diese Passwörter nie für die unendlich vielen anderen Dienste, Newsletter oder Webseiten, bei denen man sich nur zum Testen anmeldet oder nur, um eine bestimmte Datei laden zu können.

– Für diese Fälle nämlich habe ich eine ganz besondere Mailadresse, über die ich nie kommuniziere, also nie Mails schreibe. Sie dient allein der Anmeldung bei den eben beschriebenen „unwichtigen“ Diensten, bei denen ich dann auch durchaus mal ein gleiches Passwort einsetze, einfach, weil es egal wäre, wenn diese Accounts gecrackt würden. Da steht meistens nicht einmal mein Name dabei.

Trotzdem könnte natürlich „etwas passieren“, wenn eines meiner Passwörter bekannt wäre und ich es nicht rechtzeitig geändert habe. Aber ganz ehrlich: Shit happens.

Wenn mich jemand ärgern will, werde ich damit umgehen können (ihr könntet ja so nett sein und die Augen offen halten, wenn euch etwas unter meinem Namen Getätigtes merkwürdig vorkommt, und mir Bescheid sagen – danke dafür); wenn „rauskommt“, dass nicht alle von mir in den letzten Jahrzehnten besuchten Websites völlig „sauber“ waren: So what? Und falls es jemandem tatsächlich gelingt, Geschäfte zu tätigen mit einem meiner Passwörter, dann habe ich nun sogar den vom BSI verbrieften Beweis, dass ich das u.U. gar nicht war. Schön wäre so etwas nicht, aber auch nicht existenzbedrohend.

Ich denke nicht, dass ich vor einer Katastrophe stünde, selbst wenn jemand meinen Facebook-Zugang hätte. Ich glaube, meine oben beschriebene Strategie ist ganz okay.

Und wem „ganz okay“ nicht genügt, der kann hier mal vorbeischauen oder Software wie 1Password (das nutze ich halt, aber es gibt noch viel mehr) dafür verwenden, für jede einzelne Anmeldung ein neues, individuelles und unmerkbares Passwort generieren und gleichzeitig in der Software speichern zu lassen. So ist man sicher: Selbst wenn eines dieser PW gecrackt wurde, bedeutet das nichts für alle anderen genutzten Dienste.

Komplett sicher werden unsere Passwörter wohl nie sein, allein schon deshalb nicht, weil es immer noch Dienstleister gibt (viel zu häufig in Deutschland, so mein Eindruck), die bei einer „Passwort vergessen“-Anfrage nicht etwa einen Link zur Neugenerierung versenden, sondern DAS BISHERIGE PASSWORT IM KLARTEXT, was nicht nur bedeutet, dass das PW offensichtlich auch im Klartext im System liegt und jeder Hansel darauf Zugriff hat, sondern auch, dass das betreffende Unternehmen eine Vollmeise hat.

Es lohnt sich also eine eigene Strategie.
Mich interessiert eure: In den Kommentaren bitte.
Danke!

Gibt es eigentlich einen Dienst, der eine Übersicht bietet, wo überall man sich mit einer Mailadresse angemeldet hat? Nee, oder?

27 Kommentare

  1. 01
    Thomas'

    Für wichtigste Dienste (wie z.B. E-Mail) empfiehlt sich dann auch noch eine Zwei-Phasen-Authentifizierung, wenn angeboten.

    Der Komfortverlust ist wirklich marginal und der Nutzen sehr hoch. Außer bei PayPal.

  2. 02
    Martin

    Seit dem letzten Adobe-Hack habe ich mich gefragt, ob es nicht egal ist, wie sicher das Passwort ist, wenn die Passwörter als solches geklaut werden. Vielleicht ist ja meine Vorstellung naiv, aber für mich stellt sich das so dar, das jemand nicht den Safe knackt, sondern einfach den ganzen Safe mitnimmt. Bei Steam genau so. Anders wohl, wenn jemand gezielt einen Account hacken will?!

  3. 03

    Woher haben die dein Passwort? Haben sie über dieses Passwort hinaus noch weitere Passwörter? Ist die Quelle, aus der dein Mail Passwort geleakt ist noch am Sprudeln oder ist sie abgeschaltet? Also ich wäre schon ein wenig ungelassen.

