Der BSI-Sicherheitstest und die Postfächer der JPBerlin
Haben auch Sie in den letzten Tagen den Artikel im Handelsblatt zum Diebstahl von Millionen Nutzerdaten gelesen? Wir erklären Ihnen gerne wie sicher Ihre Daten und E-Mails bei der JPBerlin sind. Beginnen wir mit einem genauen Blick auf den Text der BSI Website:
Bei der Analyse von Botnetzen wurden 16 Millionen gestohlene digitale Identitäten entdeckt. Online-Kriminelle betreiben Botnetze, den Zusammenschluss unzähliger gekaperter Rechner von Privatanwendern, insbesondere auch mit dem Ziel des Identitätdiebstahls.
Was genau ist passiert? Sicher haben auch Sie schon von Computer-Viren gehört. Ein Botnetz ist, wie hier richtig beschrieben, eine Sammlung kompromittierter Computer. Ein Cracker (böser Hacker), welcher dieses Botnetz kontrolliert, kann diese Computer z.B. nach E-Mail-Adressen und dazugehörigen Passwörtern durchsuchen.
Bei den digitalen Identitäten handelt es sich jeweils um E-Mail-Adresse und Passwort.
Der Cracker hat durch die Analyse der kompromittierten Computer also eine Liste erstellt, in der in jeder Zeile beispielsweise folgendes steht: „max.mustermann@example.com passwort123“. Diese Liste ist in die Hände des BSI geraten und wurde von deren Spezialisten ausgewertet. Sie können beim BSI einen Sicherheitstest machen und prüfen, ob Ihre E-Mail-Addresse in dieser Liste steht.
Meistens interessiert diese Cracker übrigens nur, dass sie jetzt über die kompromittierten Accounts Spam verschicken können. Bei Spam geht es um Geld; wenn Sie 10.000 Leuten sagen können, dass Ihr Viagraprodukt das beste ist, sollte aller Wahrscheinlichkeit nach zumindest einer kaufen. Verschickt man also eine E-Mail an 10 Millionen Menschen… :)
Merkt die JPBerlin wenn mein Account kompromittiert ist?
Generell merkt das JPBerlin-Team praktisch sofort, wenn ein Account zum Versand von Spam missbraucht wird, da der Versand von E-Mails wie folgt überwacht wird: Wenn ein Account mehr E-Mails pro Minute verschickt als ein Mensch schreiben kann, werden wir sofort alarmiert und sehen uns den Einzelfall genau an. In diesem Fall melden wir uns natürlich umgehend bei dem Besitzer des E-Mail-Postfaches.
Wie kann ich mich absichern?
Verwenden Sie sichere Passwörter (mindestens acht Zeichen, Groß- und Kleinschreibung, Zahlen und Sonderzeichen, nichts was in einem Wörterbuch steht) und verwenden Sie für jeden Ihrer Accounts ein eigenes Passwort. Zum Beispiel können Sie sich einen langen Satz ausdenken und von jedem Wort die Anfangsbuchstaben (Groß- und Kleinschreibung beibehalten) verwenden. Zahlwörter ersetzen Sie durch Zahlen und zwischendurch verwenden Sie noch ein Sonderzeichen. Verwenden Sie einen Passwortmanager wie http://www.keepassx.org/ um die Masse an Passwörtern komfortabel zu verwalten. Informieren Sie sich, wie Sie sich gegen Viren schützen können. Öffnen Sie z.B. keine unbekannten Datei-Anhänge in E-Mails mit unbekanntem Absender und benutzten Sie einen Aktuellen Virenscanner auf Ihrem PC. Seien Sie wachsam, wenn Sie per E-Mail zur Eingabe von Passwörtern, Kreditkartennummern o.ä. aufgefordert werden, weil angeblich irgendeine Überprüfung fehlgeschlagen sei. Kein seriöser Anbieter macht sowas.
Bei uns: Konsequente Verschlüsselung seit über 15 Jahren
Die JPBerlin verschlüsselt schon seit Mitte der 90er Jahre konsequent alle ein- und ausgehenden Mail-Verbindungen, wann immer sich eine dafür geeignete Gegenstelle findet. Dabei kommt bei uns auch das moderne “Perfect Forward Secrecy” (PFS) zum Einsatz, ein besonderes Verfahren, das auch eine nachträgliche Entschlüsselung eines früher aufgezeichneten Datenverkehrs unmöglich macht. In den Medien wurde Anfang August 2013 dieses SSL-Feature “Perfect Forward Secrecy” (PFS) diskutiert, da es von vielen Providern und Anbietern von https-Webseiten nicht unterstützt wird. Auf unseren SSL-Sites und auch unserem Webmailer kommt hingegen schon seit Jahren PFS zum Einsatz. :-)
Auch beim Zugriff über unseren Webmailer ist eine SSL/TLS-Absicherung mittels “https://” also stets im Spiel. Dabei achten wir selbstverständlich auch auf entsprechend hochwertige Verschlüsselungsalgorithmen – auch wenn Sie als Anwender davon zunächst nichts bemerken.
Soll ich jetzt den BSI Sicherheitstest machen?
Ja.