Das Telekom Sicherheitsteam

Unser Sicherheitsteam hat Informationen erhalten, dass über Ihre E-Mail-Adresse Spam-E-Mails versendet wurden und Ihr Telekom Login (Benutzername und Passwort) in die Hände Dritter gelangt ist. Zu Ihrer Sicherheit haben wir Ihren Telekom Login (Kundencenter, E-Mail Center) gesperrt und den Versand sowie Empfang von E-Mails über E-Mail-Programme (wie Outlook oder Smartphone-Apps) eingeschränkt.

Was können Sie jetzt tun?
Zu Ihrem Schutz werden Sie beim nächsten Login automatisch durch den Passwort-Änderungsprozess geleitet, um sich ein neues Passwort für Ihren Telekom Login zu vergeben. Stellen Sie vor dem Passwort-Wechsel sicher, dass Ihr Gerät frei von Viren und Trojanern ist. Verwenden Sie hierzu eine Schutz-Software Ihrer Wahl.

Nach dem Passwort-Wechsel erfolgt eine automatische Freischaltung der Services. Unser Sicherheitsteam informiert Sie im Nachgang zusätzlich per E-Mail. 

Weitere Informationen zu diesem Thema erhalten Sie in unserem Phishing Ratgeber.

Kontrollieren Sie zudem Ihre Einstellungen im E-Mail Center. Klicken Sie dazu auf das Zahnrad (oben rechts) und auf "Alle Einstellungen anzeigen". Prüfen Sie im Menü auf der linken Seite folgende Punkte:

• E-Mail-Adresse und zusätzliche E-Mail-Adressen unter "Konto".
• Signatur, Filterregeln, Weiterleitung, Absendername und Antwortadresse unter "E-Mail-Optionen".

Sollten Einstellungen verändert worden sein, löschen Sie diese.

Weitere Tipps zum Schutz für Ihren Telekom Login finden Sie in unserem Video zum sicheren Heimnetz.

Unser Sicherheitsteam hat Ihren Telekom Login (Benutzername und Passwort) mit einem gültigen Passwort im Internet gefunden. Über diesen Identitätsdiebstahl haben wir Sie schriftlich informiert. 

Zu Ihrer Sicherheit haben wir Ihren Telekom Login (Zugang z. B. zum Kundencenter oder E-Mail Center) gesperrt. Um Missbrauch zu verhindern, wurden darüber hinaus sowohl der Versand (SMTP) als auch der Empfang (IMAP) von E-Mails über E-Mail-Programme wie Outlook oder Smartphone-Mail-Apps eingeschränkt.

Was können Sie jetzt tun?
Das haben wir Ihnen auf unserer Seite zum Diebstahl Ihrer Telekom Login-Daten zusammengestellt.

Aufgrund verdächtiger Zugriffe auf Ihr Kundencenter haben wir Ihren Telekom Login (Kundencenter, E-Mail Center) gesperrt. Um Missbrauch zu verhindern, wurde darüber hinaus sowohl der Versand (SMTP) als auch der Empfang (IMAP) von E-Mails über E-Mail-Programme (z. B. Outlook, Smartphone-Mail-Apps) eingeschränkt.

Was können Sie jetzt tun?
Zu Ihrem Schutz fordern wir Sie beim nächsten Login auf, die betroffenen Passwörter zu ändern. Sie werden automatisch durch den Passwort-Änderungsprozess geleitet. 

Nach der Änderung Ihrer Passwörter wird Ihr Telekom Login automatisch freigeschaltet und unser Sicherheitsteam informiert Sie anschließend noch einmal per E-Mail.

Eines oder mehrere Geräte in Ihrem Netzwerk, z. B. Ihr Smartphone oder Computer, sind vermutlich mit Schad-Software infiziert. Welches Ihrer Geräte genau betroffen ist, können wir nicht prüfen. Unser Sicherheitsteam informiert Sie über den Zeitpunkt und Infektionsnamen.

