News Justizminister kritisiert Datensicherheit bei E-Mail-Anbietern

[Andy]

Anbieter von Internetdiensten müssen Nutzerdaten besser schützen, fordert Justizminister Heiko Maas (SPD) im Interview mit Spiegel-Online. Die Nutzer hätten „ein Anrecht darauf, dass ihre Daten und Passwörter bei digitalen Dienstleistern so sicher wie möglich sind“.

Zur News: Justizminister kritisiert Datensicherheit bei E-Mail-Anbietern

 

[Runaway-Fan]

Nur weil man Unwissen oft genug wiederholt, wird daraus noch kein Wissen.
Es geht bei dem Datenleck und auch bei der Kritik vom Justizminister nicht (nur) um E-Mail-Anbieter sondern um alle digitalen Dienstleister, die Zugangsdaten von Nutzern speichern.

Auch bei den jetzt gefundenen 18Mio. Daten weiß man nicht, ob es Zugangsdaten zu E-Mail-Konten sind, oder zu irgendwelchen Foren, Online-Shops oder sonst was.

 

[spawngold]

Ich verstehe nicht, wieso die Leute nicht sofort informiert werden?! Da werden erst Konzepte entwickelt und Warndienste vorbereitet..
Wenn die Adressen gestohlen wurden um damit Straftaten oder ähnliches zu begehen muss man sofort informiert werden um die kompromittierten Passwörter usw. zeitnah ändern zu können!

 

[Runaway-Fan]

muss man sofort informiert werden

Das Problem dabei ist das "wie". Sie können ja schlecht einfach 18 Mio. eMails verschicken mit dem Inhalt: "Hallo, hier BSI, wir haben ihre eMail-Adresse zusammen mit dem Passwort "1234" in einer Datenbank gefunden. Bitte ändern sie es überall dort, wo sie diese Kombination einsetzen."
Unaufgeforderte Mails von BSI, BKA etc bekommt man als Spam und Phishing-Mail ja andauernd. Und da es keine Möglichkeit gibt, die Echtheit einer Mail unabhängig zu prüfen (für die breite Masse an Laien), kommt das also nicht in Betracht.
Insofern kann ich schon verstehen, dass nicht "mal eben" alle 18 Mio. betroffenen informiert werden können, sondern erstmal Konzepte entwickelt werden müssen.

 

[Smagjus]

Beim letzten Datendiebstahl hatte man als halbwegs informierter Nutzer auch die Möglichkeit. Wegen DAUs einer derartigen Situation ausgesetzt sein zu müssen, passt mir nicht ganz in den Kram.

 

[Runaway-Fan]

Beim letzten Datendiebstahl hatte man als halbwegs informierter Nutzer auch die Möglichkeit.

Aber auch erst 2-3 Monate, nachdem die Daten gefunden wurde. Nur wurde damals die Öffentlichkeit auch erst viel später in der breiten Masse informiert als jetzt.

 

[MrEisbaer]

Justizminister kritisiert Datensicherheit bei E-Mail-Anbietern

Gerade die Politik sollte den Ball flachhalten, denn die waren es doch die die DE-Mail einfach so für Sicher erklärt haben, trotz Kritik über die Sicherheitslücken u.a. vom CCC.
http://www.spiegel.de/netzwelt/netz...ndes-mail-per-gesetz-als-sicher-a-895361.html
http://www.zeit.de/digital/datenschutz/2013-03/de-mail-sicher-bundesregierung

 

[Rollensatz]

bei so "Aktionen" helfen leider auch keine Passwortgeneratoren... - wenn die Anbieter die Passwörter ungesichert auf ihrem System liegen haben. Da hilft nur die regelmäßige Passworteränderung.

 

[Doom Squirrel]

Wenn Herr Maas im gleichten Atemzug noch die Werbetrommel für "DE-Mail" gerührt hätte, würde ich ihn sofort ernst nehmen. Wirklich, ich würde ihn ernst nehmen, also seine Kritik. An etwas was er selbst kaum versteht.

