Die deutschen Provider informieren ihre vom aktuellen Datenklau betroffenen Kunden direkt per E-Mail. Gangster wollen auch das ausnutzen und verschicken gefälschte Nachrichten. Aber woher soll man dann wissen, ob eine Warnung echt ist?

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte, schreiben deutsche Provider ihren Kunden eine E-Mail, wenn ihre Zugangsdaten zu den 18 Millionen geklauten Internet-Identitäten gehören, die Fahnder kürzlich entdeckten. Darin erfahren die Betroffenen, welche Schritte sie unternehmen müssen und wie sie sich künftig vor Angriffen aus dem Internet schützen können.

Die Telekom schreibt, rund 87.000 ihrer Kunden seien betroffen, Vodafone gibt 80.000 an. Verglichen zu den mindestens drei Millionen deutschen Internet-Nutzern, deren Zugangsdaten entwendet wurden, sind da s relative kleine Zahlen. Wie viele Kunden von Web.de, GMX oder Freenet betroffen sind, ist nicht bekannt, die Pressestellen wollten keine Zahlen nennen. Kabel Deutschland hat n-tv.de geschrieben, rund 3000 seiner Kunden seien betroffen. Möglicherweise haben die meisten Opfer E-Mail-Adressen bei internationalen Anbietern, die über den Sicherheitstest des BSI überprüfen müssen, ob ihre Daten gestohlen wurden.

Telekom verwendet Sicherheitszertifikat

So oder so erhalten derzeit nicht nur tatsächlich betroffene Nutzer deutscher Provider E-Mails mit der Nachricht, sie gehörten zu den Opfern des Datenklaus. Denn wie zu erwarten war, versuchen Kriminelle die Verunsicherung vieler Menschen auszunutzen und verschicken gefälschte E-Mails mit gefährlichen Links oder Anhängen.

Die Telekom versieht daher ihre Nachrichten mit einem Zertifikat, an dem die Kunden die Echtheit der E-Mail erkennen können. Im E-Mailcenter sind sie an e inem blauen Häkchen zu erkennen. Wer auf das Häkchen klickt, sieht den Text "Geprüfte E-Mail …"

Vodafone hat auf ein Sicherheitszertifikat verzichtet. Dies habe man bewusst getan, da Kunden möglicherweise durch die Signatur verunsichert worden wären, sagte ein Sprecher n-tv.de. Solche Zertifikate seien noch nicht bekannt genug, künftig aber durchaus eine Option für solche Fälle. Vodafone-Kunden, die jetzt noch eine Warnung erhalten, können aber absolut sicher sein, dass sie gefälscht sind. Alle Betroffenen hätten bereits eine E-Mail erhalten, sagte der Vodafone-Sprecher. Auch Freenet hat angegeben, die E-Mail bereits am Morgen verschickt zu haben.

Web.de und GMX sperren Zugänge

Die Pressestellen von Web.de und GMX teilten n-tv.de mit, die Logins betroffener Kunden seien - wie in solchen Fällen üblich - gesperrt worden. Wenn man also eine Warnung erhält, sich aber noch bei dem Dienst anmelden kann, ist die E-Mail eine Fälschung und sollte umgehend gelöscht werden. Kabel Deutschland nennt zur Überprüfung in den E-Mails die letzten vier Ziffern der Kundennummer.

Allgemein sollten Kunden, die heute oder in den kommenden Tagen eine Nachricht ihres Internet-Anbieters bekommen, diese sehr genau prüfen. Gefälschte E-Mails erkennt man unter anderem an Rechtschreib- und Grammatikfehlern und verdächtigen Absender-Adressen, die entweder Zusätze enthalten oder offensichtlich nicht zum Provider gehören können.

Eine sichere Nachricht hat auch keine verdächtigen Anhänge und wird auf keinen Fall zur direkten Eingabe des Passworts oder anderen vertraulichen Informationen auffordern. Auch bei Links im Text ist höchste Vorsicht geboten. Idealerweise enthält eine E-Mail des Dienste-Anbieters nur Anweisungen. Die Vodafone-Nachricht habe zwar Links zu BSI-Webseiten im Text gehabt, sagte der Vodafone-Sprecher. Für die Passwort-Änderung hätten die Betroffenen aber nur eine Anleitung erhalten.