Was können Sie jetzt tun?
Überprüfen Sie Ihre Systeme und Geräte wie folgt:

• Vollständigen Viren-Scan durchführen
  Nutzen Sie eine aktuelle und vertrauenswürdige Antiviren-Software auf allen Computern, die aktuell in Ihrem Netzwerk sind oder zuvor waren. Führen Sie einen vollständigen System-Scan durch.
• Malware und Adware entfernen
  Entfernen Sie alle gefundenen Bedrohungen gemäß den Anweisungen der Software.
• Alle Passwörter ändern
  Ändern Sie alle Passwörter für Online-Dienste (E-Mail, Online-Banking, Social Media, Cloud-Speicher etc.). Starten Sie mit dem Passwort Ihres Haupt-E-Mail-Kontos, da dieses oft zur Wiederherstellung anderer Passwörter verwendet wird.
• Unbekannte Software deinstallieren
  Überprüfen Sie Ihre installierten Programme auf unbekannte oder verdächtige Software und deinstallieren Sie diese.
• Browser-Erweiterungen überprüfen 
  Deaktivieren oder entfernen Sie alle unnötigen oder unbekannten Browser-Erweiterungen.
• System und Software aktualisieren
  Stellen Sie sicher, dass Ihr Betriebssystem (Windows, macOS) komplett aktualisiert ist.

Eine weitere Bedrohung für Ihre Geräte und Daten nennt sich Badbox.

Was ist Badbox?
Badbox ist keine einfache Infektion, die durch das Öffnen einer schädlichen E-Mail oder den Besuch einer Web-Seite entsteht. Stattdessen handelt es sich um eine Malware, die auf bestimmten Android-Geräten bereits vorinstalliert ist. Diese Geräte, oft preisgünstige Android-Smartphones, Tablets, TV-Boxen oder digitale Bilderrahmen, stammen hauptsächlich von weniger bekannten Herstellern. Die Malware ist tief in der Firmware der Geräte versteckt und infiziert diese schon während der Herstellung oder entlang der Lieferkette. Sobald ein infiziertes Gerät angeschaltet und mit dem Internet verbunden wird, wird es Teil eines sogenannten Botnets. 

Was können Sie jetzt tun?
Die Entfernung von Badbox ist extrem schwierig, da die Malware in der Firmware des Geräts fest verankert ist. Das bloße Deinstallieren von Apps, ein Viren-Scan oder sogar ein Zurücksetzen auf die Werkseinstellungen (Factory Reset) ist meist nicht ausreichend, da sich die Malware selbstständig wiederherstellen kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Fachleute für Sicherheit raten, infizierte Geräte sofort außer Betrieb zu nehmen. Eine wirksame Entfernung der Malware ist oft nicht möglich.

Aufgrund verdächtiger Käufe, die auf eine missbräuchliche Nutzung hindeuten, wurde Ihr Telekom Login vorübergehend eingeschränkt. Sowohl der Versand als auch der Empfang von E-Mails über Ihre E-Mail-Adresse (z. B. über Outlook oder Smartphone-Mail-Apps) sind derzeit nicht möglich.

Jedes Gerät im Internet hinterlässt einen Abdruck (Device Fingerprint), der fast so einmalig ist wie ein Fingerabdruck. Sofern über ein unbekanntes Gerät Käufe vorgenommen werden, erfolgt ein Alarm und Sie, als betroffene Person, werden von unserem Sicherheitsteam schriftlich darüber informiert.

Was können Sie jetzt tun?
Zu Ihrem eigenen Schutz fordern wir Sie beim nächsten Login auf, Ihre betroffenen Passwörter zu ändern. Sie werden automatisch durch den Passwort-Änderungsprozess geleitet. 

Nach der Änderung Ihrer Passwörter erfolgt die Freischaltung Ihres Telekom Logins automatisch und unser Sicherheitsteam informiert Sie anschließend noch einmal per E-Mail.

