Das BSI konnte diesmal schneller reagieren, weil der Test, der feststellt, ob eine email-Adresse betroffen ist, lediglich um die neuen Adressen ergänzt werden musste, das Verfahren an sich blieb gleich.
Zitat aus meinem Post von damals:
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Website eingerichtet, auf der man prüfen kann, ob man zu den Betroffenen gehört. Wenn die Seite gerade nicht überlastet ist, gibt man dort einfach seine email-Adresse an, die man überprüfen möchte, und falls ja, bekommt man vom BSI eine entsprechende Antwort-email zugesandt. Falls nicht, dann nicht.Bei diesem angesprochenen Post kam leider nicht deutlich genug heraus, dass der Test eine große Schwäche hat; das möchte ich jetzt nachholen.
Diese Schwäche wird auch schon im oben verlinkten heise-Artikel angesprochen. Die email-Provider wurden nämlich aufgefordert, die betroffenen Anwender über eben diese Tatsache zu informieren -was sie per email an genau jene kompromittierte Adresse tun werden. Super!
Wenn jetzt diese Adresse tatsächlich für Identitätsdiebstahl verwendet wird, hat der Dieb natürlich längst das Passwort geändert, der echte Inhaber kommt an sein email-Konto also gar nicht mehr heran.
Oder der Dieb hat das Kennwort gar nicht geändert, hat aber die Verständigungs-email ("lieber Anwender, du bist leider betroffen") längst gelöscht. So wird der echte Inhaber in Sicherheit gewiegt.
Nur in dem Fall, dass der echte Inhaber noch in sein Konto kommt, ist gewährleistet, dass er von seiner Betroffenheit auch wirklich erfährt. Er müsste also sofort und ohne jeden Verzug das Passwort ändern, bevor es der Dieb für ihn tut!
Falls das zu technisch war, versuche ich es mit einem Vergleich, der vielleicht eher geläufig ist:
- Ein Dieb hat in der Früh von deinem Schlüsselbund den Schlüssel für die Wohnungstür gestohlen, ohne dass du es bemerkt hast
- Tagsüber geht der Dieb zu deiner Wohnung und tauscht den Zylinder, sodass dein Schlüssel nicht mehr sperrt
- Danach hängt er deinen Originalschlüssel wieder auf deinen Bund - wieder so, dass du es nicht bemerkst
- Am Abend kommst du ahnungslos zu deiner Wohnungstür und...
- Inzwischen hat die Hausverwaltung von der ganzen Sache Wind bekommen und verständigt alle Betroffenen (denn du bist nicht der einzige) per Brief von ihrer Betroffenheit. Dieser Brief wird durch den Türschlitz in die Wohnung geschoben. Quizfrage: Wirst du den Brief jemals sehen? Ohne passenden Schlüssel?
Der Test des BSI trägt genau die gleiche Schwäche in sich; denn auch das BSI sendet eine email an das betroffene Konto. Was sollte das BSI denn auch sonst tun, sie haben ja nur die email-Adresse und keinen Klarnamen und auch keine Postanschrift dazu.
Selbst wenn man unter Staats- und Obrigkeits-Paranoia leidet, ist der BSI-Test recht harmlos. Du gibts lediglich deine email-Adresse an und sonst eben nichts. [Anmerkung: Theoretisch wärst du noch identifizierbar, weil wegen der gesetzlichen Vorratsdatenspeicherung nachverfolgbar wäre, wer zum Zeitpunkt des Tests die IP-Adresse hatte, von der aus der Test angestoßen wurde.]
Wenn du also den BSI-Test machst und keine Antwort-email des BSI vorfindest, heißt das also noch nicht, dass du nicht betroffen bist.
Du musst den BSI-Test aber gar nicht machen! Solltest du den Verdacht haben, dass du betroffen sein könntest, dann ist nämlich genau jetzt der richtige Moment, das Kennwort zu ändern, bevor es jemand anderer für dich tut (siehe oben)!
Auch auf die Gefahr hin, dass ich mich wiederhole: bitte sichere, lange, wirre Kennwörter verwenden, und für jedes Konto ein anderes! Einen Lösungsweg für das leidige "Merkproblem" hab ich in meinem Post im Jänner aufgezeigt.
Ich selbst verwende seit Jänner eben diese Lösung und bin rundum zufrieden.
Nachahmung dringend empfohlen!
Keine Kommentare:
Kommentar veröffentlichen