Häufige Fragen

1. Bereits im Januar habe ich Medienberichte zu einem Sicherheitstest des BSI verfolgt. Gibt es nun einen neuen Vorfall?

Ja, es gibt einen neuen Vorfall. Das BSI hatte im Januar 2014 auf einen Fall von Identitätsdiebstahl aufmerksam gemacht und den Bürgerinnen und Bürgern die Möglichkeit geboten, über die Webseite www.sicherheitstest.bsi.de zu überprüfen, ob sie von dem Identitätsdiebstahl betroffen waren. Am 7. April 2014 hat das BSI angesichts eines erneuten Falles von großflächigem Identitätsdiebstahl betroffene Bürgerinnen und Bürger in Deutschland informiert. Die Staatsanwaltschaft Verden (Aller) hat dem BSI einen Datensatz mit mehreren Millionen E-Mail-Adressen zur Verfügung gestellt, um die Betroffenen zu informieren. Die Inhaber der E-Mail-Adressen werden vom BSI in Zusammenarbeit mit einigen Online-Dienstleistern informiert.

Die Information der Betroffenen in Deutschland erfolgt in einem zweigeteilten Verfahren unter Beteiligung der Online-Dienstleister Deutsche Telekom / T-Online, Freenet, gmx.de, Kabel Deutschland, Vodafone, und web.de. Diese Dienstleister informieren im Rahmen ihrer bestehenden Kundenbeziehungen ihre jeweiligen Kunden. Hierbei handelt es sich um ein etabliertes Standardverfahren zur Warnung vor IT-Risiken, mit dem im vorliegenden Fall bereits rund drei Viertel der Betroffenen in Deutschland abgedeckt werden können. Diejenigen Betroffenen, die entweder bei anderen Dienstleistern E-Mail-Konten haben oder eigene Mail-Server betreiben, können ihre E-Mail-Adressen auf der Internetseite www.sicherheitstest.bsi.de überprüfen, ob diese Bestandteil des Datenfundes aus dem Ermittlungsverfahren der Staatsanwaltschaft Verden (Aller) sind.

2. Woher hat das BSI meine E-Mail-Adresse?

Die E-Mail-Adressen wurden von der Staatsanwaltschaft Verden (Aller) im Rahmen eines Ermittlungsverfahrens entdeckt und dem BSI übergeben, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können.

Nach der jetzigen Erkenntnislage haben Online-Kriminelle Ihre Daten entwendet, um damit wiederum kriminelle Handlungen im Internet zu begehen. Dies kann beispielsweise der Versand von SPAM-Mails über Ihre E-Mail-Adresse sein oder die Durchführung von Online-Transaktionen in Ihrem Namen. Das Gefahrenpotenzial hängt im Einzelfall unter anderem davon ab, wofür die Nutzerdaten (E-Mail-Adresse plus Passwort) eingesetzt wurden. Viele Internetnutzer verwenden ihre E-Mail-Adresse beispielsweise auch für Benutzerkonten bei Internetdiensten wie Online-Shops oder Sozialen Netzwerken. Entsprechend können die Online-Kriminellen dann auch hier in Ihrem Namen kommunizieren, Einkäufe tätigen, Ihre persönlichen Angaben ändern oder ähnliches ohne Ihr Einverständnis tun.

Bei dieser Form der Internetkriminalität spricht man von Identitätsdiebstahl. Das Phänomen ist weit verbreitet und betrifft jährlich allein in Deutschland Tausende von Internetnutzern.