Wir haben Ihren Telekom Login wegen missbräuchlicher Verwendung gesperrt und Sie zu einem der folgenden Missbrauchsszenarien informiert: 

• Auf Ihrer Homepage existiert mindestens ein Eingabeformular, welches zum Versand von Spam-E-Mails genutzt wurde.
• Über eine Ihrer domainbasierten E-Mail-Adressen wurden Spam-E-Mails versendet.
• Auf Ihrer Homepage befindet sich eine vorgetäuschte Internet-Präsenz (z. B. von einer Bank), um von vermeintlichen Nutzern Zugangsdaten zu stehlen.
• Auf Ihrer Homepage wurde ein sogenanntes Phishing-Formular oder eine Weiterleitung darauf gefunden. Dies kann dazu dienen, Daten und Zugangsinformationen von Dritten (z. B. von Banken und Providern) zu stehlen.
• Auf Ihrer Homepage befinden sich Inhalte, die durch Spam-E-Mails beworben werden.

Was können Sie jetzt tun?
Ändern Sie im Homepage Center die Passwörter der betroffenen domainbasierten E-Mail-Adresse, sofern es sich nicht um die Standard "admin@-Adresse" handelt. Starten Sie den "Dateimanager" im Homepage Center. Prüfen Sie, ob Dateien oder Verzeichnisse vorhanden sind, die nicht von Ihnen angelegt wurden. Achten Sie dabei auf ungewöhnliche Namen und auf das Erstellungsdatum der Elemente. Haben Sie solche Elemente gefunden, löschen Sie diese. In diesem Fall liegt der Verdacht nahe, dass Ihre Zugangsdaten an Dritte gelangt sind.

Bitte ändern Sie in den Login-Einstellungen das Passwort Ihres Telekom Logins, als auch das E-Mail- und FTP-Passwort.

Wenn ein Homepage-Produkt ohne Ihr Zutun angemeldet wurde, wenden Sie sich per E-Mail an unser Sicherheitsteam.

Haben Sie weitere Nutzer im Homepage Center festgestellt?
Wenn Ihnen unter "E-Mail & Benutzer" im Homepage Center weitere Nutzer auffallen, die nicht von Ihnen stammen, löschen Sie diese.

Wie können Sie Ihre Homepage entsperren?
Zum Entsperren Ihrer Homepage wenden Sie sich an unser Sicherheitsteam. Nach der Entsperrung und Änderung Ihrer Passwörter gehen Sie im Homepage Center auf "Website/Wartungsseite" und deaktivieren dort die Wartungsseite. 

Hinweis: Wenn Sie ein Content-Management-System (CMS, z. B. Joomla oder WordPress) verwenden, prüfen Sie, ob alle Updates durchgeführt wurden. Ändern Sie in dem CMS Ihre Passwörter und deaktivieren Sie überflüssige Plugins und Erweiterungen. Wenn Sie sicher sind, dass alle Formulare entfernt wurden und kein weiterer Versand von Spam-E-Mails erfolgen kann, deaktivieren Sie die Wartungsseite dauerhaft. 

Nutzen Sie auf Ihrer Homepage ein Kontaktformular, Gästebücher oder Kommentarfelder?
Dann überlegen Sie sich bitte, wie Sie diese zusätzlich absichern können. Eine Möglichkeit ist z. B. die Verwendung von Captchas.

Uns liegen Hinweise vor, dass über Ihren Internet-Zugang unerlaubte oder missbräuchliche Zugriffe auf fremde Computer oder Systeme erfolgt sind, ein Vorgehen, das allgemein als Hacking bekannt ist. 

