Digital
Guten Tag!
Watson wird soeben von unserem aussergewöhnlich attraktiven und intelligenten IT-Team modernisiert und ist deshalb zur Zeit nur eingeschränkt verfügbar. Das dauert nicht lange, versuch es bitte in ein paar Minuten nochmals.
Vielen Dank!

Check Tool: Wenn diese Meldung erscheint, bist du nicht betroffen. screenshot: checktool.ch

70'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

Es ist ein brisanter «Fund»: Der Melde- und Analysestelle Informationssicherung MELANI des Bundes wurde erneut eine Liste mit Zugangsdaten bestehend aus Login und Passwort zugespielt, die offensichtlich gestohlen wurden und nun für illegale Zwecke missbraucht werden.

05.12.17, 13:09 06.12.17, 09:12

Dem Bund wurden aus vertraulicher Quelle rund 70'000 Kombinationen von Zugangsdaten zu Internet-Diensten gemeldet. Dies schreibt die Melde- und Analysestelle Informationssicherung MELANI am Dienstag in einer Mitteilung.

«Der Melde- und Analysestelle Informationssicherung MELANI wurden wiederum von vertraulicher Quelle rund 70'000 Zugangsdaten zu Internet-Diensten gemeldet. In vielen Fällen besteht der Benutzername der betroffenen Zugangsdaten aus der E-Mail-Adresse. Verwenden Internet-User bei solchen Logins für verschiedene Online-Portale dasselbe Passwort, ermöglicht dies den Tätern auf einfache Weise, diese Zugangsdaten für illegale Zwecke (Betrug, Erpressung, Phishing usw.) zu missbrauchen.»

Besonders problematisch ist somit der Umstand, dass bei vielen Internet-Diensten die eigene E-Mail-Adresse als Benutzernamen dient. Verwenden Internet-User für verschiedene Online-Portale und Apps immer dasselbe Passwort, ermöglicht dies den Tätern auf einfache Weise, diese Zugangsdaten für Betrug, Erpressung oder Phishing zu missbrauchen.

Ein weiteres Problem: Haben die Hacker Zugriff auf das E-Mail-Konto, können sie dank der Passwort-Anforderungsfunktion bei anderen Webseiten und Apps die Kontrolle über so ziemlich alle Konten des Opfers übernehmen (Online-Shops, Facebook, Cloud-Dienst etc.).

So prüfst du, ob du betroffen bist

MELANI hat wiederum ein Online-Tool publiziert, mit dem sich überprüfen lässt, ob die eigene E-Mail Adresse respektive die verwendeten Loginnamen betroffen sind. Das Tool kann unter der Webseite https://www.checktool.ch aufgerufen werden. «Für die Überprüfung ist nur die Eingabe der E-Mail-Adresse respektive des Benutzernamens notwendig. Diese wird nicht im Klartext übermittelt und auch nicht gespeichert», schreibt MELANI.

Betroffene Nutzer müssen ihre Passwörter ändern

Der Bund rät allen Personen und Unternehmen, diesen Check durchzuführen. Sollte ein Konto betroffen sein, gibt das Online-Tool eine entsprechende Meldung aus. In diesem Fall empfiehlt MELANI den Betroffenen folgende Massnahmen:

Bereits im August war der Diebstahl von 21'000 Zugangsdaten bekannt geworden

Bereits Ende August wurden dem Bund aus vertraulicher Quelle rund 21'000 Kombinationen von Zugangsdaten zu Internet-Diensten gemeldet. Die vermutlich bei Hacker-Angriffen erbeuteten Passwörter sind offenbar in den Besitz von unberechtigten Drittpersonen geraten.

Die erbeuteten Zugangsdaten wurden in den letzten Monaten gegen Kunden von Schweizer Online-Shops eingesetzt – namentlich betroffen waren Kunden von Digitec.

Der grösste Schweizer Online-Shop bestätigte Mitte November gegenüber watson, dass Betrüger bei einem Hacker-Angriff in den Besitz persönlicher Nutzerdaten gekommen sind. Potenziell betroffen seien Digitec-Kundendaten von 2001 bis maximal Mitte 2014.

