Die Nachricht, dass Fahnder erneut 18 Millionen geklaute Internet-Zugangsdaten entdeckt haben, verunsichert viele Menschen. Das BSI lässt sich aber Zeit, betroffene Nutzer werden erst in einigen Tagen informiert. Was kann man bis dahin tun, worauf sollte man achten?

Eigentlich sollte es diesmal schneller gehen, bis das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Internetseite eingerichtet hat, wo Nutzer überprüfen können, ob ihre E-Mail-Adressen zu den 18 Millionen geklauten Zugangsdaten gehören, die Fahndern der Staatsanwaltschaft Verden "zufällig" in die Hände gefallen sind. Denn ein Sicherheitstest, den die Behörde im vergangenen Januar eingerichtet hatte, ist nach wie vor online. Das BSI hatte zuvor bereits im Dezember eine Liste mit 18 Millionen Internet-Identitäten erhalten, die die Verdener Ermittler ebenfalls "zufällig" entdeckt hatten. Der BSI-Chef begründete damals die wochenlange Verzögerung bis zur Warnung mit den Problemen, "ein Verfahren aufzusetzen, das datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist".

Das Verfahren dürfte sich eigentlich kaum geändert haben, theoretisch muss das BSI nur seine Datenbank mit den jetzt aufgetauchten E-Mail-Adressen ergänzen. Den "Datensatz mit mehreren Millionen E-Mail-Adressen" hat die Bundesbehörde bereits von der Staatsanwaltschaft Verden erhalten.

Keine Hilfe vor dem 7. April

Doch ganz so einfach scheint es nicht zu sein. Das BSI will erst am 7. April Details mitteilen. Dann seien "die notwendigen und in intensiver Zusammenarbeit mit den Behörden und den Online-Dienstleistern ablaufenden technischen und organisatorischen Vorbereitungen abgeschlossen." Um die Betroffenen zu warnen, erarbeite man "unter Einbeziehung der großen E-Mail-Provider unter Hochdruck eine datenschutzschutzkonforme Lösung, wie die betroffenen Internetnutzer unmittelbar informiert werden können", teilt das Amt mit. Dies decke rund 70 Prozent der betroffenen deutschen E-Mail-Adressen ab, die dem BSI übergeben wurden. "Für die Inhaber der restlichen E-Mail-Adressen, beispielsweise solche, die bei anderen Providern oder vom Anwender selbst gehostet werden, bereitet das BSI einen Warndienst vor."

Die Provider würden ihre betroffenen Kunden umgehend informieren, wenn sie die E-Mail-Adressen hätten, teilte die Deutsche Telekom n-tv.de mit. Sie hat sie aber nicht und kann Nutzer daher nur warnen, wenn ihre IP-Adresse auffällig wurde, weil von ihr Spam-Nachrichten versendet wurden. Das hilft aber nicht, wenn die Zugangsdaten für andere kriminelle Aktionen missbraucht werden oder noch gar nicht "auf dem Markt" sind. Außerdem sind längst nicht alle Provider so wachsam wie die Telekom.

Passwörter ändern

Besorgte Nutzer müssen aber nicht auf die Behörde warten, bis sie etwas für ihre Sicherheit tun können. Am wichtigsten ist es zunächst, das Passwort seiner E-Mail-Konten zu ändern. Das gleiche sollte man mit den Passwörtern tun, die man bei Diensten nutzt, wo eine E-Mail-Adresse als Nutzername dient. Wurde eines dieser E-Mail-Passwörter zusätzlich für andere Zugänge genutzt, sollte man es ebenfalls ändern, auch wenn der Nutzername keine E-Mail-Adresse ist. Im Zweifel ist es am besten, alle Passwörter zu ersetzen.

Ein sicheres Passwort ist möglichst lang, enthält Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Es sollte weder Namen von Verwandten, Tieren oder Bekanntheiten, noch Geburtstage enthalten. Am besten ergibt das verwendete Wort keinen Sinn und das Passwort weist keine Regelmäßigkeiten auf, beispielsweise eine bestimmte Zahl am Anfang und am Ende.

Wenn ein Dienst die Zugangsdaten verweigert, stimmen entweder Nutzernamen oder Passwort nicht. Vielleicht hat man sie vergessen, es könnte aber auch sein, dass Kriminelle das Passwort geändert haben, um den rechtmäßigen Nutzer auszusperren. Dann gibt es aber gewöhnlich die Möglichkeit, eventuell nach Sicherheitsabfragen, das Passwort zu ersetzen. Hat man zuvor das E-Mail-Passwort geändert, erhalten Unbefugte gegebenenfalls auch nicht die E-Mail mit dem Änderungs-Link.

Um festzustellen, ob mit Zugangsdaten bereits Einkäufe getätigt wurden, sollte man seine Kontoauszüge auf verdächtige Überweisungen und Abbuchungen überprüfen und auch künftig nicht nur abheften, sondern durchsehen.

Guter Virenschutz ist wichtig

Theoretisch ist es möglich, dass die E-Mail-Adressen und Passwörter bei einem Provider (Internet-Anbieter) oder einem Dienst gestohlen wurden. Wahrscheinlicher ist aber, dass die Daten mit Schadsoftware erbeutet wurden. Nutzer sollten daher regelmäßig ihren Rechner mit einem Virenschutz-Programm überprüfen. Microsofts Borddienst Security Essentials ist dafür nur bedingt geeignet. Welche Software empfehlenswert ist, haben kürzlich Stiftung Warentest und AV-Test festgestellt.

Um sich vorbeugend gegen Internet-Angriffe zu wappnen, sollte außerdem die Firewall des Betriebssystems aktiviert sein oder man nutzt ein Virenschutzprogramm mit Firewall. Wie man die bordeigene Firewall einschaltet beziehungsweise nachsieht, ob sie aktiviert ist, zeigt Microsoft in Anleitungen für Windows 8.1, Windows 7. Windows XP erhält ab dem 8. April keine Sicherheitsupdates mehr und sollte ab dann nicht mehr online genutzt werden.

Rechte einschränken, misstrauisch sein

Für den Zugang ins Internet genügt ein Konto mit beschränkten Zugriffsrechten, Angreifer können dann viel weniger Schaden anrichten. Auch dafür bietet bietet Microsoft Anleitungen.

Besonders wichtig: Viren und Trojaner kommen sehr oft per E-Mail über verseuchte Anhänge oder gefährliche Links auf den Computer. Es ist also ratsam, jede E-Mail genau zu prüfen, bevor man auf Anhänge oder Links klickt. Im Zweifel wartet man ein, zwei Tage. Dann sind Virenschutz-Programme meistens auf dem neuesten Stand und in der Lage auch ganz frische Schädlinge zu identifizieren.

Weitere Vorsichtsmaßnahmen findet man beim BSI unter "Tipps, Checklisten und Basisschutz".