WeBLOG
BSI-Test zum Passwort-Hack sinnlos, falsch und zu spät (22.01.2014 / Update 24.01.2014)
Aufgrund der vielfach gehackten Passwörter durch Botnetz-Angriffe (wie in der Presse vielfach berichtet), bietet das BSI (Bundesamt für Sicherheit in der Informationstechnologie) einen Test an, um herauszufinden, ob eigene Accounts betroffen sind. Wir verlinken die Seite, wegen nachfolgender Bedenken und Gründe, nicht.

Wir raten dringend davon ab, diesen Test durchzuführen.
Denn uns erscheint ein Test als gänzlich ungeeignet, der im Falle einer Nichtbetroffenheit keine Rückmeldung gibt, vor allem vor dem Hintergund der hoffnungslosen Überlastung der BSI-Server. Sprich keine Rückmeldung heisst nicht zwingend, dass der Account nicht gehackt wurde, sondern es kann viel mehr sein, dass die eMail auf der Strecke geblieben ist und sich im Nirvana befindet. Des weiteren ist die geforderte Akzeptanz "Ich bin damit einverstanden, dass meine personenbezogenen Daten....zur Durchführung des Tests...erhoben, verarbeitet und genutzt werden dürfen..." höchst seltsam und verwirrend (?).

Besonders heikel empfinden wir dabei, dass die Testseite nicht gegen Robots geschützt ist, d.h. automatisierte Eingaben von eMail-Adressen sind, ohne Prüfungen, möglich. Somit kann jeder irgendeine fremde eMail-Adresse eingeben. Dabei könnte man dies ganz einfach per Double-Optin-Verfahren, wie es für Newsletter-Abonnements vorgeschrieben ist, lösen. Ein Armutszeugnis für eine staatliche Organisation, die sich gerade "Bundesamt für Sicherheit in der Informationstechnologie"nennt. Wäre das alles nicht so ernst, könnte man herzlich lachen. Denn es ist davon auszugehen, in Kürze eMails von Trittbrettfahren zu erhalten, deren Absender sich als das BSI ausgeben..., um genau das zu erreichen, was man eigentlich verhindern bzw. aufzeigen wollte, nämlich den Identitätsklau (z.B. durch Verlinkung auf eine gefälschte BSI-Seite, die einen evtl. zur Eingabe sensibler Informationen verleiten soll).

Hacks von Accounts sind das Tagesgeschäft von Crackern - will uns das BSI nun täglich mit solchen sinnlosen Tests nerven? Zumal dieser etwas spät kommt, denn dem BSI wurden die Daten bereits im Dezember 2013 zugespielt und die Cracker hatten massig Zeit dies auszunutzen.

Anstatt zweifelhaft zu testen, ob man Opfer ist, sollten besser alle Passwörter, die im Zusammenhang mit der Anmeldung zu Webdiensten im Netz stehen, wenigstens alle drei Monate bzw. - nach Bekanntwerden eines solchen Hacks sofort - geändert werden. Somit wäre man in jedem Fall auf der sicheren Seite, egal ob vom BSI eine eMail kommt oder nicht...

Im Übrigen gelten die üblichen Sicherheitsmassnahmen, die Sie unter der Rubrik "Tipps" auf unserer Website nachlesen können. Dies betrifft u.a. die Vergabe von sicheren und unterschiedlichen Passwörtern und den Einsatz von Hirn 2.0 anstatt bedenkenlosem Web 2.0!

Nachtrag/Update 24.01.2014:

Scheinbar ist das BSI in der Datensammlung zu gehackten eMail-Accounts teilweise einem Haufen Datenmüll aufgesessen, d.h. die Liste enthält auch fiktive eMail-Adressen, die nicht gehackt wurden, siehe Beitrag vom 24.01.2014 auf heise.de. D.h. haben Sie eine eMail vom BSI erhalten, heisst das nicht unbedingt, dass Ihr Account kompromittiert ist. Somit ist unsere Aufforderung, diesen überflüssigen Test keinesfalls durchzuführen, absolut bestätigt.

Kommentieren