Identitätsklau – Bürger attackieren das BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte ja gestern gewarnt, dass millionenfach Online-Identitäten gestohlen wurden und man doch bitteschön seine Email-Adresse überprüfen möge. Kein Wunder war es dann, dass die Webseite, auf der man die Überprüfung durchführen sollte, zum Erliegen kam. Schließlich hatte das BSI von 16 Millionen betroffenen Benutzern gefachsimpelt.

Heute – einen Tag danach – haben wir uns hoffentlich alle wieder etwas beruhigt und können da mal etwas nüchterner an die Sache herangehen. Ich will das nicht kleinreden. Wenn es diesen Diebstahl gab, dann ist das ungeheuerlich und kann gefährlich für die betroffenen Nutzer sein. Aber so schlimm ist es wahrscheinlich dann doch nicht.

Anna Biselli hatte gestern im Blog Netzpolitik.org über die Unerreichbarkeit der Überprüfungsseite des BSI, auf der man testen konnte, ob die eigene(n) Email-Adresse(n) betroffen sind, geschrieben. Sie hat in meinen Augen Recht, wenn sie die Unerreichbarkeit als „DoS-Attacke“ bezeichnet. Eine solche Attacke wird ausgerufen, wenn ein Server derart mit Anfragen überschüttet wird, dass er der Beantwortung dieser Anfragen einfach nicht mehr nachkommen kann.

Es ist aber auch ein bisschen lächerlich, was sich da das BSI erlaubt hat: Erst wird Panik verbreitet, dass halb Deutschland von Hackern kompromittiert wurde. Und dann stellt man keine höchst verfügbare Webseite zur Verfügung, um den Test durchführen zu können. Und ernsthaft, wie das BSI nun einmal arbeitet, wird dann davon erzählt: Tja, wenn’s halt nicht geht, muss man es später nochmal versuchen.

Was macht man jetzt aber, wenn man keinen betroffenen Account hat? Sprich: Wie verhält man sich, wenn man keine derartige Email erhalten hat, wie ich sie gestern erhielt? Bei einer derartigen Panikmache liest man sich quer durch das BSI und liest von Schutz hier, Schutz da, Schutz dort. Und man fängt vielleicht an, allerlei Sicherheitstools irgendwo herunterzuladen. Mit „irgendwo“ meine ich die oft beschriebenen dubiosen Quellen. Und von dort holt man sich vielleicht erst recht die Probleme ins Haus.

Und dann prüft man vielleicht noch auf botfrei.de den Computer nach irgendwelchen Störenfrieden. Da jetzt ja durch die dubiosen Quellen unliebsamer Besuch auf dem Computer zu finden ist, wird dem Nutzer wieder geraten, dies, das und jenes zu installieren. Bislang wurde noch nicht über eine eventuelle Deinstallation der überzähligen Software gesprochen, nicht wahr?

So kommt man in einen Teufelskreis, aus dem es nicht mehr so einfach ein Entkommen gibt. Klar, die kundigen Nutzer wissen, was sie im Internet tun. Aber mancher ist ganz einfach überfordert mit den dargebotenen Informationen. Und so könnte es passieren, dass die Internetseiten des BSI in Zukunft häufiger lahmen oder gar ausfallen wie gestern.

Ich habe sowieso meine Zweifel, was die angebliche Liste des BSI betrifft. Schließlich soll es diversen Kommentaren im Internet zufolge sich um eine Ansammlung von ehemaligen „Schlapphüten“ des Bundesnachrichtendienstes handeln. Und wer sagt mir denn, dass da mal so gar nichts dran ist? Schließlich ist das BSI eine Behörde. Und vielen Behörden sagt man ja ein gewisses Schlapphut-Tun nach. Deshalb gibt es derzeit auch wieder provokante Sprüche über Aluhüte.

Wie dem auch sei, das BSI hat zwar gewarnt. Allerdings wussten sie scheinbar seit einigen Wochen von dem Klau. (Nur mal eingeworfen: Falls es überhaupt einen gab.) Und sie hätten eher warnen müssen, wollten aber angeblich keine Ermittlungen behindern. Das halte ich für ziemlichen Blödsinn. Denn die Konten wurden da ja schon kompromittiert. Und in jedem Server-Protokoll ließen sich Eingriffe ggf. nachlesen. Man muss es halt nur tun – bzw. den Email-Dienstleister um Support bitten.

Gestern las ich einen Kommentar, dass die gestern gestartete Aktion eine gute Möglichkeit sei, um an Adressdaten zu gelangen. Auch weiß niemand wirklich sicher, woher das BSI die angebliche Liste herhaben will. Und da sind wir bei der Mutter aller Fragen in diesem Zusammenhang: Gab es denn wirklich eine Kompromittierung von 16 Millionen Benutzerkonten in Deutschland? So schlecht, wie das BSI auf den Ansturm vorbereitet war, könnte man so eine Frage durchaus als gerechtfertigt zulassen.

