Dann könnten Hacker sich mit den gestohlenen Daten beispielsweise in Online-Shops anmelden und dort auf fremde Rechnung Waren bestellen oder aber Konten bei sozialen Netzwerken wie Facebook oder Twitter übernehmen.

Passwörter ändern

Wie erwähnt, das würde nur dann passieren, wenn bei den jeweiligen Diensten die abgegriffenen Kombinationen aus Mailadresse und Passwort genutzt werden. Vorsichtshalber sollte man diese Daten ändern.

Worauf es die Hacker aber viel wahrscheinlicher abgesehen hatten, war der Zugang zum eigentlichen Postfach und damit dem Mailserver der Betroffenen. Jeder kennt wohl das Problem, wenn er seine Mails abruft: Ein nicht unerheblicher Teil besteht aus nutzlosem, zeitraubendem Spam.

Schon vor Jahren kam eine Untersuchung der Universität Maryland zu dem Ergebnis, dass diese Flut von Spam-Mails Amerikaner jährlich 22 Milliarden Dollar kosteten, was sich allein aus dem Zeitaufwand errechnete, der nötig war, diese jeden Tag zu löschen.

Versender von Spam-Mails schicken nicht zehn, 100 oder 1000 Mails auf einmal los, die Zahlen gehen in die Millionen. 2009 schätzte der Anti-Virensoftwareanbieter Symantec, dass Auftraggeber für das Versenden von einer Million Spam-Mails zehn Dollar zu zahlen hätten.

Zwar ist die Technik inzwischen deutlich verbessert worden, Spam-Mails herauszufiltern, die Kosten sind noch immer hoch. In einem Jahr etwa verbrauchen Spam-Mails so viel Strom, wie 2,4 Millionen Haushalte, fand eine Studie der Unternehmen McAfee und ICF International heraus.

Lukratives Geschäft

Obwohl der Streuverlust bei diesen Mails natürlich gigantisch ist - viele landen direkt im Spam-Filter, Mails von Servern, die auf einer Blacklist stehen, werden gar nicht erst angenommen, die übriggebliebenen werden von den Usern meist gelöscht - sind solche Kampagnen oft lukrativ, für den Auftraggeber und den Versender.

Werden 100 Millionen Mails verschickt, bekommt der Versender dafür nach oben genannten Kursen 1000 Dollar. Reagieren auf diese Mails nur 0,1 Prozent der Empfänger mit einer Bestellung, wären das immer noch 100.000 Käufe. Selbst bei deutlich geringeren Reaktionen würde sich das Geschäft noch immer lohnen.

Das Problem, das diese Spam-Versender nun haben ist es, Mailadressen für den Versand der Mail zu bekommen. Natürlich können sie nicht mal eben 100 Millionen Mails über ihr privates Mail-Konto verschicken. Sie müssen diese Last auf möglichst viele Server verteilen. Vor allem auf Server, die in den Anti-Viren- und Anti-Spam-Prgrammen noch nicht als verdächtig geführt werden. Sonst würde die Mailflut direkt im Spam-Ordner landen.

Und so sind die Spam-Versender natürlich ständig auf der Suche nach frischen, unverbrauchten Mailadressen und -servern, um ihre Flut absetzen zu können. Genau dafür dürften auch die gestohlenen 16 Millionen Datensätze gedient haben.

Weil das BSI bereits seit Dezember von dem Datenklau wusste, der ja schon eine Zeit davor stattgefunden hatte, sind möglicherweise über viele dieser Adresse bereits Spam-Mails verschickt worden, ohne dass die User etwas davon mitbekommen haben.

Laut einer Statistik von Spamhaus liegt Deutschland aktuell (22. Januar) weltweit auf Platz neun der Länder, aus denen der meiste Spam verschickt wird. Zu diesem zweifelhaften Ruhm haben vielleicht auch die gestohlenen Mailadressen beigetragen.

>>>Hier können Sie beim BSI prüfen, ob Ihre Mailadresse betroffen ist<<< (Seite ist wegen der hohen Last teilweise nicht oder nur schwer erreichbar)