  4. 04

    @#817626: Die Antworten darauf hätte ich auch gerne. Aber wenn du ungelassener wärst: Wie würdest du reagieren?

  5. 05
    Su | ApropoSmedia

    Kleiner Nachtrag: ggf. kann eine Infektion des rechners erfolgt sein und ein Trojaner o.ä. eingeschmuggelt worden sein, eine Anti-Viren-programm lohnt sich jedenfalls noch, drüberlaufen zu lassen. Und es gibt ein paar Dienste, die diverse andere absuchen und dich ggf. entregistrieren. aber eben nicht alles finden. Leider habe ich den entsprechenden Link gerade nicht vorliegen. Findet sich aber sicher mit „unsubscribe“ oder ähnlichem in der Suche…
    z.B. https://unroll.me/
    oder

  6. 06

    @#817628: Du hast Recht: Virenscanner ist wichtig. Aufm Mac vielleicht nicht ganz so, wie unter Windows.

    Unroll me habe ich mir gestern angesehen, funktioniert IMHO etwas intransparent (die filtern nur die „abgemeldeten“ Dienste raus, solange sie Zugang zu deinen Mails haben – wo sie auch nach deinen Abos suchen –, melden dich also nicht wirklich ab), habe meinen Account sofort wieder gelöscht.

  7. 07
    Thomas'

    Nein, Virenscanner sind nicht wichtig. Die Dinger sind i.d.R. absolut nutzlos.
    Unter Windows reicht das, was von Microsoft direkt kommt, vollkommen aus. Alles andere behindert deinen Rechner mehr als es nutzt.

  8. 08

    @#817627: Johnny, nutzt Du etwa Windows? Wenn nicht, dann fürchte ich, dass der Trojaner, der das ausgespäht hat, in einem mobilen System untergebracht war.
    Wenn man eine eigene Domain hat, kann man sich übrigens auch mit Google Mail als Backend behelfen. Die Passworte der Mailboxen meiner eigenen Domains sind gut ausgewürfelt und versenkt und werden nie benutzt. Ich leite alles na Google Mail um und lass die Adressen unter volkerkoenig.de dann von gMail spoofen. Das Passwort von GMail ist mit zweifaktorieller Sicherheit abgesichert. Als Login bei verschiedenen Diensten hab ich separate Mailaliase schon zum Spamschutz – den ebay0@… kann ich dann um 1 hochzählen, wenn mal wieder ein Auktionspartner Spam verschickt. Für Passworte hab ich mehrere Muster, die jeweils um einen Teil des Dienst- bzw. Domainnamens erweitert werden. Selbst wenn ich irgendwo mein Google-Passwort benutzt haben sollte, weiß erstmal niemand, wie das Postfach dazu heißt und auch die, die es wissen, müssten mein Handy in die Finger bekommen, um sich mit dem Code aus dem Google Authenticator anzumelden.

  9. 09

    @#817630: @#817631: Ebenfalls Danke für Hinweise und Tipps! Und nee, ich nutze kein Windows.

  10. 10
    Sascha

    @#817632: dafür schon mal Daumen hoch ;-)

  11. 11

    Ein wichtiger Punkt ist neben unterschiedlichen Passwörtern, lange Passwörter zu verwenden. Die müssen gar nicht mal sinnlos oder kryptisch sein, aber eben lang, siehe dazu auch https://xkcd.com/936/

    Für Dienste, die ich nur einmalig nutzen will, dazu aber eine Mail-Adresse angeben muss, finde ich http://www.mailinator.com/ recht praktisch.

  12. 12

    Und wer glaubt dass ihm auf einem Mac ja nichts passieren kann und alle Attachments einfach wild anklickt lebt auch in cloud cuckoo land.

    Two step verification wurde ja schon erwaehnt. Fuer Google, Twitter usw meines Erachtens ein Muss.