3. Was ist Identitätsdiebstahl?

Viele Menschen bewegen sich heutzutage ganz selbstverständlich im Internet. Viele Online-Angebote kann man anonym nutzen, immer mehr Online-Dienste jedoch bedürfen einer Registrierung oder Anmeldung. Wer sich in Foren, Chats oder Sozialen Netzwerken austauschen möchte, wer Kunde bei einem Online-Shop werden will, muss sich eine digitale Identität zulegen, um die die jeweiligen Angebote zu nutzen. Die digitale Identität repräsentiert also eine reale Person in der digitalen Online-Welt. Die digitale Identität kann zum Beispiel anhand folgender Informationen ausgemacht werden:

  • Nutzername und Passwort
  • Bank- oder Kreditkarteninformationen
  • PIN-TAN-Kombinationen
  • E-Mail-Adressen
  • Zertifikate

Verschafft sich ein Täter Zugang zu solchen Daten, so spricht man von Identitätsdiebstahl. Das Phänomen ist weit verbreitet und betrifft jährlich allein in Deutschland tausende von Internetnutzern.

4. Woher haben Online-Kriminelle meine E-Mail-Adresse und mein Passwort?

In der Regel gelangen die Online-Kriminellen an fremde digitale Identitäten, indem Sie PCs mit Schadsoftware infizieren und so zum Beispiel die Eingaben auf der Tastatur und damit auch Zugangsdaten zu Online-Diensten, Anmeldeinformationen oder Kontodaten mitlesen können. Um möglichst viele Rechner von Privatanwendern zu erreichen, werden Schadprogramme meist über E-Mails oder manipulierte Webseiten verteilt. Zur Installation werden Schwachstellen auf dem Rechner des Anwenders ausgenutzt.

Die Infektion des PCs mit Schadsoftware geht häufig nicht nur mit einem Identitätsdiebstahl einher sondern bewirkt auch, dass der Rechner zum Teil eines Botnetzes wird. Mit dem Begriff „Bot“ ist dabei ein Schadprogramm gemeint, welches einem Angreifer die Fernsteuerung des infizierten Rechners ermöglicht. Von Botnetzen spricht man, wenn sehr viele PCs – meist mehrere Tausend – per Fernsteuerung zusammengeschlossen werden. Botnetze werden dazu eingesetzt, vertrauliche Daten wie Passwörter, Online-Banking-Daten oder Geschäftsinformationen zu stehlen. Botnetze dienen auch dazu, verteilte Angriffe auf die Verfügbarkeit von Internetsystemen (sogenannte Distributed Denial of Service Angriffe oder kurz DDoS) durchzuführen. Aufgrund ihrer vielfältigen Einsatzmöglichkeiten und der wirtschaftlich motivierten kriminellen Energie, welche die Täter aufbringen, stellen Botnetze derzeit eine der größten Gefahren im Internet dar.

Auch über gefälschte oder manipulierte Internetseiten oder über Phishing-Angriffe mit gefälschten E-Mails können die Daten in falsche Hände gelangen und Identitäten gestohlen werden. Eine Phishing-E-Mail gibt vor, von einem vertrauenswürdigen Absender (z. B. einer Bank) zu stammen. Der Empfänger wird stets gebeten, über einen Link oder ein Formular vertrauliche Daten wie z. B. die Kreditkartennummer, Kontodaten, Adressen oder Passwörter einzugeben, die vom Absender dann genutzt werden, um den Empfänger zu schädigen.

Weitere Möglichkeiten sind ein öffentliche zugänglicher PC, den Sie beispielsweise in einem Internet-Café nutzen. Auch bei Nutzung eines ungesicherten WLANs (z.B. WLAN-Hotspot) ist ein Abgriff persönlicher Daten möglich.
Der Diebstahl einer E-Mail-Adresse muss nicht unbedingt bei der Nutzung des E-Mail-Accounts erfolgen. Dies kann auch bei der Nutzung eines Online-Shops erfolgen, wenn dort als Benutzername die E-Mail-Adresse verlangt wird. E-Mail-Adressen werden häufig auch zur Anmeldung bei Web-Diensten wie Online-Shops oder Sozialen Netzwerken verwendet. Bei den gefundenen Adressen kann es sich daher neben den Zugangsdaten für den Mail-Account auch um Zugangskennwörter zu anderen Internet-Diensten handeln.

