“Microsoft kündigt Meldestelle für gestohlene Zugangsdaten an” (heise.de)

Die Meldestelle Internet Fraud Alert soll als zentraler Anlaufpunkt für Sicherheitsspezialisten, Internet Provider, Behörden und andere gelten, um im Internet gefundene, abgephishte Zugangsdaten von Anwendern zu melden.

“Innenministerium legt Studie zum Identitätsdiebstahl vor” (heise.de)

Das Bundesministerium des Innern (BMI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben eine Studie zum Identitätsdiebstahl und -missbrauch im Internet veröffentlicht.

Hier nur ein Zitat aus der mehr als 400 Seiten starken Studie:

Nutzung fremder E-Mail-Accounts
Der Zugang zu E-Mail-Accounts ist in der Regel durch Nutzername/Passwort geschützt. Durch Phishing-Angriffe kann sich somit ein Unbefugter Zugang zu diesen Accounts verschaffen, und sie z. B. zum Versenden von SPAM E-Mails benutzen.

(Quantität != Qualität)


Wer auf Phishing (de.wikipedia.org) reingefallen ist und dies irgendwann bemerkt, der hat evtl. noch Beweise für die Tat des Kriminellen. Um an Zugangsdaten für einen E-Mail-Account zu kommen braucht es aber kein Phishing, eine Findmaschine und ein MD5-Cracker reichen aus. Bei dieser Herangehensweise wird ein Opfer erst relativ spät, wenn überhaupt, bemerkten, dass der E-Mail-Account oder auch andere genutzte Dienste einen Mitbenutzer haben.

Mit der richtigen Query lassen sich viele SQL-Dumps im Netz finden. Dies können Backups sein oder auch Überbleibsel des letzten Serverumzugs. Auch einfach vergessene, mittlerweile ungenutzte, alte Systeme können noch immer brauchbare, also funktionierende, Zugangsdaten enthalten.

Da nach wie vor viele, sogar sehr viele Systeme ungesalzene MD5-Hashs der Passworte in der Datenbank speichern, können einfache Passworte auch sehr leicht geknackt werden. Je nach SQL-Dump kann die Erfolgsquote für das Cracken der Hashs mehr als 95% betragen.

Viele User verwenden ein und dasselbe Passwort für die verschiedensten Dienste. Mit nur einem geknackten Passwort hat der Kriminelle u.U. vielfache Zugriffsmöglichkeiten, auf E-Mail, eBay, PayPal, Twitter, Facebook, etc. Um so mehr Dienste ein User benutzt, um so weniger wird er überall ein anderes Passwort vergeben wollen, einfach weil ihm dies lästig ist.

Für verschiedene Dienste auch verschiedene Passworte zu nutzen ist genauso lästig wie:

• Updates für das Betriebssystem und
• andere Software einzuspielen,
• regelmäßige Backups der eigenen Daten zu erstellen,
• die Signaturen für den Virenscanner, sofern überhaupt einer installiert ist, zu aktualisieren oder auch
• Passworte immer wieder mal zu ändern.

User die beispielsweise viele der von Google angebotenen Dienste in einem Account nutzen, sind für einen Kriminellen eine wahre Freude. Er kann mit dem Zugang nicht nur die fremden E-Mails lesen, sondern evtl. auch Texte und Tabellen, den gesamten Datenbestand und die Kommunikation einsehen. Für den Kriminellen sind User die all ihre geschäftlichen Aktivitäten im Google-Account verwalten sehr interessant. Nutzt der Kriminelle die gewonnenen Daten geschickt, wird das Opfer den heimlichen Fan wahrscheinlich niemals bemerken. Nur plumpe Eierdiebe werden anfangen über einen geknackten Google-Account Spam zu versenden, um damit in kürzester Zeit aufzufliegen.


Ich behaupte: Viele Opfer von Cyberkriminellen wissen gar nicht dass sie bereits Opfer sind.