Update:

Digitec hat am Dienstagnachmittag folgendes Statement zu ihrem Datenleck veröffentlicht:

«Das Datenleck steht nicht im Zusammenhang mit dem heute durchs MELANI publizierten Fall, bei dem knapp 70'000 Logins entwendet wurden. Wir konnten die Liste ausfindig machen und gleichen diese mit unseren Kundendaten ab. Bei Treffern setzen wir das Passwort betroffener Kunden zurück.»

(oli)

Hacker übernimmt die Kontrolle über selbstfahrendes Auto

1m 17s

Hacker übernimmt die Kontrolle über selbstfahrendes Auto

Video: srf

Sieben eindrückliche Hacker-Attacken

Das könnte dich auch interessieren:

«Ron isst Hermines Familie» – Das passiert, wenn ein Computer Harry Potter schreibt

Mehr 2017 geht nicht: Die unfassbare Geschichte des weinenden Keatons – in 4 Schritten

Nicht alle Männer sind sexistische Eichhörnchen!

Warum hunderte Fussball-Junioren gegen einen Millionär marschieren: Ein Herrliberger Drama

Ein Nigerianer stirbt nach seiner Ausschaffung – was die Schweiz damit zu tun hat

Trump beerdigt Netzneutralität – wem das nutzt und wem das schadet

Gamer, aufgepasst: Super Mario erhöht die geistige Gesundheit und beugt Demenz vor 

Amis lynchen Hai mit Speedboot und grinsen – jetzt tobt das Netz wegen dem Video

Alle Artikel anzeigen

Hol dir die App!

Markus Wüthrich, 5.5.2017
Tolle Artikel jenseits des Mainstreams. Meine Hauptinformations- und Unterhaltungsquelle.
Abonniere unseren NewsletterNewsletter-Abo
48
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
48Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Silent Speaker サイレントスピーカー 05.12.2017 22:59
    Highlight Wenn ich die Kommentare so durchlese, so scheint's mir, nutzen die meisten nur eine oder wenige eMail-Adressen. Grundsätzlich sollte man für alles eine eigene eMail-Adresse nutzen. Somit sind immer maximal zwei Accounts betroffen: jenes des eMail-Anbieters und jenes, wofür man die Mail braucht.
    Wer alles über eine oder zwei eMail-Adressen abwickelt, handelt sich selbst gegenüber fahrlässig.
    1 7 Melden
  • Der Tom 05.12.2017 21:36
    Highlight wenn meins gestohlen wurde. Wie bekomme ich das wieder zurück?
    3 0 Melden
    • Silent Speaker サイレントスピーカー 06.12.2017 10:01
      Highlight Schreib dem Dieb eine Nachricht auf einen Zettel und kleb' ihn dorthin, wo er es gestohlen hat.

      Bei Velos klappt's manchmal.
      5 0 Melden
  • Madmessie 05.12.2017 20:24
    Highlight Ja, wirklich ganz toll dieses Digitalisierung. Ich freu mich schon auf die All-Inclusive-Swiss-ID!
    7 1 Melden
  • _stefan 05.12.2017 17:19
    Highlight Es handelt sich also NICHT um Digitec-Daten? Warum ist den digitec@digitec.ch in der Liste?
    2 23 Melden
  • Falco Team #BILLAGbruuchts 05.12.2017 15:51
    Highlight Danke für die Info, watson ;-).
    5 1 Melden
  • p4trick 05.12.2017 14:24
    Highlight Also wer mit der Email Adresse beim Ebanking einloggt..... ändere schnellstmöglich die Bank!!
    58 1 Melden
  • Sebastian Wendelspiess 05.12.2017 14:07
    Highlight Wer nichts zu verber hat hat nichts zu befürch.... oh doch. Hoffentlich sehen einige nun die totale Überwachung auch etwas kritischer.
    52 7 Melden
    • Silent Speaker サイレントスピーカー 05.12.2017 22:51
      Highlight Der Mensch, im Grossen und Ganzen, ist leider relativ lernresistent. Da kannst du insbesondere den Digital Natives erzählen was du willst, sie wissen es besser.
      4 2 Melden
    • jhuesser 06.12.2017 11:41
      Highlight Digital Native hier. Ich mag Überwachung nicht.
      0 1 Melden
  • nick11 05.12.2017 14:01
    Highlight da die Information fehlt, wo die Daten gestohlen wurden, müsste man als betroffener nun alle accounts ändern. Ich verwende für alles ein eigenes Passwort. Aber ALLE Accounts zu ändern ist nahezu unmöglich. Das dürften über die Jahre weit über 100 Accounts sein! Viel Spass den betroffenen...
    41 2 Melden
  • Klischee 05.12.2017 13:44
    Highlight Es wäre auch Lohnenswert mal bei www.haveibeenpwned.com nachzusehen! Ähnliche Dienstleistung, nur bisschen Umfangreicher!
    25 2 Melden
    • Triumvir 05.12.2017 15:45
      Highlight Au ja, perfekt um der NSA und Co. seine persönlichen Daten etc. anzuvertrauen...am besten noch mit seinen Passwörtern etc...
      8 21 Melden
    • The Destiny 05.12.2017 16:03
      Highlight @triumvir, ?!
      6 4 Melden
    • JrMafia 05.12.2017 16:06
      Highlight Haveibeenpwnd ist sicher! Da wird bestimmt nichts geleakt.
      2 5 Melden
    • Klischee 05.12.2017 17:05
      Highlight @Triumvir

      HIBP, ist von Troy Hunt. Ein Security Forscher aus Australien.

      Die Passwörter werden in einen MD5 Hash gerechnet bevor er verglichen wird...

      & Deine Emailadresse ist zu 100% Public... Die hat die NSA wenn sie möchte schon längst..

      Pseudo Aluhut, darfst du wieder abnehmen.

      Gruss
      22 5 Melden
    • mrmikech 05.12.2017 18:30
      Highlight @Triumvir und @Klischee: bei HIBP gibt man nur emailadresse ein, sonst nichts.
      7 3 Melden
    • _stefan 05.12.2017 21:51
      Highlight @triumvir: checktool.ch ist in den USA (cloudflare) gehostet. Die NSA hat dort auch Zugriff... Aber eben nur auf die E-Mail-Adressen, welche gesucht werden. Die DB selber ist sicher gehashed.
      2 4 Melden
    • Triumvir 06.12.2017 07:49
      Highlight @stefan: lol, ja sicher, als ob die NSA nicht auf jeden E-Mail Account etc. Zugriff hätte🤣 Grüsse von Snowden und Co.
      1 3 Melden
    • jhuesser 06.12.2017 11:43
      Highlight @_stefan checktool.ch wird in der Schweiz gehostet. Cloudflare macht nur DNS / Anti DDoS und ein paar Dinge. sie dazu FAQ https://www.melani.admin.ch/melani/de/home/meldeformular/faq-checktool.html
      0 0 Melden
    • Klischee 06.12.2017 16:03
      Highlight @mrmikech
      Nein seit neuem hat er auch einen Passwort Check. :) Dieser basiert wie oben beschrieben auf einem Hash.

      Gruss
      1 0 Melden
  • eliminate_all_ humans 05.12.2017 13:31
    Highlight Danke liebe Hacker ... - Ich hoffe dass jedem SwissID Befürworter langsam klar wird, wie dumm die Idee eines "Ein Login für alles ( inkl. Ebanking etc)" ist ...

    149 22 Melden
    • Suchlicht 05.12.2017 14:00
      Highlight Stimmt so nicht ganz, denn bei diesen Ansätzen trennst Du Wissen (Passwort, PIN etc. ) von Besitz (Zertifikat, QR-Code, Zahlenliste usw. ). Nur beides zusammen bringt einen Nutzen, wie z. B. Maestro-Karte und PIN.

      Die heute gängigen Logins bestehen oft nur aus der Komponente Wissen (Benutzername + Kennwort) und oft ist ein Teil davon vorgegeben.
      23 10 Melden
    • You will not be able to use your remote control. 05.12.2017 16:24
      Highlight Suchlicht: Die Daten wurden nicht einzeln abgegriffen, indem ein Benutzername und Kennwort eingegeben wurde.

      Es wurden alle Daten von allen Benutzern aus dem ungenügend gesicherten, zentralen Speicher geholt.

      SwissID speichert deine medizinischen Daten zentral und 'best-possible' gesichert(TM).
      10 4 Melden
  • Tavares 05.12.2017 13:18
    Highlight bin betroffen... Aber nicht so problematisch, weil Passwort-Manager & anderes Passwort für jeden Account.

    Trotzdem wäre es interessant zu wissen, wo die Logins gestohlen wurden. Der entsprechende Anbieter wurde hoffentlich informiert, so dass zumindest dort die Logins zurückgesetzt werden konnten.
    103 2 Melden
    • Paddiesli 05.12.2017 18:34
      Highlight Gebe dir Recht, es wäre interessant, so für den Pranger, oder? Schön, wenn diese informiert werden. Aber was nützt das letztlich? Es passiert im Wochenrhytmus bei Weltkonzernen oder mindestens auf nationalen Ebenen. Wann ist der Benutzer es wert, hier nochmal hinter die Bücher zu gehen? Da nützen die ganzen eigenen Sicherheitsvorkehrungen ja nichts mehr.
      2 5 Melden
    • Magman 06.12.2017 10:59
      Highlight Was für ein Passwortmanager benutzt du ? Bin noch unschlüssig welcher gut ist...
      0 0 Melden
    • Tavares 06.12.2017 12:16
      Highlight Ich verwende KeePass (https://keepass.info), die verschlüsselte Datei ist auf meinem NAS zu Hause abgelegt, worauf ich von überall her zugreiffen kann, selbst vom Smarphone aus (iOS: MiniKeePass)
      0 0 Melden
  • Philboe 05.12.2017 13:17
    Highlight Bei Passwörtern wie 1234 Geburtstagsdatum oder Wörtern wie Liebe, Firmennamen etc. ist es manchmal auch sehr einfach.
    5 28 Melden
    • Snowy 05.12.2017 13:31
      Highlight Mag sein.
      Hat aber gar nichts mit dem aktuellen Fall zu tun.
      50 2 Melden
  • Paddiesli 05.12.2017 13:15
    Highlight So langsam werde ich stinkig! Da werden uns im Halbjahresrhtymus ständig neue Funktionen und Tools "aufgezwängt", im Sinne von immer mehr, immer mehr, immer "cooler", aber sie schaffen es IMMER NOCH NICHT, unsere Daten zu schützen. Was nützen einem ausgeklügelte Passwörter, wenn sie sich die Firmen ständig klauen lassen? Gopfridlinomal!
    167 13 Melden
    • Charlie B. 05.12.2017 14:06
      Highlight Benutzt du jedes Tool das dir "aufgezwängt" wird? Ich vermute nicht. Bist du einer der Betroffenen? Ich vermute nicht. Schreibst du gerne Kommentare und benutzt die HOCHSTELLTASTE? Ich denke ja ;-)
      18 19 Melden
    • p4trick 05.12.2017 14:25
      Highlight hä was für Tools und Funktionen werden dir aufgezwängt??
      10 6 Melden
    • Paddiesli 05.12.2017 15:26
      Highlight Ich meine ständig neue Erfindungen "für uns", wie 3D Scanning, Fingerabdrucksensoren, Iris-Scanner, digitale ID's, Puls- und Schritt-ÜBERWACHUNG, usw. Was nützt der ganze ungewollte Brunz, wenn regelmässig Zugangsdaten geklaut werden? Es wird uns ständig Neues angedreht, ohne einmal die Grundlagen zu sichern. Jetzt verstanden?
      18 5 Melden
    • Paddiesli 05.12.2017 15:27
      Highlight P.S. Nein, ich bin nicht betroffen und war es noch nie. Aber was ist morgen?
      5 3 Melden
    • RhabarBär 05.12.2017 16:27
      Highlight die wollen doch, dass das passiert
      4 0 Melden
    • Paddiesli 05.12.2017 19:17
      Highlight Und noch @ Charlie B.
      Ja, ich nutze die Feststelltaste (schön, dass du deutsche Wörter verwendest). Weil im geschriebenen Text, keine Betonung oder Emotion mitgegeben werden kann. Da nutzt man SELEKTIV kursiv, fett oder Feststelltaste.
      Und aufgezwängt in dem Sinn, dass man aus Sicherheitsgründen rät, Webcams abzukleben, 3D Identifikation auszuschalten, geschweige GPS rund um die Uhr ... die Liste lässt sich fortführen.
      Was kostet heutzutage ein iPhone, dessen Entwicklung wir mit bezahlen, wo man uns aber rät, sie mit Klebestreifen abzudecken, weil es nicht sicher ist?
      7 0 Melden
    • p4trick 05.12.2017 19:48
      Highlight Klebestreifen? Setz den Aluhut wieder auf dann bist du geschützt!
      1 9 Melden
    • Silent Speaker サイレントスピーカー 05.12.2017 22:48
      Highlight https://code.org/

