Also entweder läuft bei #GMX  was falsch oder beim #BSI  

Ich hatte meine Mailadressen beim BSI geprüft und glaubte mich glücklich schätzen zu können, keine Treffer zu haben. Beruhigt habe ich das auch gestern gepostet.

Dann erhielt ich gestern Abend um halb acht eine Mail vom GMX-Kundenmanagement.

Sicherheitssperre Ihres Postfachs

Lieber GMX Nutzer,

mit diesem Sicherheitshinweis möchten wir Sie über einen Fall von Identitätsdiebstahl informieren, von dem auch Sie betroffen sind. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden Zugangsdaten für Online-Dienste gekapert. Die Datensätze enthalten E-Mail-Adresse und Passwort, dies bedeutet jedoch nicht, dass lediglich E-Mail-Konten betroffen sind. Mithilfe des vom BSI eingerichteten Sicherheitstest unter https://www.sicherheitstest.bsi.de/, können Sie dies noch einmal verifizieren.

Ich dachte, dass könne nicht wahr sein. Nach einer Kennwortänderung habe ich also erneut alle meine Mailadressen von GMX (18 Stück) beim BSI eingegeben. Wieder kein Treffer.

Damit ist für mich die gesamte Prüfung von den "Providern" wie auch vom BSI für die Katz. Wenn ich (vermeintliche?) False-Positive habe, die nur auf der Grundlage eines Zeichenkettenvergleichs von Mail-Adressen schon ausschlagen und das für mich NICHT erkennbar ist bei wem das Problem sitzt, kann ich mich auf gar nichts verlassen. 

Das BSI schickt keine Mails, wenn die E-Mail nicht betroffen ist und GMX informiert nicht, welche Adresse im Datenpool gefunden wurde. Das ist doch FUD vom feinsten.

Also bleiben mir nun folgende Zweifel:

- BSI hat ein Mailversendeproblem
- BSI kann die eigene Datenbank nicht korrekt prüfen
- GMX kann die von der BSI gestellten Daten nicht richtig prüfen
- GMX prüft gar nicht und verschickt Sperrmeldungen
- Ich habe auf mind. einer der Mailadressen ein Problem oder nicht 

Im schlimmsten Fall kann es sein, dass Menschen beim BSI Mails prüfen und glauben, bei ihnen wäre alles in Ordnung, weil ja nur den "großen" Providern die Daten zur Verfügung gestellt werden...

Da stellt sich mir noch eine andere Frage: Erhalten GMX und Telekom wirklich die Daten oder dürfen sie nur ihren Bestand gegen eine API der BSI-Server automatisiert testen?

/cc +heise online und +c't magazin (+Jürgen Kuri): Gibt es noch andere, die sowas gemeldet haben?  

Ich bin auf jeden Fall höchst verunsichert. 
Photo
Shared publiclyView activity