5. Wann wurden meine Daten abgegriffen?

Die E-Mail-Adressen wurde von der Staatsanwaltschaft Verden (Aller) im Rahmen eines Ermittlungsverfahrens entdeckt und dem BSI übergeben, damit Betroffene informiert werden und erforderliche Schutzmaßnahmen treffen können. Wann die Daten entwendet wurden, ist nachträglich nicht mehr feststellbar.

6. Wie prüfe ich, ob ich betroffen bin?

Nutzer, die von dem im April 2014 aufgedeckten Datendiebstahl betroffen sind und ihr E-Mail-Konto bei den E-Mail-Providern Deutsche Telekom / t-online, Freenet, gmx.de, Kabel Deutschland, Vodafone oder web.de haben, werden von diesen Providern direkt informiert.

Kunden anderer Provider und Internetnutzer mit eigenem E-Mail-Hosting können auf der Webseite www.sicherheitstest.bsi.de Ihre E-Mail-Adresse überprüfen. Sollten Sie betroffen sein, so erhalten Sie kurz darauf eine E-Mail an die eingegebene Adresse. Im Betreff dieser E-Mail wird der vierstellige Betreff-Code angegeben, der Ihnen nach Angabe Ihrer E-Mail-Adresse auf der Webseite angezeigt wurde. Mithilfe dieses Codes können Sie auch ohne Öffnung der E-Mail sicherstellen, dass es sich tatsächlich um die Antwortmail auf Ihre Anfrage handelt. Des Weiteren wird die Antwort-E-Mail des BSI mittels OpenPGP digital signiert.

Wenn Sie nicht betroffen sind, erhalten Sie KEINE Benachrichtigung per E-Mail! Auch auf der Webseite selbst wird keine entsprechende Information gegeben.

Auf der Webseite www.sicherheitstest.bsi.de können auch die Kunden der E-Mail-Provider Deutsche Telekom / t-online, Freenet, gmx.de,Kabel Deutschland, Vodafone oder web.de, die direkt von den Providern informiert werden, zusätzlich ihre E-Mail-Adressen überprüfen.

Alle eingegebenen Daten, insbesondere die E-Mail-Adresse, werden nach der Prüfung unverzüglich gelöscht. Eine Speicherung der Daten nach Abschluss der Anfrage erfolgt nicht (siehe auch Datenschutzerklärung).

7. Warum muss ich ein sogenanntes Captcha eingeben?

In der Regel ist die Nutzung des Webdienstes ohne Captcha möglich. Die Eingabe ist notwendig, wenn von Ihrer Internetadresse aus der Dienst häufig genutzt wird. Dies kann auch der Fall sein, wenn Ihr Rechner in einem Firmennetzwerk über einen Proxy auf das Internet zugreift oder die Ihnen vom Internetprovider zugewiesene Internetadresse bereits vorher von einem anderen Kunden für Abfragen genutzt wurde. Dieses Verfahren soll den Missbrauch durch automatisierte Abfragen verhindern, so dass der Webdienst nicht für den Versand von SPAM missbraucht werden kann. Captchas sind so aufgebaut, dass diese automatisiert nicht ohne weiteres gelöst werden können, für Menschen jedoch einfach zu lösen sind. Die Einblendung eines Captchas bei diesem Dienst ist kein Indiz dafür, dass Ihr Rechner infiziert ist.

8. Wie lange muss ich auf eine Antwortmail warten?

Eine Rückmeldung per E-Mail erhalten Sie nur, wenn Ihre E-Mail-Adresse von dem Identitätsdiebstahl betroffen ist. Abhängig von der Auslastung aller beteiligten Mailserver, über die Ihre Mail zugestellt wird, erfolgt die Rückmeldung in der Regel innerhalb von wenigen Minuten, spätestens nach einigen Stunden.