In der alten, realen Welt wurde wahrscheinlich jeder von uns schon einmal bestohlen, sei es nun der Bleistiftanspitzer in der Grundschule oder das Auto während des letzten Urlaubs. Jedes Mal wurde etwas gestohlen was auch wirklich weg war, was real nur einmal existiert und deren Diebstahl erkannt werden kann. Wenn von Datendiebstahl die Rede ist, dann ist dies etwas vollkommen anderes, weshalb ich diese Bezeichnung schon für irreführend halte.

Den Diebstahl von Daten frühzeitig zu erkennen ist sehr schwer, bis unmöglich, denn es kommt nichts weg in der digitalen Welt, es wird sogar noch etwas hinzugefügt — der Dieb macht sich seine Arbeitskopie.

Wenn bekannt wird das Daten unberechtigt kopiert wurden, dann beeilen sich die für den Murks verantwortlichen Firmen zu beteuern, dass es keinen Missbrauch der Daten gab, obwohl sie dies nicht wissen und auch gar nicht wissen können. Dies PR-Sprech ist so vorhersehbar wie das: “Zu keinem Zeitpunkt bestand eine Gefährdung der Bevölkerung.” wenn mal wieder aufgefallen ist, dass irgendwo eine Atomanlage durch die Gegend strahlt (wahrscheinlich aus Freude über die langen Laufzeiten).


Wann bemerkt ein User dass seine Zugangsdaten nicht nur von ihm genutzt werden?

• Wenn Rechnungen ins Haus flattern, für Ware die er weder selber bestellt noch erhalten hat.
• Wenn Freunde sich beschweren, dass man ihnen Malware geschickt hat.
• Wenn der Provider den Mail-Hahn abdreht, weil zu viel Spam versendet wurde.
• etc. etc.

Verhält sich der Kriminelle aber ruhig und liest einfach nur die E-Mails des geknackten Accounts mit, wird das Opfer kaum Verdacht schöpfen. Viele Dienste senden nach der Registrierung eine E-Mail als Bestätigung, in der auch das gewählte Passwort enthalten ist. Der Mitleser kann auch in diese Dienste leicht einbrechen, wenn ausschließlich ein Webmailer benutzt wird.


Gegen Zugriffe durch Kriminelle hilft u.a. die Beachtung der folgenden Punkte:

• Gehirn einschalten!
  (Jetzt wird der eine oder anderer lachen oder mit dem Kopf schütteln. Wenn man sich allerdings anschaut wie schnell neue, unbekannte, nicht per se vertrauenswürdige Dienste eine große Anzahl von Neuregistrierungen generieren, ist dieser Hinweis schon berechtigt.)
• “Kostenlos” bedeutet nicht dass ein Dienst nichts kostet, sondern i.d.R. nur dass kein Geld bezahlt werden muss. Facebook z.B. kostet kein Geld, ist aber nicht kostenlos. Hier wird mit den persönlichen Daten, der Aufmerksamkeit oder auch dem Hochladen oder Erstellen von Content bezahlt.
• Es sollten Passworte vergeben werden.
  12345 ist kein Passwort.
  Martin89 ist ebenfalls kein Passwort.
  F6.299%.4[s]Hk wäre ein Passwort, ist aber jetzt durch die Veröffentlichung verbrannt.
• Für jeden Dienst ein eigenes Passwort vergeben.
• Passworte mehrmals im Jahr ändern.
• Zugangsdaten eines Dienstes niemals einem anderen Dienst zur Verfügung stellen.
• Immer mit der Unfähigkeit der Betreiber einer Website rechnen und sich niemals auf deren Beteuerungen zur eigenen Verschwiegenheit verlassen.
• Gespeicherte Daten können und werden missbraucht, also nur die nötigsten Daten angeben und ggf. Fakedaten verwenden.
• Dienste die unverhältnismäßig viele Daten fordern, sollten gemieden werden. Verhältnismäßig ist das was für den Betrieb eines Dienstes erforderlich ist. Beispielsweise die Forderung nach der vollständigen Postanschrift für die Registrierung zu einem Newsletter ist vollkommen überzogen und abzulehnen.

Soll ich jetzt jeden SQL-Dump melden?

@Kleinweich: Benutzt einfach selber die Findmaschine Nr. 1 — nein ich meinte jetzt nicht Bing, das ist eine Suchmaschine. ;O)