Was können Sie jetzt tun?
Bitte überprüfen Sie die Einstellungen Ihrer Geräte und ändern Sie Ihre Passwörter, zum Beispiel für den Router, das Online-Banking und andere Zahlungsdienste (PayPal etc.). Auch Passwörter für Social Media und andere wichtige Online-Dienste gehören dazu. Verwenden Sie die Mehr-Faktor-Authentifizierung. Überprüfen und bereinigen Sie Ihre Geräte. Installieren oder nutzen Sie eine aktuelle Antiviren-Software und aktualisieren Sie Ihr Betriebssystem und Software (Browser, Office-Suiten etc.).

Maßnahmen und Prävention:

• Regelmäßige Backups
• Firewall aktivieren und konfigurieren
• Vorsicht bei Links und Anhängen

Weitere Informationen zum Thema Hacking und sicheren Passwörtern, erhalten Sie in unserem Video zum Schutz vor Cyberkriminalität.

Unser Sicherheitsteam hat Informationen erhalten, dass Spam-E-Mails über Ihren Internet-Zugang versendet wurden und hat Sie schriftlich darüber informiert.

Dass Spam-E-Mails über Ihre IP-Adresse versendet wurden, ist ein klares Zeichen dafür, dass etwas mit Ihrem Netzwerk oder einem Ihrer Geräte nicht stimmt. Es bedeutet nicht unbedingt, dass jemand direkt Ihren E-Mail-Account gehackt hat, sondern eher, dass Ihre Internet-Verbindung missbraucht wird.

Hier sind die häufigsten Wege, wie das passieren kann:

Ihr Gerät ist Teil eines Botnets
Sie könnten sich die Malware durch das Klicken auf einen Phishing-Link, das Öffnen eines schadhaften E-Mail-Anhangs, das Herunterladen von Software von unsicheren Quellen oder den Besuch infizierter Web-Seiten eingefangen haben.

Der Missbrauch: Der Angreifer nutzt Ihren Computer, um Massen-Spam zu versenden, ohne dass Sie es merken. Ihr Computer ist dabei der "Absender" der E-Mails, und diese werden direkt von Ihrer öffentlichen IP-Adresse versendet, nicht über den regulären E-Mail-Server Ihres Internet-Anbieters.

Ihr Router wurde kompromittiert
Ihr Router ist das Tor zu Ihrem Heimnetzwerk. Wenn er unsicher ist, kann er missbraucht werden, durch:

• Schwache Router-Passwörter
• Sicherheitslücken in der Router-Firmware

Der Missbrauch: Ein kompromittierter Router kann so konfiguriert werden, dass er als Proxyserver fungiert oder sogar einen eigenen kleinen Mailserver startet, um Spam direkt über Ihre IP-Adresse zu versenden.

Ihr Mail-Relay ist offen
Ein E-Mail-Server ist dafür gedacht, E-Mails zu versenden. Wenn ein E-Mail-Server so konfiguriert ist, dass er E-Mails von jedem "Absender" an jeden "Empfänger" weiterleitet, ohne Authentifizierung, spricht man von einem "offenen Relay".

Bei Privatpersonen ist es sehr unwahrscheinlich, dass ein eigener E-Mail-Server verwendet wird, der als offenes Relay missbraucht wird. Dies betrifft eher Unternehmen oder Server-Betreibende. Sollten Sie jedoch versehentlich einen E-Mail-Server auf einem Ihrer Geräte eingerichtet und nicht korrekt gesichert haben, könnte dieser ausgenutzt werden.

Der Missbrauch: Spammer nutzen solche offenen Relays, um ihre wahre Herkunft zu verschleiern und Spam in großen Mengen zu versenden.

Ihr System wurde kompromittiert
Wenn Spam-E-Mails über Ihre IP versendet werden, besteht Handlungsbedarf.

Was müssen Sie jetzt tun?

• Ändern Sie alle wichtigen Passwörter (Router, E-Mail, Online-Banking).
• Scannen Sie alle Geräte gründlich mit einer aktuellen Antiviren-Software und entfernen Sie Malware.
• Aktualisieren Sie Ihre Software (Betriebssysteme, Browser, Router-Firmware) auf den neuesten Stand.