9. Warum erhalte ich keine Antwortmail, wenn ich nicht betroffen bin?

Da wir eine Dienstleistung implementiert haben, die jeder anonym in Anspruch nehmen kann, ist leider nicht zu verhindern, dass jemand beliebige E-Mail-Adressen zur Überprüfung eingibt, die nicht seine eigenen sind. Würden auch im Falle der Nicht-Betroffenheit Antwortmails verschickt, bekämen auch nicht betroffene Bürger die Antwortmails, obwohl sie den Dienst nicht selbst in Anspruch genommen haben.

10. Falls ich den Sicherheitstest auf www.sicherheitstest.bsi.de durchgeführt, jedoch keine E-Mail vom BSI erhalten habe, bedeutet dies dann, dass ich kein Opfer von Identitätsdiebstahl geworden bin und mein Rechner frei von Schadsoftware ist?

Nein, leider bedeutet es das nicht. Sollten Sie den Sicherheitstest durchführen und im Anschluss keine E-Mail vom BSI erhalten, so bedeutet dies, dass Ihre E-Mail-Adresse, die sie mit diesem Test prüfen ließen, nicht zu denjenigen Daten gehört, die dem BSI zu konkreten vorliegenden Fällen zur Verfügung gestellt wurden. Da über das Internet jedoch permanent Identitätsdiebstähle stattfinden und zahlreiche weitere Botnetze betrieben werden, die illegal Daten abgreifen, ist es durchaus möglich, dass sich Ihre E-Mail-Adresse z.B. in einer anderen, dem BSI unbekannten Sammlung, die von Identitätsdieben angelegt wurde, befindet bzw. Ihr Rechner anderweitig mit Schadprogrammen infiziert ist.

Falls Sie also keine E-Mail vom BSI erhalten, heißt dass nur, dass Ihre E-Mail-Adresse von diesem aktuellen Identitätsdiebstahl nicht betroffen ist. Es ist keine Garantie dafür, dass die von Ihnen benutzten Rechner oder Ihre Online-Konten sicher sind. Daher sollten Sie stets die unter 12 Empfehlungen beschriebenen grundlegenden Sicherheitsregeln beachten.

11. Wie sind die Nutzungsbedingungen?

Sie sind damit einverstanden, dass personenbezogene Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Missbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Sie bestätigen, dass Sie das Angebot auf dieser Webseite ausschließlich unter Angabe Ihrer eigenen E-Mail-Adresse(n) nutzen.

Eine Speicherung der E-Mail-Adresse nach Abschluss der Abfrage erfolgt nicht. Aus der eingegebenen E-Mail-Adresse wird im Rahmen des Überprüfungsverfahrens ein sogenannter Hash-Code generiert. Mithilfe dieses Hash-Codes lässt sich feststellen, ob Ihre E-Mail-Adresse betroffen ist. Sofern dies der Fall ist, wird die E-Mail-Adresse als Empfängeradresse der generierten Antwortmail genutzt und sofort danach auf dem Webserver gelöscht. Sind Sie nicht betroffen, wird die E-Mail-Adresse direkt nach Feststellung der Nicht-Betroffenheit gelöscht.

12. Ich bin leider auch betroffen, was soll ich tun?

Es ist nicht mehr nachzuvollziehen, wie die Online-Kriminellen an diese Zugangsdaten und damit an Ihre digitale Identität gelangt sind. Es besteht jedoch die Möglichkeit, dass sie sich Zugriff auf Ihren Computer verschafft haben, indem sie diesen mit einer Schadsoftware infiziert haben. Es ist nicht auszuschließen, dass diese Schadsoftware auch zu anderen Zwecken genutzt wird, etwa zur Ausspähung weiterer Daten auf Ihrem Computer oder zur Manipulation von Online-Transaktionen, die Sie bei Online-Shops oder im Rahmen des Online-Bankings durchführen. Das BSI empfiehlt betroffenen Anwendern daher, grundsätzlich alle genutzten Computer auf Befall mit Schadsoftware zu überprüfen und alle Passwörter zu ändern, die Sie für Ihren Mail-Account und andere Benutzerkonten bei Online-Shops, Sozialen Netzwerken oder anderen Internetdiensten nutzen. Wichtig: Überprüfen Sie zuerst Ihren Rechner und ändern Sie danach Ihre Passwörter! Andernfalls kann eine eventuelle Schadsoftware auch die neuen Passwörter mitlesen.

