Bundesamt für Sicherheit in der Informationstechnik

Stellungnahme des BSI zum erneuten Datendiebstahl bei Yahoo

Ort Bonn
Datum 15.12.2016

Der Internetkonzern Yahoo hat zum wiederholten Male eingeräumt, Opfer eines umfangreichen Diebstahls von Kundendaten geworden zu sein. Dabei sind 2013 offenbar mehr als eine Milliarde Datensätze abgeflossen, darunter Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Sicherheitsfragen zur Feststellung der Identität der Kunden. Aufgrund der hohen Anzahl der kompromittierten Konten ist auch von zahlreichen betroffenen Nutzern in Deutschland auszugehen.

Auch Passwörter der Nutzer seien abgeflossen, diese seien jedoch mit der MD5-Hashfunktion geschützt worden. Der MD5-Algoritmus entspricht jedoch nicht mehr dem Stand der Technik und ist als unsicher anzusehen.

Hierzu erklärt Arne Schönbohm, Präsident des BSI: "Der Schutz ihrer Kundendaten sollte bei allen Anbietern höchste Priorität haben. Sie sind in der Verantwortung, sich gegen Cyber-Angriffe zu schützen und die Kundendaten nach dem Stand der Technik abzusichern, beispielweise auch durch die Nutzung moderner Verschlüsselungstechniken. Angesichts der wiederholten Fälle von Datendiebstahl sollten aber auch die Anwender genauer hinschauen, welche Dienste sie zukünftig nutzen wollen und dabei die Sicherheit zu einem Entscheidungskriterium machen. Im Bereich E-Mail gibt es eine Reihe von Anbietern aus Deutschland, für die Sicherheit kein Fremdwort ist."

Um Sicherheit auch den Kunden gegenüber nachweisen zu können, empfiehlt das BSI E-Mail-Diensteanbietern eine Zertifizierung ihrer E-Mail-Dienste nach der BSI-Richtlinie "Secure E-Mail Transport". Diese ermöglicht einen unabhängigen Nachweis über die Sicherheitsleistung des E-Mail-Dienstes.

Was muss ich als Nutzer tun?

Anwender, die einen Yahoo-Account haben oder in der Vergangenheit hatten, sollten das dort genutzte Passwort sowie auch die bei Yahoo angegebenen persönlichen Sicherheitsfragen und Antworten ändern. Das Passwort sollte auch für andere Internet-Dienste, Online Shops oder Social Media Accounts nicht mehr genutzt werden. Generell rät das BSI Anwendern, nur Daten anzugeben, die dringend zur Nutzung des jeweiligen Dienstes erforderlich sind. "Um einen Newsletter per E-Mail zu erhalten, sollte man nicht seine Postadresse oder Telefonnummer angeben müssen. Persönliche Daten sind ein wertvolles Gut, mit dem man sparsam umgehen sollte", empfiehlt BSI-Präsident Schönbohm. Weitere Tipps und Empfehlungen für die sichere Internetnutzung stehen unter https://www.bsi-fuer-buerger.de zur Verfügung.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK