Schlagwort-Archiv: Datenklau

GMX BSI

Mail geklaut? Wir wissen es nicht. BSI und die Provider haben es verkackt.

Es bleibt kaum ein Monat aus, wo man Meldungen sieht, dass erneut E-Mail-Adressen in riesigen Dateien gefunden wurden, die aus irgendwelchen Quellen abgezogen wurden.

Diesmal hat wieder eine Staatsanwaltschaft auf einem Rechner eine solche Datei mit Mails und (irgendwelchen) Zugangsinformationen gefunden. Das BSI hat knapp eine Woche später den Adresspool in seine Datenbank eingepflegt und bietet den altbekannten Prüftest auf seiner Seite an.

Es gibt ein Update weiter unten…

Meine Prüfung

Auch ich habe erneut meine Mail-Adressen (trotz einiger Bedenken) dort eingegeben, weil nicht nur ich damit hantiere, sondern auch meine Familie. Dabei gilt aber bei uns, dass wir spezielle Adressen für Shops haben und auf keinen Fall die gleichen Kennwörter verwenden.

Wie schon im Januar konnte ich mich gestern glücklich schätzen, dass ich bei meinen knapp 25 verwendeten E-Mails keine Warnung vom BSI erhalten habe. Die Freude währte nicht lange. Um halb acht trudelte eine letzte Mail von GMX in meinen Client ein, dass mein Konto gesperrt würde und ich diesen mit einer Kennwortänderung wieder zugänglich machen könne.

Sicherheitssperre Ihres Postfachs

Lieber GMX Nutzer,

mit diesem Sicherheitshinweis möchten wir Sie über einen Fall von Identitätsdiebstahl informieren, von dem auch Sie betroffen sind. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden Zugangsdaten für Online-Dienste gekapert. Die Datensätze enthalten E-Mail-Adresse und Passwort, dies bedeutet jedoch nicht, dass lediglich E-Mail-Konten betroffen sind. Mithilfe des vom BSI eingerichteten Sicherheitstest unterhttps://www.sicherheitstest.bsi.de/, können Sie dies noch einmal verifizieren.

Etwas fassungslos änderte ich mein Kennwort und versuchte erneut (diesmal nur von GMX) die Mail-Adressen beim BSI einzugeben. Ich habe erneut keine Antwort-Nachricht vom BSI bekommen, dass einer meiner Adressen im abgezogenen Datenpool existieren würde.

Die Unsicherheit

Damit ist für mich die gesamte Prüfung von den “Providern” wie auch vom BSI für die Katz. Wenn ich (vermeintliche?) False-Positive habe, die nur auf der Grundlage eines Zeichenkettenvergleichs von Mail-Adressen schon ausschlagen; wenn das für mich NICHT erkennbar ist bei wem das Problem sitzt, kann ich mich auf gar nichts verlassen.

Das BSI schickt keine Mails, wenn die E-Mail nicht betroffen ist und GMX informiert nicht, welche Adresse im Datenpool gefunden wurde. Das ist doch FUD vom feinsten.

Jetzt gibt eine Liste des Zweifels, was schief gelaufen sein kann:

  1. Das BSI hat ein Mailversendeproblem
  2. Das BSI kann die eigene Datenbank nicht korrekt prüfen
  3. GMX kann die von der BSI gestellten Daten nicht richtig prüfen
  4. GMX prüft gar nicht und verschickt Sperrmeldungen
  5. Ich habe auf mind. einer der Mailadressen ein Problem oder nicht
  6. GMX hat meine Kundennummer in der Datei gefunden (mit der man sich auch anmelden kann)
  7. GMX hat eine Mail im Pool gefunden, die ich schon bei GMX gelöscht habe.

Wenn Punkt 1 und 2 fehlgeschlagen sind, gibt es ein riesiges Problem. Denn nicht alle Mail-Provider erhalten Möglichkeit der separaten Prüfung. Wer also einen eigenen Mailserver betreibt oder bei einem kleineren Provider ist, würde nun anhand der fehlenden Bestätigung des BSI annehmen es würde kein Problem geben.

Bei Punkt 3, 4 und 5 hat man zumindest eine große Verunsicherung und wird natürlich (trotz Zweifel) sein Mailkonto mit neuem Kennwort versehen und die tausende von Empfehlungen durchackern. Ggf. nichts für wieder nichts.

Auf Punkt 6 wurde ich später Aufmerksam gemacht. Aber man kann kaum was dazu sagen, da nicht öffentlich bekannt ist wie die Daten aufgebaut sind. Zudem verwende ich die Kundennummer natürlich nicht als Benutzername in Online-Shops. Auch habe ich die Nummer nur zu Anfängen GMX mal genutzt – das ist schon wirklich mehr als 10 Jahre her. Das würde bedeuten, dass entweder GMX als Provider kompromittiert war oder einer meiner PCs (z.B. durch Auslesen meiner Mails, die ich von GMX erhalten hatte). Unabhängig davon, dass ich nie einen Trojaner oder Virus fand so lange ich bei GMX bin, spricht eines gegen diese Theorie: Meine anderen Mail-Accounts (über 10 an der Zahl) hätten ebenfalls (und das viel einfacher) abgezogen werden können. Nur zu denen bekam ich vom BSI ebenfalls keine Warnung (womit wir wieder beim Punkt 1 und 2 wären).

