neuester Datenklau

Gelöst

Hallo liebe Experten,

sorry, falls ich hier im falschen Bereich gelandet bin.

Habe heute gelesen, dass es wieder einen Datenklau gegeben hat und man die eMail-Adresse

nachprüfen kann, ob die eigene auch darunter ist. Nun habe ich meine eingegeben und da

kam dann  - Oh no  -  pwned!

Gibt es eine Möglichkeit, sonst noch zu überprüfen, ob diese eMail-Adresse nun richtig gefährdet ist?

Dass die Adresse bekannt ist, kann ja vorkommen, wenn man sie schon seit Jahren hat. Aber ob auch

das Passwort herausgefunden wurde, weiß ich nicht.

Ich habe noch nie auf einen Link in einer Mail geklickt, sondern gehe immer über den Browser

auf das Konto.

Gibt es auf T-Online keine Möglichkeit, so etwas wie eine Zweiwege-Anmeldung oder eine Meldung,

falls jemand mit einem falschen Passwort versucht, auf das Konto zu kommen. Also jeder Versuch

wird gemeldet, der fehlgeschlagen ist? Oder eine allgemeine Login-Liste, in der das Datum und

die Uhrzeit aufgeführt ist.

Viele Grüße

 

 

1 AKZEPTIERTE LÖSUNG

Hallo @Laramania,

 

hier ist noch so'n Online-Check:

https://sec.hpi.de/ilc/search?lang=de

 

Die in Deinem letzten Absatz nachgefragten Möglichkeiten gibt es (derzeit?) nicht.

 

VG kws

 

@Laramania,

 

viel machen kann man da nicht.

Man sollte aber noch sensibler mit dem Umgang empfangener E- Mails umgehen!


@jojo1  schrieb:

Man sollte aber noch sensibler mit dem Umgang empfangener E- Mails umgehen!


Man sollte viel sensibler mit all seinen Daten umgehen, die man kommuniziert, überall !

Ist heute leider angesagt !

Lösung

Auf jeden Fall sollten alle Passwörter sicherheitshalber angepasst werden:

https://telekomhilft.telekom.de/t5/E-Mail/Passwoerter-aendern-nach-Missbrauch-der-E-Mail-Adresse/ta-...

Danke für eure Antworten.

 

Also eigentlich passe ich schon sehr gut auf.

Klicke keine Links an und auch keine Downloads werden angeklickt.

Ausser mir schickt jemand etwas zu, über das vorher geredet bzw geschrieben wurde.

Nun ich werde mal wieder die Passwörter ändern, sicher ist sicher.

Die t-online-Adresse ist die einzigste, die aufgeführt wurde.

Aber ich werde mal den anderen Check auch ausprobieren.

Schade, dass es noch keinen Zweiwege-Schutz gibt. Das sollte man mal angehen.

Viele Grüße

 


@Laramania  schrieb:
Schade, dass es noch keinen Zweiwege-Schutz gibt. Das sollte man mal angehen.

Das ist aber auch eine Frage der Verhältnismäßigkeit zum Nutzen und Gebrauch.

Bei einem Bank-/Devisen-/Aktien-Konto ist dies sicherlich dringlich, bei einem einfachen privaten eMail-Account eher fraglich.

Politiker brachten völlig unfachgerecht kürzlich diese Option ins Gespräch, wobei sich dann herausstellte, dass Standardpasswörter, also die, denen jegliche Sicherheitskriterien fehlte, eine vermutete Ursache des Mißbrauchs waren.

Diese Diskussion gab es hier letztens auch schon. Grundsätzliches Einhalten von Sicherheitsspielregeln führt bereits zu riesigem Aufwand für Kriminelle und dann kaum zu deren Erfolg.

Es sei denn, jemand stürzt sich ganz speziell auf ein (lohnendes) Ziel, dann wird eine Abwehr mit einfachen Mitteln eh sehr schwer.

@horthai

 

Diese Denkweise ist absolut falsch.

 

Das "einfache private E-Mail-Konto" ist nämlich der Schlüssel für sämtliche andere Dienste wie Twitter, Facebook, PayPal, Amazon,.. oder auch die Bank. 

 

Und viel Aufwand ist das auch nicht, das einzubauen. 

 

2FA ist heute ein Muss, und da ist die Frage auch nicht "wofür" sondern "wofür nicht". Und das E-Mail-Konto, was der Schlüssel für sämtliche Dienste ist, gehört da definitiv und ohne Zweifel dazu. 

 

Abgesehen davon hängt an dem Login noch die Cloud - und das Kundencenter. 