      Do it better.
      2 0 Melden
    • ben_fliggo 05.12.2017 23:55
      Highlight 3D Scanning, Fingerabdrucksensoren, Iris-Scanner, digitale ID's, Puls- und Schritt-Tracker? GEIL! Gewöhn dich schon langsam mal dran, das ist die Zukunft.
      1 0 Melden
  • DerZürcher 05.12.2017 13:13
    Highlight Man kanns nicht oft genug wiedeholen: Bitte aktiviert überall die 2-step verification sofern möglich und nutzt einmalige Kennwörter... Jeder der dadurch Schaden erleidet ist meiner Meinung nach selber schuld...
    23 30 Melden
    • x4253 05.12.2017 13:34
      Highlight ich verstehe sowieso nicht, weshalb die 2-FA nicht überall per Standard aufgeschaltet ist. Integration ist dank GoogleAuthenticator, Microsoft Authenticator etc. eh ziemlich einfach..
      20 6 Melden
    • The Destiny 05.12.2017 14:27
      Highlight @x253, Das nutzt längst nicht jeder und möchte sich wohl auch niemand aufzwingen lassen.
      4 2 Melden
    • x4253 05.12.2017 14:47
      Highlight @TheDestiny
      "aufzwingen lassen"
      Passwörter und Türschlösser sind demnach auch nur Zwang. Btw. gibt es genügend offene Alternativen zu den oben erwähnten 2-FA Tools, die sich sehr einfach einbinden lassen.
      Wer seine Daten einem Anbieter anvertraut der keine 2-FA einsetzt ist selber Schuld und darf nicht rumheulen wenn dann seine Daten weg sind. Sicheres PW hin oder her.
      7 4 Melden
    • The Destiny 05.12.2017 15:20
      Highlight Mein Türschloss spioniert mich aber nicht aus(google, ms) auf jeden Fall noch nicht.
      Gute alternativen werden vielleicht besser akzeptiert.
      10 4 Melden
    • x4253 05.12.2017 17:02
      Highlight FreeOTP
      LinOTP
      oxPush
      pGina

      gibt genügend spionagefreie Alternativen.
      4 1 Melden
    • ben_fliggo 05.12.2017 23:55
      Highlight Was ist der Vorteil gegenüber SMS? Braucht man da mehrere Apps oder gibts eine universelle?
      0 0 Melden
    • x4253 06.12.2017 07:33
      Highlight @ben_fliggo
      https://nakedsecurity.sophos.com/2016/08/12/sms-or-authenticator-app-which-is-better-for-two-factor-authentication/

      wer allerdings auf webseiten/accounts von jenem Gerät zugreift, auf dem die 2-FA App drauf ist bzw. das SMS ankommt kanns auch gleich seinlassen.

      Leider gibt es keine "universelle app" (schön wärs)
      0 0 Melden

Massive Sicherheitslücke betrifft Mac-Computer – Login ohne Passwort möglich 😱

Angreifer können sich problemlos Zugriff auf Apple-Rechner mit dem aktuellen Betriebssystem macOS High Sierra verschaffen. Eine verstörende Entdeckung ...

Apples neuste Mac-Systemsoftware (macOS High Sierra) weist eine gravierende Sicherheitslücke auf. Bei Twitter tobt deswegen gerade ein Shitstorm in Orkanstärke. Auch der NSA-Whistleblower Edward Snowden hat sich zu Wort gemeldet:

Dieser Tweet löste das Entsetzen aus:

watson konnte die Schwachstelle auf einem Macbook Pro ausprobieren und sich beim Anmeldefenster ohne Passwort als Benutzer mit Superrechten (sogenannter «Root») einloggen.

«Wir arbeiten an einem Software-Update, um das Problem …

Artikel lesen