Achten Sie bei der Änderung darauf, dass Sie ein möglichst sicheres Passwort wählen und nicht für jeden Dienst das gleiche Passwort nutzen. Empfehlungen hierzu gibt das BSI unter www.bsi-fuer-buerger.de/Passwoerter Zur Prüfung auf Schadsoftwarebefall gibt es eine Reihe von Virenschutzprogrammen. In den Empfehlungen des BSI zur sicheren Konfiguration von Windows-PCs ist eine Auswahl an geeigneten Virenschutzprogrammen aufgeführt.

Auch der Avira PC-Cleaner eignet sich für einen Schnelltest auf Schadsoftwarebefall, ersetzt jedoch kein vollwertiges Virenschutzprogramm.

Um generell zu verhindern, dass Schadsoftware auf Ihren Rechner gelangen kann, beachten Sie bitte die Hinweise und Empfehlungen des BSI unter 12 Sicherheitstipps.

13. Wie ändere ich mein Passwort?

Hierzu finden Sie nachfolgend eine Auswahl von Anleitungen für die meist verbreiteten Online-Dienste (in alphabetischer Reihenfolge). Bevor Sie das Kennwort ändern, müssen Sie sich bei dem entsprechenden Dienst in der Regel anmelden.

14. Ich habe mein Passwort vergessen. Wie setze ich es zurück?

Hierzu finden Sie nachfolgend eine Auswahl von Anleitungen für die meist verbreiteten Online-Dienste (in alphabetischer Reihenfolge).

15. Reicht es, das Passwort zu wechseln?

Bevor Sie Ihre Passwörter ändern, sollten Sie Ihren Computer auf Befall mit Schadsoftware untersuchen und ggf. bereinigen. Hierzu können Sie ein Virenschutzprogramm benutzen. Der Avira PC-Cleaner eignet sich für einen zusätzlichen Schnelltest auf Schadsoftwarebefall, ersetzt jedoch kein vollwertiges Virenschutzprogramm. Danach sollten Sie die Passwörter ändern, die Sie für Ihre Benutzerkonten bei Online Shops, Sozialen Netzwerken, Foren oder für Ihr E-Mail-Account nutzen. Darüber hinaus sollten Sie in Zukunft die Empfehlungen www.bsi-fuer-buerger.de/SicherSurfen des BSI zum sicheren Internet-Surfen beachten.

16. Was passiert, wenn meine E-Mail-Adresse nicht mehr existiert, ich sie aber noch als Benutzername bei einem Online-Dienst nutze?

In diesem Fall ist eine Benachrichtigung nicht möglich. Grundsätzlich raten wir davon ab, eine nicht existierende E-Mail-Adresse als Benutzernamen bei einem Online-Konto zu verwenden. Gerade, wenn der Diensteanbieter eine mit der E-Mail-Adresse verknüpfte Passwort-Zurücksetzungsfunktion anbietet, könnte jemand die betroffene E-Mail-Adresse selber registrieren und mittels der Passwort-Zurücksetzungsfunktion das Konto übernehmen.