 

Und, was auch seit Jahren bei anderen Unternehmen Standard ist: eine E-Mail, wenn man sich von einem unbekannten Gerät/Standort anmeldet. Auch das gibt es bei der Telekom noch nicht - einem Unternehmen, was "Sicherheit" so groß schreibt - größer geht fast nicht. 

 

Und das nicht Vorhandensein damit zu begründen, dass die Passwörter bei der Telekom sicher gespeichert werden ... Der hat den Sinn von 2FA noch nicht verstanden.  (Ja, wirklich - diese Begründung gab mir die Telekom)


@patrickn  schrieb:

horthai

 Diese Denkweise ist absolut falsch.


Wollen wir das in Ruhe diskuttieren oder eher lassen ?

Du glaubst, wenn Du schreist, hast Du eher Recht ?

 

Ich kann es gerne noch einmal versuchen, wenn es sachlich bleibt.

Ich habe oben geschrieben, dass es auch "eine Frage der Verhältnismäßigkeit zum Nutzen und Gebrauch ist".

Das kannst Du nicht leugnen !!

Betroffen sind die Entwickler, Bereitsteller und Admins aller Systeme; und der Nutzer, der den zweiten Weg selbst anschaffen muss.

Nicht jeder hat ein Smartphone, einem generell eher unsicheren zweiten Weg.

Diejenigen, die den Service bereit stellen, machen die Rechnung der Verhältnismäßigkeit auf, nicht Du oder Ich.

Wenn Du das 2-Wege-System als nonplusultra siehst, ist das Deine Meinung.

Dem entgegne ich, dass dieses System sofort von allen kriminellen Seiten dieser Erde angegangen wird, wenn alle Inlogs, egal welcher Wertigkeit und Sinnhaftigkeit, durch ein System, nämlich Deinem bevorzugten 2-Wege-System , "gesichert" werden und es sich dann auch wirklich lohnt.

Zudem die meisten User dort Verstehens-Probleme haben werden, wie ich es als Helfer in meinem privaten Umfeld fast täglich erlebe.

Beste Beispiele für unzureichende Verhalten sind ja jetzt schon im einfachen Weg fehlende Passwortsicherheit, immer noch ausdauernde Anwendung von "Papier"-TANs im Online-Banking, fehlerhafte Anwendung aus völlig ungesicherten (Betriebs-)Systemen, fahrlässige Bekanntmachung der Daten usw. usw.

Und das 2-Wege-System wurde auch schon hintergangen, da man aus Bequemlichkeit zwei Wege in einem (Smartphone) zusammenführte.

Dem kann ich nur entgegnen, dass unter Deinen Voraussetzungen, wie Du sie bestimmen möchtest, ausschließlich zur Zeit nur Schlüsselkarte/Chip und Schlüsselgerät höchster Sicherheitsklasse für jegliches "Inlog" zur Sicherheit angebracht sind.

... und das möchtest Du dann für "alles" durchsetzen ?

Deine Meinung in Ehren, von mir aus gerne, aber beachte den Aufwand der realen Umsetzung und Durchsetzung.

Das kriegst Du so nicht durch, da bin ich sicher.

Das ist eine Gradwanderung, die sehr wohl mit einer wirtschaftlichen Verhältnismäßigkeitberechnung geführt wird. Außerdem wird dabei gerne kalkuliert, wie es mit dem Verhältnis steht zwischen normalen Nutzen und Schaden. Da werden (vereinzelte) Schäden dann bewusst auch mal in Kauf genommen und zwingen keinen Verantwortlichen zu einer Änderung.

Die Besonderheit hier bei der Telekom, die Du angesprochen hast, das gleiche Login für verschiedene Services zu nutzen, wird sich beim nächsten größeren Sicherheitsvorfall schnellstens ändern, verlasse Dich drauf. Das ist nur eine Frage der Zeit und der Entwicklung.

Mehrzweckdienliches Inlog findet man (leider) auch noch in anderen Branchenfeldern.

Personalausweis mit Lesegerät hätte was werden können in die richtige Richtung, die Chance wurde leider bisher völlig vertan.

 


@patrickn  schrieb:
Das "einfache private E-Mail-Konto" ist nämlich der Schlüssel für sämtliche andere Dienste wie Twitter, Facebook, PayPal, Amazon,.. oder auch die Bank.

Noch was zu Deiner oben gemachten Aussage:

Wenn das bei Dir der Fall sein sollte, dann müsstest Du aber mal tätig werden.