 

[Herdware]

Vielleicht sollte der gute Justizminister sich den Grundsatz der Datensicherheit zu Herzen nehmen, dass nur nicht vorhandene Daten wirklich sicher sind. Was erstmal erfasst und gespeichert ist, ist auch immer ein Sicherheitsrisiko.

Da können sich die E-Mail-Provider und sonstige Anbieter von Portalen, für die Login-Daten gespeichert werden, noch so sehr anstrengen. (Wobei ein Wirtschaftsunternehmen auch niemals mehr dafür ausgeben kann als unbedingt nötig.)
Genügend motivierte Hacker werden immer einen Weg finden an diese Daten heran zu kommen.

Und wenn Herr Mass das erstmal begriffen hat, sollte er sich nochmal überlegen, ob sowas wie die verdachtsunabhängige Vorratsdatenspeicherung, die trotz schwerster Bedenken der Verfassungsrichter auch von ihm gewollt ist, wirklich eine gute Idee ist.

 

[gloss]

Gerade die Politik sollte den Ball flachhalten, denn die waren es doch die die DE-Mail einfach so für Sicher erklärt haben, trotz Kritik über die Sicherheitslücken u.a. vom CCC.
http://www.spiegel.de/netzwelt/netz...ndes-mail-per-gesetz-als-sicher-a-895361.html
http://www.zeit.de/digital/datenschutz/2013-03/de-mail-sicher-bundesregierung

an die Daten der DE-Mail sind die mit Sicherheit auch gekommen
Email ist Email .
ich hatte damals "unter Klage und Straf-Androhung zwei Firmen Untersagt meinen Daten über das Internet und DE-Mail zu DE-Mail zu verschicken gem. Datenschutz-Gesetz meiner Rechte das sollte man auch weiterhin tun und wenn eine Firma dagegen verstößt die einfach anzeigen und Verklagen auf Unterlassung

 

[Psychodelik]

... typisch deutscher Politiker, es wird gemeckert, gejammert, geweint, geheult, um den heissen Brei geredet, aber es wird nichts gemacht.

Na dann labert mal schön weiter ihr lieben deutschen Politiker, während die bösen Cracker (das sind die bösen !) fleißig die Konten leer räumen.

Das kommt davon (an die Internetdienstanbieter, Facebook Junkies und sonst welcher Sammler von Daten !) wenn man wie verrückt sammelt, aber ein sch... drum kümmert, was das Thema Sicherheit betrifft.

Egal ich rede ja eh gegen die Wand, in einem halben Jahr werden wahrscheinlich wieder weitere 18 emails geknackt, weil unsere Politiker immer noch um den heissen Brei reden.

Reden, reden, reden, aber in die Tat umsetzen - Fehlanzeige bei den deutschen Behörden und Politikern.

 

[gloss]

achja wart mal ab bis das mit der Gesundheits- Karte kommt mit der Zentralen Speicherung aller Daten auf einem Server

 

[Handysurfer]

Die was Technik bzw. die heutige Zeit betrifft dummen Alten wählen Parteien, voll von dummen Alten die noch weniger Ahnung haben. Dann meckern die, dass die Politiker nichts machen...

Politiker reden und reden permanent und die Bevölkerung beschwert sich ständig über Politiker und wählen die am Schluss erneut oder sitzen mit ihrem f... A... Zuhause und beschweren sich über die Wahlergebnisse.

Deutschland ist das Land der Alten, die nur reden aber NIEMALS handeln. Das gilt auch für Forennutzer, die ständig meckern aber selbst nie etwas unternehmen.

 

[alQamar]

Ich finde es gespenstisch angesichts solcher Mengen nicht mal Namen der Anbieter fallen zu lassen, damit man sich selbst schützen kann.
Ein großes Problem ist immer noch, dass zwar nun viele Anbieter POP / IMAP und SMTP verschlüsselt anbieten, d.h. die Daten (Emails) verschlüsselt werden, die Passwortübertragung jedoch weiter nur unverschlüsselt funktioniert, d.h. die Logindaten (meistens Emailadresse und Passwort) werden im Klartext übertragen.

