Erst vor wenigen Monaten waren in Deutschland Millionen von geklauten E-Mail-Adressen samt Passwort im Internet aufgetaucht. Nun stossen die Behörden auf 18 Millionen solcher Datensätze. Kunden aller grossen Provider in Deutschland sollen betroffen sein.
Unbekannte haben 18 Millionen E-Mail-Adressen inklusive Passwörter gestohlen. Es werde vermutet, dass die Datensätze derzeit aktiv missbraucht würden, sagte Lutz Gaebel, Sprecher der Staatsanwaltschaft Verden im Bundesland Niedersachsen, und bestätigte damit einen Bericht von „Spiegel Online“.
Kriminelle hätten mit den Daten nicht nur Zugang zu den privaten E-Mails. Sie könnten sich auch in Netzwerke einwählen und im Internet einkaufen, wenn der Nutzer dort die gleiche Passwort-Kombination nutzt.
Die Staatsanwaltschaft gab nach Angaben Gaebels den Datensatz an das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI zur „Einleitung von Massnahmen zur Gefahrenabwehr“ weiter. Unter welchen Umständen die Staatsanwaltschaft die Daten gefunden hatte, blieb unklar.
Noch „frische“ Mail-Konten
Wie „Spiegel Online“ berichtete, dürften mindestens drei Millionen Menschen in Deutschland und Kunden aller grossen Provider betroffen sein. Demnach könnten viele Mails wegen internationaler Endungen wie .com noch nicht eindeutig zugeordnet werden.
Die Staatsanwaltschaft geht davon aus, dass es sich bei den aktuell entdeckten Daten um „frische Mail-Konten“ handelt, die noch aktiv genutzt werden und nicht in weiten Teilen mit dem im vergangenen Jahr entdeckten Bestand identisch sind. Das könnte dem Fund noch einmal besondere Brisanz verleihen.
Derzeit sollen bereits Teile davon für kriminelle Aktivitäten missbraucht werden, etwa zum Versenden von Spam-Mails. Im Netz gibt es einen regen Schwarzmarkthandel mit solchen Zugangsdaten.
Begehrte Website zum Überprüfen
Erst vor einigen Monaten war ein Paket von rund 16 Millionen gestohlenen E-Mail-Adressen aufgetaucht. Forscher und Strafverfolger waren darauf bei der Analyse von sogenannten Botnetzen gestossen und übergaben den Fund dem BSI.
Die Behörde hatte schliesslich im Januar die Öffentlichkeit informiert und auf einer Website einen Sicherheits-Check eingerichtet. Dort konnten Nutzer ihre Mail-Adresse angeben und prüfen lassen, ob sie betroffen war. Die Website war mehrfach unter dem Ansturm der Nutzer zusammengebrochen.