Das einfache private eMail-Konto darf nicht der Schlüssel für vermögensrelevante Angelegenheiten sein, höchstens für die nächste unverfängliche Info Deines Bankberaters/Deiner Bankberaterin.

Auch mit der richtigen eMail-Adresse, den eMail-Zugangsdaten und den Zugangsdaten zur Bank oder PayPal oder einem anderem Geldkonto darf ein Ungefugter nichts, gar nichts bewegen können. (Höchstens den Stand Deines Kontos ablesen, Verlegen)

Sonst sind Deine Sicherheitskriterien nicht wasserdicht.

Das geht ohne Probleme und ist ausdauerrnd sicher, wohl gemerkt, zum augenblicklichen techn. Stand angenommen.

Du hast einen kleinen Denkfehler - oder nicht verstanden, was ich mit "Schlüssel" meinte - und vergisst einen wichtigen Punkt...

Zugriff auf das E-Mail-Konto = Passwort-Wiederherstellung sämtlicher Dienste, ergo auch Zugriff auf diese Dienste.

Gelöschter Nutzer

@patrickn  schrieb:

2FA ist heute ein Muss


Und die beiden Faktoren befinden sich bei ONU dann üblicherweise auf dem Smartphone.


@patrickn  schrieb:

Du hast einen kleinen Denkfehler - oder nicht verstanden, was ich mit "Schlüssel" meinte - und vergisst einen wichtigen Punkt...

Zugriff auf das E-Mail-Konto = Passwort-Wiederherstellung sämtlicher Dienste, ergo auch Zugriff auf diese Dienste.


Also, bei meinen Dienstleistungssystemen (Geldinstitut/Bank), die ich als Kunde in Anspruch nehme, ist die Passwort-Wiederherstellung per eMail gar nicht möglich. Man kann auch mit den Originaldaten des Inlogs nichts, gar nichts ändern, nicht mal Glückslose bestellen. Wie ich schon ausführte, darf ein Einbruch in "ein" eMail-Konto durch eine Passwort-Wiederherstellung bei diesen gravierenden Diensten auch nicht zu entsprechenden Folgen führen. Bei Facebook z. B., das Du ja explizit angesprochen hast, kann man sofort auf ausgewählten Wegen gewarnt werden, wenn von außerhalb unauthorisiert sogar mit den korrekten Daten zugegriffen wird. Das war, meine ich, auch bei Twitter so, kann es aber nicht mehr genau sagen, da ich mich aus Sicherheitsgründen davon schnell losgesagt habe. Zum Verständnis, ich habe nichts gegen 2-Wege-Authorisierung, nur bitte im entsprechenden Nutzungs- u. Wertigkeitsverhältnis. Ein zweites internes eMail-Konto aus einer anderen Quelle fast ausschließlich nur für das besagte Passwort-Management, wo notwendig, natürlich mit sicheren Inlog-Daten, sehen sogar ausgewiesene IT-Experten als völlig ausreichend an. Durch die Fast-nicht-Nutzung kommt keine fremde eMail an, also kein Schädling, ist übersichtlich, geringster Aufwand, damit einfach und im Handling für den einfachsten Nutzer sehr sicher. By the way, diese "Passwort-Wiederherstellung" sehe ich aber generell auch nicht als sichere Option, auch bei wenig sicherheitsrelevanten Diensten, meiner bescheidenen Meinung nach.

Das ist aber alles keine Entschuldigung, warum es die Telekom bis heute nicht anbietet. Und es geht hier, wie schon gesagt, nicht ausschließlich um E-Mail, sondern auch das Kundencenter.

Und ob man es nutzt, oder nicht, bleibt jedem selbst überlassen. Es gar nicht erst anzubieten ist heute in jedem Fall der falsche Weg - und da gibt es eigentlich auch keine Ausrede. Und schon gar nicht die, welche die Telekom angibt, die Passwörter würden ja sicher gespeichert werden - das hat mit 2FA Mal so gar nichts zutun, wie sicher das Passwort gespeichert ist. (Funfact: hat die Telekom bis vor einigen Monaten nicht noch das Email Passwort im Klartext angezeigt...?!?)

Und 2FA zu implementieren ist wirklich, also wirklich wirklich, kein großer Aufwand. Das sollte für die IT-Profis, wie sie sich die Telekom leisten kann, innerhalb - maximal, aber wirklich maximal - in einer Woche schaffen. Aber das "Wollen" dürfte hier, wie so oft, mal wieder das Problem sein.