Weiterhin sind die Standards der Emailverschlüsselung mit SSL und TLS 1.1 /1.2 nach heutigem Stand auch nicht mehr sicher und müssten mindestens TLS 1.3 unterstützen.

 

[Suxxess]

Die Informationspolitik ist auch grausam.

Was wissen wir?
Wir wissen, dass Datensätze inkl. Passwörtern aufgetaucht sind.

Und das war es dann auch schon... . So wichtige Fragen ob die Passwörter
gehashed und gesalzen waren oder sogar im Klartext vorlagen fehlen vollkommen!

Und dann ist natürlich auch die Frage wie die Täter an diese Daten herangekommen sind.
Da auch 15 Millionen nicht deutsche Accounts aufgetaucht sind müssten die Daten entweder zusammengetragen worden sein, oder ggf. wurden sie an einem Knotenpunkt abgefischt.

Ich denke da gerade an den englischen Knotenpunkt für die Unterseekabel an dem die Engänder für die NSA die Daten gesammelt haben und weiterhin sammeln. Meint ihr man sollte eine Schadensersatzklage gegen den englischen Staat anstreben?

 

[Hardwaremensch]

Echt? Die Justiz, allen voran der Herr Justizminister kritisiert? Ausgerechnet der Verein, dem die ganze NSA-Affäre mit Abhören und Bespitzeln so komplett am Arsch vorbei gegangen ist?

 

[Ilsan]

Da können sich die E-Mail-Provider und sonstige Anbieter von Portalen, für die Login-Daten gespeichert werden, noch so sehr anstrengen. (Wobei ein Wirtschaftsunternehmen auch niemals mehr dafür ausgeben kann als unbedingt nötig.)
Genügend motivierte Hacker werden immer einen Weg finden an diese Daten heran zu kommen.

Sorry aber das stimmt so nicht. Es gibt mathematische Einwegfunktionen, Hashwerte. Aus dem Grund muss man das Passwort selbst nicht mehr speichern. Also die Technik und das Wissen ist durchaus vorhanden, ich denke das Hauptproblem liegt da dass man lieber alte Technik statt neue einsetzt da billiger, und auch beim Personal gerne mal spart um der Chefetage mehr Geld zahlen zu können.

Nur fähige klevere Leute arbeiten halt nicht fürn Appel und nen Ei.

Noch dazu sind in meinen Augen die Strafen viel zu gering. Würden hier drakonische Strafen verhängt wenn ein Unternehmen Daten nicht ausreichend gesichert hat, so würde automatisch auch mehr Geld in die Datensicherheit fließen.

Sorry aber Unternehmen denken nunmal wirtschaftlich. Und wenn es nunmal billiger ist ne kleine Strafe zu zahlen wenn was auffliegt anstatt gescheite Technik einzusetzen dann macht man halt Ersteres.

Der "Kunde" ist am Ende mal wieder der Dumme und geht leer aus.

Was wissen wir?
Wir wissen, dass Datensätze inkl. Passwörtern aufgetaucht sind.

Und das war es dann auch schon... . So wichtige Fragen ob die Passwörter
gehashed und gesalzen waren oder sogar im Klartext vorlagen fehlen vollkommen!

Sorry aber dann soll der Redakteur SCHREIBEN was er MEINT. Wenn ich lese dass Passwörter aufgetaucht sind so handelt es sich hierbei wohl um Passwörter im Klartext. Ansonsten schreibt man dass nur Hashes der Passwörter aufgetaucht sind.

Ein Hash ist kein Passwort, soviel technisches Verständnis sollte ein Autor mitbringen ansonsten einfach Tipp: Einfach nicht über Dinge berichten die man nicht versteht.

 

[Kleeh]

Es gibt eine Abfrage beim BSI ob die eigene Adresse eine unter den 18 Mio ist:

https://www.sicherheitstest.bsi.de/

Es handelt sich dabei um den gleichen Test, der bereits im Januar verwendet wurde, die neuen Daten wurden dort eingepflegt.

 

[Bl4ckbeard]

Sollen Sie doch einfach leicht zuknackende Passworte sperren.