17. Warum bekomme ich eine Warnung, obwohl ich diesen Dienst nicht genutzt habe?

Nutzer, die von dem im April 2014 aufgedeckten Identitätsdiebstahl betroffen sind und ihr E-Mail-Konto bei den Providern Deutsche Telekom / t-online, Freenet, gmx.de, Kabel Deutschland, Vodafone oder web.de haben, werden über ihren E-Mail-Provider informiert. Sollten Sie Zweifel an der Echtheit einer bei Ihnen eingetroffenen Mail haben, empfehlen wir die manuelle Überprüfung Ihrer E-Mail-Adresse mit dem BSI-Sicherheitstest.

18. Ich war von dem im Januar gemeldeten Datenklau betroffen. Wenn ich jetzt meine Daten erneut auf sicherheitstest.bsi.de eingebe und eine positive Meldung bekomme, heißt das, ich bin erneut betroffen?

Ja. Die E-Mail-Adressen der bereits im Rahmen des ersten Falls (Januar 2014) benachrichtigten Betroffenen wurden mittlerweile aus dem Sicherheitstest entfernt. Wenn Sie nun erneut testen und wiederum eine Nachricht vom BSI bekommen, sind Ihre Daten auch im neuen Datensatz (April 2014) enthalten gewesen und Sie sollten die empfohlenen Sicherheitsmaßnahmen erneut umsetzen.

19. Was sind PGP, OpenPGP, GnuPG und GPG?

PGP "Pretty Good Privacy“ ist eine Verschlüsselungs-Software, die Public-Key-Verfahren für die digitale Signatur und die Verschlüsselung verwendet. Sie eignet sich zum Ver- und Entschlüsseln sowie Signieren von Daten und E-Mails. Mehr Informationen zur Verschlüsselung von E-Mails sind unter www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Verschluesseltkommunizieren/verschluesselt_kommunizieren_node.html abrufbar.

OpenPGP ist ein offener Internet-Standard für verschlüsselte und signierte Daten auf Basis von PGP. GnuPG bzw. GPG (siehe www.gnupg.org) ist eine freie Implementierung des OpenPGP-Standards.

Die Antwort-E-Mail des BSI wird mithilfe von OpenPGP digital signiert und kann somit zusätzlich als authentisch erkannt werden.

20. Warum ist die E-Mail des BSI mittels OpenPGP signiert?

Sofern die auf der Webseite www.sicherheitstest.bsi.de angegebene E-Mail-Adresse betroffen ist, erhalten Sie die Antwortmail unverschlüsselt, jedoch mit einer Signatur des BSI. Diese können Sie mit dem entsprechenden GnuPG-Mail-Plugin auf Authentizität prüfen und so sicherstellen, dass die E-Mail auch tatsächlich vom Dienst www.sicherheitstest.bsi.de gesendet wurde. Der öffentliche Schlüssel ist unter der Webseite Unser GPG-Zertifikat verfügbar. Sie benötigen in der Regel für Ihr E-Mail-Programm ein Plugin, um die OpenPGP-Signatur zu prüfen.

21. Woher bekomme ich ein PlugIn für mein E-Mail-Programm, um die OpenPGP-Signatur prüfen zu können?

Wir listen hier einige Programme auf, mit denen Sie eine OpenPGP-Signatur überprüfen können. Die Liste enthält auch verbreitete Plugins für E-Mail-Programme, die dasselbe leisten:

22. Sind nur Microsoft Windows-Nutzer betroffen? Was ist mit Smartphones, Linux und Apple OS X?

Online-Kriminelle sind an der digitalen Identität ihres Opfers interessiert, die sie für ihre kriminellen Zwecke missbrauchen können. Den Zugriff auf die Identitäten erhalten sie in der Regel über Schadsoftware, die sie auf die Rechner der Opfer aufgebracht haben. Aufgrund der immer noch sehr hohen Verbreitung des Windows-Betriebssystems stehen Windows-Nutzer nach wie vor im Fokus der Angreifer. Allerdings ist auch der Befall mit Schadsoftware bei Smartphones und Rechnern mit Linux-Betriebssystem oder Apple OS X nicht ausgeschlossen.