Wir haben Hinweise erhalten, dass an Ihrem Router eine Portweiterleitung auf einen problematischen Dienst eingerichtet ist oder in einem Ihrer Systeme eine Sicherheitslücke besteht. 
Unser Sicherheitsteam hat Sie schriftlich informiert und Ihnen die IP-Adresse, den Zeitpunkt und den offenen Dienst/Port mitgeteilt. 

Ein offener Dienst/Port unter Ihrer IP-Adresse ermöglicht eine Nutzung durch Dritte. Oftmals wird dies durch die Übernahme einer Standardkonfiguration oder die Beibehaltung des Auslieferungszustands von z. B. Routern begünstigt. 

Die Sicherheitslücken können von Dritten benutzt werden, um über Ihren Anschluss diverse Web-Seiten und Internet-Dienste anzugreifen (DOS-Angriff). Diese DOS-Angriffe können nur verhindert werden, wenn der betroffene Dienst nicht mehr aus dem Internet erreichbar ist.

Was können Sie jetzt tun?
Schließen Sie die Sicherheitslücke, indem Sie den offenen Dienst absichern. So vermeiden Sie Schäden bei sich und anderen, für die Sie haftbar gemacht werden können. Wenden Sie sich bei Fragen zu der betroffenen Anwendung an den jeweiligen Hersteller.

Router-Check und Konfiguration

• Überprüfen Sie Portweiterleitungen
  Löschen Sie alle Portweiterleitungen, die Sie nicht selbst bewusst und absichtlich eingerichtet haben. Wenn Sie Weiterleitungen benötigen (z. B. für Spiele-Server), überprüfen Sie diese genau. Stellen Sie sicher, dass sie nur auf die korrekte interne IP-Adresse und den korrekten Port verweisen und nur bei Bedarf aktiv sind.
• Deaktivieren Sie UPnP (Universal Plug and Play)
  Diese Funktion ermöglicht Geräten im Heimnetz, automatisch Ports zu öffnen. Das ist zwar bequem, aber auch eine Sicherheitslücke. Schalten Sie UPnP in den Router-Einstellungen aus, es sei denn, Sie wissen genau, warum Sie es benötigen.
• Suchen Sie nach unbekannten Geräten im Netzwerk
  Viele Router zeigen eine Liste der verbundenen Geräte an. Überprüfen Sie, ob dort unbekannte Geräte auftauchen.
• Aktualisieren Sie die Router-Firmware
  Gehen Sie auf die Web-Seite des Herstellers Ihres Routers und suchen Sie nach einem Firmware-Update für Ihr spezifisches Modell. Laden Sie die neueste Version herunter und installieren Sie sie gemäß den Anweisungen des Herstellers. Dies schließt bekannte Sicherheitslücken.

Hilfreiche Videos zur Löschung von Portweiterleitungen im Speedport oder einer FRITZ!Box haben wir hier für Sie zusammengestellt:

Wegen verdächtiger Zugriffe auf Ihr Kundencenter und missbräuchlicher Anrufweiterleitung über Ihr Telefoniecenter wurde Ihr Telekom Login eingeschränkt. Durch die Weiterleitung sind Sie telefonisch nicht mehr erreichbar und es können Verbindungskosten entstehen.

Was können Sie jetzt tun?
Zu Ihrem Schutz werden Sie beim nächsten Login automatisch durch den Passwort-Änderungsprozess geleitet, um sich ein neues Passwort für Ihren Telekom Login zu vergeben.

Nach dem Passwort-Wechsel melden Sie sich bitte im Telefoniecenter an und prüfen Ihre Einstellungen. Klicken Sie auf "Rufnummer auswählen" und kontrollieren Sie je Rufnummer unter "Erreichbarkeit" und "Anrufweiterleitung" vorhandene Weiterleitungen. Nicht gewünschte Anrufweiterleitungen können Sie direkt unter "Weiterleitungen deaktivieren" löschen.