So wie ich den Artikel verstanden habe, versuchen diese Datendiebe, immer wieder mit vorhandenen eMail-Adressen

und gleichzeitig ergaunerten Passwörter sich irgendwo einzuloggen. Dass das wohl in den meisten Fällen nicht beim

ersten oder zweiten Versuch klappt, könnte ich mir da gut vorstellen. Aber wenn die das immer wieder mit anderen

Variationen ausprobieren, könnte es ja mal klappen.

Nun sollte man bei Telekom auch schon nach einem fehlerhaften Loginversuch eine Meldung erhalten, dass sich

da jemand Zugang verschaffen wollte. So hat man dann die Möglichkeit, sofort mit einer Passwortänderung den

Schaden abzuwehren. Falls man es nicht selber mit einem Tippfehler verursacht hat.

Ich habe noch ein anderes eMail-Konto bei einem anderen eMail-Anbieter. Wenn ich mich da mal vertippe, bekomme ich

die Info, dass ein Fehlversuch stattgefunden hat, sobald ich mich eingeloggt habe. Ist mir jetzt nur noch nicht bei

Telekom passiert.

Viele Grüße

 

 

 


@Laramania  schrieb:

Wenn ich mich da mal vertippe, bekomme ich die Info, dass ein Fehlversuch stattgefunden hat ... .

Finde ich auch eine gute und interessante Option.

Problem bleibt aber das Verstehen und die Interpretation des Einzelnen.

Dieses Verfahren findet auch immer mehr Anwendung bei bemühten Anbietern. Über den Übermittlungsweg kann man streiten, denn diese Meldung sollte m. E. auf jeden Fall direkt den Nutzer erreichen, per SMS, Messenger oder App, unter bestimmten Voraussetzungen auch per eMail.


@patrickn  schrieb:
Aber das "Wollen" dürfte hier, wie so oft, mal wieder das Problem sein.

Aber patrickn, das ist es doch immer, bei jedem.

Sonst hätten wir doch nicht die unzähligen Sicherheitsprobleme jeden Tag zu bewältigen.

... und gerade wieder millionenfache persönliche Daten offen im Internet herum liegen. Traurig

Bei der Telekom kann man doch für Email und Kundencenter jeweils eigene Kennwörter vergeben, oder nicht? 

 

Man kann zwar für seine Bankgeschäfte ein spezielles Emailkonto anlegen. Das ist aber auch nur sicher solange Hacker das Bankensystem nicht knacken können.

Am Jahresanfang habe ich versucht, für Kundencenter/Telekom Login, Community, und eMail-Center differente Kennwörter vorzugegeben und bin gescheitert. Habe aber nicht lange probiert, um mich letztendlich nicht auszusperren.

Vielleicht hat da jemand bessere Erfahrungswerte. Wüsste ich auch gerne ... .

 

Zu Deinem Nachsatz:

Wenn das Große (Bankserver) aufgebrochen wird, geht eine Lawine durchs Land, die viele andere auch treffen werden.

 


@wizer  schrieb:

Bei der Telekom kann man doch für Email und Kundencenter jeweils eigene Kennwörter vergeben, oder nicht? 


 Soweit mir bekannt nur 

- für das Email Center, Kundencenter, Cloud eines zusammen

- E-Mail Passwort, für Pop/IMAP und "neuerdings" 

- ein webdav-Passwort

 

Die online Dienste laufen ja alle über den "Telekom Login", wo es ja selbst seitens Telekom frei übersetzt "eins für alles" heißt. Screenshot_20190118-093433.png

 

 

 

Ich habs vor längerer Zeit auch mal probiert und verschiedene Passwörter eingestellt.

Ging voll daneben, kam nicht mehr rein. Musste wieder auf das alte Passwort gehen.

Wenn ich im Kundencenter ein anderes neues Passwort einstellen könnte, würde ich

mich schon etwas sicherer fühlen. Mehr oder weniger.  Zwinkernd

Bei dem einen Link habe ich es auch mal mit der eMail-Adresse probiert. Da bekam ich

Bescheid, dass meine eMail-Adresse von 3 Stellen ausgelesen wurde. 2 Seiten, bei denen

ich vor Jahren Spiele gekauft habe und dann noch was mit einem alten Programm. Aber keine

Passwörter bei denen, die wo anders verwendet werden. Bin nun etwas entspannter.

Vielleicht werde ich mir nur noch im Internet Sachen kaufen, wo ich mich nicht registrieren muss. Zwinkernd

Wenn Telekom sich entschließen könnte, bei fehlerhaften Logins eine Warnung auszugeben, wäre sicher

eine große Hilfe. Ich glaube nicht, dass das so ein großer Programmier-Aufwand wäre.

Viele Grüße