Und das frage ich auch einfach mal so in die Runde: Glauben Sie, dass hier wirklich etwas dran ist, dass dem BSI eine Liste von 16 Millionen kompromittierten / gekaperten Benutzerkonten und / oder Email-Adressen vorliegt? Bedenken Sie dabei bitte, dass die großen Medien auch nicht immer alles wissen.

Bildquelle: Bundesamt für Sicherheit in der Informationstechnik – By Bundesamt für Sicherheit in der Informationstechnik [Public domain], via Wikimedia Commons

Was Sie auch interessieren könnte:

9 Kommentare

  1. Wenn das BSI ein Botnet aushebt, sehe ich auch die reale Möglichkeit an die entsprechenden Daten zu kommen. Sicherlich wurde dem BSI keine Liste bzw. Datei zugespielt.

    Bei aller kritischer Betrachtung und Berichterstattung sollte man nicht vergessen, dass die Dienste auch gute und wichtige Arbeit leisten.

    Wir als „Experten“ wissen in der Regel (hoffentlich) wie wir uns zu schützen haben. Für den PC Laien der ab und zu eine Grußkarte versendet war die gestrige Nachricht sicherlich ein kleiner Schock.

    1. Ja, Daniel. Ich habe mal zum Spaß meine GMX-Adresse prüfen lassen. Die habe ich mir vor Jahren zugelegt. Und ehrlich, ich nutze die außer bei den VZ-Netzwerken, die ich nur noch als Relikt mit mir herumtrage, nirgendwo mehr.
      Soweit ich das verstanden habe, erhält man so eine Nachricht, wenn die Email-Adresse auf der ominösen Liste steht.

  2. Glauben Sie, dass hier wirklich etwas dran ist, dass dem BSI eine Liste von 16 Millionen kompromittierten / gekaperten Benutzerkonten und / oder Email-Adressen vorliegt? Bedenken Sie dabei bitte, dass die großen Medien auch nicht immer alles wissen.

    Den Medien kann man diesmal nicht allzuviel Vorwürfe machen, denn die Angabe der 16 Millionen stammt vom BSI selber und ist keine mögliche Erfindung der Medien.

    Aber zu Sache:

    Botnetze gibt es nachweislich, also auch Millionen gekaperte Rechner.
    Könnten die e-Mailadressen nicht schlicht aus erfolgreichen Wörterbuchattacken stammen? Es ist auch bekannt, daß bestimmte (einfache) Passwörter sehr häufig verwendet werden. Werfen Sie mal einen Blick in die Kommentare (Bitte überprüfen Sie …) unter dem Netzpolitikartikel, da wird das plausibel.

    Weder die Existenz, noch der Umfang der Kaperliste ist jedenfalls nicht unwahrscheinlich. Dass das BSI eine Ausgründung des BND ist, ist nichts Neues. Man muss bedenken, dass die beim BSI eingegebenen e-Mailadressen meist sowieso quasi-öffentlich sind, da sie in Foren, Sozialnetzen und zum Einkaufen verwendet werden. Ist es wirklich glaubhafter anzunehmen, daß das BSI jetzt öffentlich anfängt die Endgeräte der eingegebenen e-Mailadressen einzusammeln und auszuwerten?

  3. Ich denke das es nur eine art Falle sei.
    Wir bedenken mal großzügig das ja nur E-Mail adressen aus den Europäischen oder vielleicht nur Deutschen raum betroffen sind.
    Wir alle haben mind. 1 e-mail adresse in unserer kartei die nicht aus Deutschland stammt.
    Da stellt sich mir die frage:“ Is das alles eine Lüge? Hat das BSI vielleicht sogar den Bot geschrieben, über eine bestimmt laufzeit durchs netz fliegen lassen und damit versucht durch eine massen panik an daten vieler internet benutzer zu kommen?“
    ich trau dem ganzen nicht. ich denke es dient der beobachtung oder wie frau Merkel und Obama es nennt “ Der Nationalen Sicherheit“

  4. Hallo Henning,

    ich weiß, dass das hier ein etwas älterer Post ist, aber ich habe da mal ein paar Fragen zu dem Thema :) wie machen den Kleinunternehmer, Freiberufler und Blogger das, dass deren Identität nicht missbraucht wird ? Widerspricht da die Impressiumspflicht nicht dem Schutz vor dem Identitätsklau, da viele dieser Menschen ja in ihren eigenen vier Wänden arbeiten und damit relativ genau zuzuordnen sind ?! Ist da bereits eine Geschäftsemailadresse und eine Anmeldung beim Gewerbeamt ausreichend ?! Danke :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.