Punkt 7 wäre eventuell auch die Lösung zu dem Problem, dass das BSI mir nichts zustellt, zu dem ich nichts anfragen kann. Da GMX mir keine Info gibt, welche Adresse das ist, stehe ich da auf dem Schlauch.

UPDATE: Ich habe beim GMX Technik-Support angerufen und konnte bestätigen lassen, dass eine Adresse bei GMX als gelöscht markiert wurde. Diese Adresse habe ich am 10.12. letzten Jahres löschen lassen und wird damit 6 Monate zur Wiederverwendung gesperrt. Das Problem ist nur, dass ich diese beim BSI nicht testen kann…

trenner

Das eigentliche Problem ist die Geheimniskrämerei

Ich und vermutlich viele andere hängen nun in einem Informationsloch der Unwissenheit was nun wirklich passiert sein mag.

Weder die Staatsanwaltschaft in Verden, noch das BSI und auch nicht die großen Provider informieren wie die Struktur der Daten aufgebaut sind. Weder beispielsweise noch im tatsächlichen Fall der Kompromittierung. Wenn GMX nicht mal in dem Schreiben angibt, welche Mail-Adresse gefunden sein mag (oder meinetwegen die Kundennummer), dann habe ich persönlich keine Möglichkeit auch nur ansatzweise vernünftige Gegenmaßnahmen durchzuführen. Sogar die Änderung des Kennwortes ist nutzlos, wenn ich für den Mail-Abruf ein anderes verwende, als für irgendwelche Shop-Logins oder im Social Media.

Was alles passiert sein kann:

  1. Mail-Adresse mit Kennwort (Auth-Daten) wurden auf einer schlecht gehosteten Seite (Shop, Forum, Social Media, Mail-Provider) abgezogen
  2. Auth-Daten wurden von dubiosen Betreibern / Mitarbeitern verkauft/verschenkt
  3. Auth-Daten wurden per Brute-Force bei Diensten abgegriffen
  4. Auth-Daten wurden vom eigenen PC abgezogen (Trojaner, Logger, Browser-Hack, Mail-Client, Phishing)

Alle vier Punkte erfordern zunächst das Ändern der Authentifizierungsdaten, darauf hin aber sehr unterschiedliche Vorgehensweisen, um weitere Probleme zu verhindern. Gerade Punkt 4 kann noch viel schlimmeres bedeuten, als nur den illegalen Zugriff auf eigene Mail-Account-Daten. Ggf. ist noch viel mehr kompromittiert.

Bei Punkt 1 muss man wissen, wo das Problem aufgetaucht ist. Wenn man, wie ich, unterschiedliche Mailadressen für verschiedene Dienste und Personen nutzt, kann man so gezielt weitere Angriffe verhindern. Ist das vom BSI nicht gewollt?

Punkt 1 und 2 kann ja bei den Mail-Providern passiert sein. Diese erhalten nun vom BSI Zugriff auf die abgezogenen Mailadressen. Kann man erwarten, dass ein kommerziell geführtes Unternehmen seine Informationspolitik derart gestaltet, dass sie zugeben selbst die Ursache zu sein? Ich habe da meine großen Zweifel. Besonders wenn es um GMX oder Web.de geht, die in Vergangenheit selbst mit FUD-Mittel gearbeitet hatten.

trenner

Fazit

Das BSI geht mit den Mail-Providern eine unheilige Allianz der Sicherheitsexperten ein, die auf der Basis Security by Obscurity arbeiten. Denn sie versuchen den Bestand der abgezogenen Daten zu verheimlichen, um angeblich weiteren Missbrauch zu verhindern. Nur machen sie es damit schlimmer: Es wird eine schnelle Aufklärung der Quellen verhindert. Evtl. ursächliche Schuldige bei Mail-Hostern können verschleiern. Weitere vergangene Angriffe können nicht erkannt werden, weil man als Betroffener dumm gehalten wird.

Darüber hinaus scheint es ein massives handwerkliche Problem zu geben, wenn GMX die Konten seiner Nutzer auf einer Datenbasis sperrt, die angeblich auch das BSI hat. Nur erhält man unterschiedliche Ergebnisse, prüft man das selber.

UPDATE: Wenn es sich um meine einzige gelöschte Mail-Adresse handeln sollte, gibt es immer noch ein “handwerkliches” Problem. Denn diese lässt sich über die BSI Sicherheitsseite nicht testen, eine Warn-Mail würde bei mir nicht ankommen. GMX kann mir übrigens nicht mitteilen, welche Adresse tatsächlich der Trigger für die Sperre war. Laut Auskunft der Technik wird die problematische Adresse nicht gespeichert, nur der Hinweis weswegen gesperrt wurde: Der BSI-Datenpool. Soweit war ich auch schon.

Es bleibt ein sehr ungutes Gefühl, dass ein ganzes Sicherheitsministerium mit der Sache überfordert ist. Die Betroffenen (wenn sie es denn wissen) werden dabei allein gelassen.