Wednesday, January 22, 2014 - 01:40

16M gehackte Email Adressen und der etwas verunglückte BSI Sicherheitstest

Das BSI warnt aktuell, dass Millionen von Email Accounts gehackt wurden. Laut BSI über ein Botnetz. Dazu bietet es einen einfachen und schnellen Test an. Dieser ist aber reichlich verunglückt.

Auf dieser Seite bietet das BSI für Nutzer einen Test an, der darüber Auskunft geben soll, ob man selbst betroffen ist. Für die grundsätzliche Idee kann man ein paar Punkte in der Kür-Wertung vergeben. Für die Umsetzung allerdings nicht.

Als Nutzer soll man seine Email angeben. Daraufhin generiert die Seite einen Code. Diesen Code merkt man sich und - sollte man eine Mail vom BSI bekommen - sollte genau dieser Code im Betreff stehen. Nur dann wäre die Mail, die inhaltlich zur Problemlösung nur Generika verkündet - authentisch.

Die Idee hat 2 Haken. Zum einen bekommt man keine Mail, wenn man nicht betroffen ist. Das setzt zum einen voraus, dass die Email garantiert auch zugestellt wird, was bei Email nicht immer der Fall ist. Zum anderen ist der Account dann eben auch gehackt und damit für dritte zugänglich. Keine Mail bekommen zu haben heißt entsprechend keineswegs nicht betroffen zu sein.

Desweiteren besteht ein grundsätzliches Problem mit der Art und Weise wie die Mail authentifiziert wird. Die Idee dahinter ist vermutlich das Problem mit Phishing zu verhindern, denn man kann davon ausgehen, dass demnächst ziemlich viele Mails vom BSI die Runde machen, die weder das BSI als Ursprung haben noch befolgt werden sollten.

Dass der Code hier übermäßig hilfreich ist wage ich zu bezweifeln, denn davon weiß ja nur der, der auch auf der Seite war. Alle anderen wissen nur aus der Presse

BSI warnt vor gehackten Email Accounts ...

Haben generische Phishing-Mails also keinen Code dürfte das keine übermäßige Relevanz haben.

Das Problem hier ist, dass dieser Code eben auch nur diese Form des Phishing möglicherweise erschwert. Bei Phishing-Seiten bewirkt er genau das Gegenteil.  Für nicht ganz IT taufrische heißt hier ja richtiger Code ist BSI und das ist natürlich nicht der Fall. Richtiger Code heißt lediglich Code passt zu Seite.

Ist der Nutzer über einen Link auf die Seite gekommen - was wohl in Anbetracht des Presseechos nicht unwahrscheinlich ist - könnte er ja auch auf sicherheitstest.BSl.de gelandet sein. Wenn man einen Trojaner installiert hat ist es auch keineswegs auszuschließen, dass dieser zeitnah aktualisiert wird und dann entsprechend selbst aktiv wird. Dann kann man auch auf sicherheitstest.bsi.de sein ohne wirklich da zu sein ...

Die Seite sieht dann naturgemäß koscher aus und kann natürlich auch richtige Codes generieren. Den Informationen in dieser Mail mit dem richtigen Code sollte man dann aber keineswegs folgen und schon gar nicht den dann vermutlich angehängten Virenscanner installieren.

Wer diese Seite nutzen will sollte tunlichst darauf achten, dass das SSL Zertifikat passt, das leider ein billiges Exemplar ist und entsprechend keine Aussage zur Identität tätigt.

Obendrein setzt es voraus, dass die betroffenen Nutzer das auch mitbekommen und natürlich auch, dass dem BSI das Problem in komplettem Umfang vorliegt. Fehlen dort betroffene Adressen erweckt der Test lediglich den Eindruck, dass man nicht betroffen ist und verhindert damit dann u.U. weitere nötige Schritte.

Im Großen und Ganzen ist das keine sonderlich gelungene Vorstellung.

Das BSI hat augenscheinlich Vertrauen in die Leistung von Avira, das dort beworben wird. Es ist dann wohl davon auszugehen, dass ihre Produkte das Problem identifizieren können. Man kann sich den Weg über den Test also eigentlich auch sparen und gleich zum richtigen Test übergehen.

Damit vermeidet man potentiell noch mehr Ärger als man eh schon hat.

Das hat auch den recht konkreten Vorteil, dass man auch von einem anderen aber baugleichen Problem nicht später unangenehm überrascht wird.

Regelmäßige Systemprüfungen sind notwendig und seine Passwörter sollte man sowieso ebenfalls regelmäßig ändern. Wäre doch ein guter Vorsatz fürs neue Jahr mit dem man dann auch gleich mal anfangen sollte.

Comments

Lisa Paulat's picture
Lisa Paulat

Überprüfung

Add new comment

This form is protected by Google Recaptcha. By clicking here you agree to include Google Recaptcha for this session. The page will reload and the form will become avaiable.