  13. 13
    Hans

    Grundsätzlich habe ich eine ähnliche Strategie wie du. Allerdings verwende ich einen Passwortmanager um:
    a) komplexere Passworte zu generieren
    b) weitaus mehr Passwörter verwenden zu können

    Darüberhinaus würde ich mir an deiner Stelle dennoch etwas Sorgen machen. Soweit ich die Meldungen richtig verstanden habe, besagt ein positiver Bescheid auch, dass einer der von dir genutzten PC’s kompromitiert wurde und mit einer Schadsoftware versäucht ist. Über diese Schadsoftware wurde wohl deine Mailadresse und das zugehörige Passwort abgegriffen. Siehe auch: http://www.heise.de/newsticker/meldung/BSI-Mehrere-Millionen-Internet-Konten-durch-Botnetze-geknackt-2090167.html
    Zitat:
    „Hat der Test des BSI angeschlagen und wurde bestätigt, dass eine E-Mailadresse betroffen ist, dann sollten alle Rechner, die für die betroffenen Zugangsdaten und E-Mailkonten genutzt wurden, gereinigt werden.“

  14. 14

    @#817636: so einfach ist das nicht, siehe die FAQ (https://www.sicherheitstest.bsi.de/faq einzelne Fragen kann man anscheinend nicht verlinken, wer entwickelt solchen Mist bei sowas wichtigem?):

    „Woher haben Botnetzbetreiber meine E-Mail-Adresse und mein Passwort?
    In diesem konkreten Fall ist nicht genau nachvollziehbar, wie und wann die Botnetzbetreiber an Ihre E-Mail-Adresse und Ihr Passwort gelangt sind. Es ist nicht ausgeschlossen, dass der Botnetzbetreiber Ihre Daten von einem anderen Kriminellen gekauft hat.“

    Ebenso koennten die Botnetzbetreiber auch noch in andere Aktivitaeten involviert sein und verschiedene Online-Shops, Foren oder sonstwas gehackt haben. Komischerweise wird das in der Antwort nicht erwaehnt.

  15. 15

    In der Berichterstattung habe ich nicht herauslesen können, um welche Dienste es sich handelt. Es geht wohl nicht um die Zugänge zum E-Mail Konto, nicht wahr? Konntest du denn herausfinden, um welchen Dienst es ging? Warum lese ich darüber nichts in der Bericherstattung?

  16. 16

    @#817642: weil das keiner weiss, bzw das BSI das nicht herausgeben will. Alles was bekannt ist, ist das es sich um eine Liste von email/Passwort Kombinationen handelt. Das kann so ziemlich alles moegliche sein.

  17. 17

    Vielleicht können wir ja über alle eure Mithilfe was rauskriegen.

    An alle betroffenen:
    Welche Schadsoftware wurde nach einem Scan auf eurem Rechner gefunden? Wurde überhaupt etwas gefunden?
    Bei welchen großen Portalen wart ihr mit eurer E-Mail-Adresse angemeldet?
    Seit wie lange gibt es eure E-Mail-Adresse schon?
    Hat jemand schon Mißbrauch festgestellt? (verlorene E-Mails, Geldtransfer per Paypal, irgendwelche Käufe bei Amazon, E-Bay, …, sonstige Unregelmäßigkeiten)
    Sonstige statistische Daten.

    Vielleicht können wir die Quelle ja eingrenzen und sogar aufindig machen:

    Nun zu meiner Statistik:
    Meine E-Mail-Adresse steht auch in der Datenbank.
    Ich bin mit dieser E-Mail-Adresse (mit verschiedenen Passwörtern) angemeldet bei Facebook, Amazon, Google, Apple, Paypal, E-Bay, …

    Meine Adresse gibt es seit 2008.

    In meinem E-Mail-Programm frage ich 6 E-Mailkonten ab, von denen nur eins betroffen ist (über das E-Mail-Programm selbst scheinen die Daten also nicht abgefasst worden zu sein)

    Avira Scan läuft noch. Wenn ihr wollt, schicke ich euch noch die Ergebnisse

    Macht mit und schreibt eure Erfahrung! Was wisst ihr noch?

  18. 18

    @#817644: Bin ja eigentlich gerne dabei bei so etwas, aber wie willst du denn so das „Leck“ lokalisieren? Die Wahrscheinlichkeit, dass jetzt fünfhundert Leute sagen: „Hoppla, da fällt mir auf, dass am 23.12. mein GMX-Account nicht ging“, die ist ja doch recht klein …

  19. 19

    Aus Sicherheitsgründen würde ich übrigens niemals eine Software verwenden, die mir Passwörter generiert und die für mich speichert.

    Das erlaube ich nicht mal Apples Schlüsselbund.

  20. 20
    Lemmy

    Merke: im www. ist NICHTS sicher . NIE.
    Aber jemandem freiwillig seine gesamten web-adressen zu schicken
    hat schon was.

  21. 21

    @#817666: Mailadressen sind jetzt nicht so richtig geheim, weil sie ihren Sinn dann verlieren würden, oder? Oder wie meintest du das?

  22. 22
    Lemmy

    Zitat:
    Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze. Zu überprüfende E-Mail-Adresse (Bitte achten Sie auf die korrekte Schreibweise Ihrer E-Mail-Adresse):

    Hinweis: Sämtliche personenbezogene Daten, die bei Nutzung des Tests erhoben werden, werden vollständig gelöscht, sobald der Test abgeschlossen ist.

    Zitat Ende.

    Das soll man auf der „BSI-Sicherheitstest“-Seite eingeben.
    Klar . Wer´s glaubt…
    Ich meine einfach ganz polemisch: Wer seine persönlichen Daten beliebig im www verstreut und noch dazu bei einem Aufruf von dem man nicht ma weiss, ob die Gründe dafür überhaupt stimmen, braucht sich in keiner Weise über irgendwelche NSA-Machenschaften oder sonstwas derartiges aufzuregen.
    Ich weiss, dass ich damit hier am Thema vorbeischramme, aber das ist vielleicht nur mein Grundfrust über Leute, die meinen, mit 1000 Passwörtern oder ähnlichem wäre alles ganz supi-sicher.

  23. 23

    @#817669: Verschwörungstheorie, ick hör dich trapsen (oder so ähnlich)

  24. 24
    Wese

    Passwort kurz, Passwort lang, gutes Passwort, schlechtes Passwort – diese Diskussion geht mir schon lange voll auf Senkel. Die Strategie, die Johnny da oben beschreibt, nämlich unterschiedliche Accounts mit dem selben Passwort zu benutzen, finde ich auch „angemessen“.
    Viel, viel schlimmer sind Webseiten, die mir ihre Passwortpolitik aufzwingen und mich damit zwingen mir das Passwort _aufzuschreiben_, weil ich mir ums Verrecken nicht merken kann/will, ob bei denen jetzt mindestens eine Zahl und ein Großbuchstabe, aber kein Umlaut und kein Semikolon gefordert ist. Schon mal ein Konto bei der Bank of Scotland gehabt?
    Sowas führt dazu, das ich immer irgendwo eine Datei liegen habe, wo in schlecht verschleierter Form alle meine „total wichtigen“ Passwörter drin stehen. Wenn jemand mal mein echtes EMail-Konto cracken will, sollte er nach Mails mit dem Betreff „Muttis Telefonnummer“ schauen: eine der beiden Zahlen ist meine PIN.
    Ansonsten und im übrigen gilt:
    Dieses Internet ist so ähnlich wie normales Leben. Es kann Dir in der Fußgängerzone die Brieftasche geklaut werden und es kann immer jemand einen Brief an jemand anderen schreiben und Deine Adresse hinten drauf schreiben.

  25. 25
    andre

    So oder ähnlich entstehen meine passwörter:
    klausi+12345(zB:PLZ)=lncxwj oder kl12au34si51
    peter+sabine=pseatbeirnpe oder pesaterbine
    da brauch ich mir nur 3 Dinge merken(2x was & 1x wie),
    oder so gehts auch:
    – johnny ist ein prima kerl mit 1 tollen hompage=jiepkm1th oder ytnalt1ne –
    und wenn man „jiepkm1th“ und „ytnalt1ne“ genauso wie „peter+sabine“ behandelt, erhält man den totalen Buchstabensalat, den man aber jederzeit rekonstruieren kann.
    Das alles ist ausbaufähig und abwandelbar, jeder wie er denkt.
    Ansonsten habe ich solche Daten in einem Buch notiert, das irgendwo im Regal rumsteht.
    Wer völlig durchdreht könnte in allen anderen Büchern gefakte Daten schreiben.
    Ergebnis: keine elektronische Generierung oder Speicherung solche Daten meinerseits.