BSI in der Kritik: Daten von 16 Millionen Nutzern bereits seit Dezember bekannt
Gestern machte die Nachricht die Runde, dass Email-Konten von 16 Millionen Nutzern veröffentlicht wurden. Das Bundesamt für Sicherheit in der Informationstechnik informierte darüber und stellte auch eine Seite online, mit der man prüfen kann, ob man selbst betroffen ist. Nun gerät das BSI in Kritik. Zum einen, weil man seine Daten auf der Prüfseite eingeben muss, zum anderen, weil man erst jetzt die Nutzer warnt.
Die Eingabe der eigenen Emailadresse auf der Prüfseite des BSI wurde auch von Euch in den Kommentaren kritisch beäugt, das BSI versichert jedoch, dass die Daten nur so lange gespeichert werden, wie es für die Überprüfung nötig ist. Ein anderer Weg wäre gewesen, aktiv an die betroffenen Nutzer Emails zu verschicken.
Die Aussage von BSI-Präsident Michael Hange am Mittwoch im Bayerischen Rundfunk ist da vielleicht sogar noch pikanter: „Wir wussten seit Dezember davon. Die Vorbereitungen, ein Verfahren aufzusetzen, das datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, das bedurfte einer Vorbereitungszeit.“
Verständlich ist wohl, dass es in der Tat einer gewissen Vorbereitungszeit bedarf, um ein solches System aufzusetzen. Allerdings hätte man in dieser Zeit es wohl auch hinbekommen, die Betroffenen zu informieren. Dass das Thema für viele Nutzer interessant ist, zeigen auch die Zugriffe auf das BSI-Informationssystem. Bis Dienstag Abend wurden über 1 Million Abfragen getätigt, 120.000 Betroffene erhielten eine Email, dass ihr Account in der Liste vorhanden ist. Woher die 16 Millionen Datensätze stammen, ist weiterhin unklar.
naja hätte der bsi mails verschickt, wäre wohl viele im spam gelandet oder wären als solche behandelt worden.
Seit Dezember schon. Na und?
Ein knapper Monat oder weniger … und nicht ein Jahr oder noch länger!
Einfach das Passwort ändern und nicht erst nachfragen, ob man betroffen ist.
Besser kann man dieses Problem sowieso nicht lösen.
„Ein anderer Weg wäre gewesen, aktiv an die betroffenen Nutzer Emails zu verschicken.“ – Das würde aber so oder so immer eine massive Phishing-Aktion bedeuten, die die Unsicherheit der Nutzer ausnutzt.
Allein nur die offizielle Aktion „Wir versenden an Betroffene nur die Information, das ihre E-Mail im Datensatz ist“ würde ja eine Phisihing-Mail „Ihre E-Mail ist betroffen, hier bitte ihr Passwort sofort ändern“ gut wirken.
Auch wenn die Aktion nun etwas gedauert hat, ich finde diese Richtung mit Verifizierungscode wesentlich besser, da hier der Nutzer selbst aktiv werden muss. Auch wenn dann zahlreiche E-Mail/Passwort-Kombis unbemerkt weiterhin ihre Gültigkeit haben, weil die Nutzer nie auf der Seite ihre Mail checken ließen.
Was ich aber an der BSI kritisieren würde: Woher stammen nun die Daten? Dies wäre wohl sehr interessant, aber anscheinend gibt es einen guten Grund sich nicht zu äußern…
@steve: Da muss ich Dir recht geben. Soweit habe ich in diesem Fall nicht gedacht. Danke. Das mit der Herkunft der Daten ist allerdings auch so eine Sache. Verstehe auch nicht, warum da nichts kommt.
„Gestern machte die Nachricht die Runde, dass Email-Konten von 16 Millionen Nutzern veröffentlicht wurden.“
Ist doch falsch. Es heißt doch nur, dass diese Daten durch das BSI“ abgegriffen“ wurden. Wo wurde denn etwas veröffentlicht?
Hier der Originaltext aus dem Link:
„Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt.“
Kleine Korrektur, Sascha: Das BSI ist kein Bundesministerium, sondern das Bundesamt für Sicherheit in der Informationstechnik.
Ich bin der Meinung, dass eine Pressemitteilung des BSI genügt hätte, die hoffentlich viele Zeitungen abgedruckt hätten, mit: „Ändert eure Passwörter!“
Dürfte mehr Menschen erreichen als so eine Webseite oder Spammails vom BSI.
@Bendix Sältz: Autschn. Danke.
Es ist doch immer so, dass im Falle von Ermittlung keine genaueren Angaben zu Herkunft etc. gemacht werden.
Was mich etwas mehr erstaunt sind die Verschwörungstheoretiker die permanent unterstellen der Staat wollte mit der Aktion herumschnüffeln nur weil die Email zur Überprüfung eingegeben wird. Lächerlich.
Wenn der Staat wollte könnte er nicht nur die Mailadressen einsammeln sondern gleich noch die Klarnamen der Besitzer inkl. Hausadresse direkt beim Provider. Macht euch mehr Sorgen über die befallen PCs mit Botnetze als über unseren Neuland Staat.
Stellt euch also nicht so an.
Solange unklar ist welche Onlinedienste Sicherheitslücken (um die Daten abzugreifen) aufweisen nützt es auch nichts das Passwort zu ändern, denn dann steht das neue Passwort in wenigen Tagen auch auf der Liste!
Ich bekam 9 Emails von BSI, nun würden mich die Passwörter interessieren da ich für jeden Dienst unterschiedliche Passwörter verwende. Vielleicht sind meine abgegriffenen Daten auch schon veraltet und ich mache mich umsonst verrückt?
Ich werde meine Daten selbstverständlich nicht nocheinmal irgendwo eingeben, bloß weil es sein könnte, dass…
Dennoch hab ich mir die besagte Seite mal angeguckt und die Datenschutzerklärung durchgelesen, welche erfreulich kurz gehalten ist.
Doch entweder bin ich paranoid, oder erfrischend misstrauisch, aber ich meine, es fehlt hier eine *exakte* Erwähnung, *wann* der Test abgeschlossen ist:
„Sämtliche personenbezogene Daten, die bei der Nutzung des Tests erhoben werden, werden vollständig gelöscht, sobald sie zur Durchführung des Tests nicht mehr benötigt werden.“
.oO(Der Test des Users? oder der Test des BSI?, welches testet, wie viele Menschen wirklich ihre Mailadressen einhacken und von welcher IP-Adresse dies geschieht, anstelle einfach -wie hier schon erwähnt- ihre Passwörter mal wieder ändern, sofern es sie denn interessiert)
Ein simpler Hinweis „Bitte das Passwort vom eMail-Akkount ändern“ ist gut und schön, dann schmeißt der Trojaner eben nen Update in die Datenbank und für die bösen Buben ist alles wie vorher.
Dieser weg mit einer persönlichen Mail und weiteren Infos wie zu verfahren ist, ist da der wesentlich bessere Ansatz. Auch weil er so große Teile der Bevölkerung sicherlich sensibilisiert!
Verschwörungstheoretiker dieser Welt, vereinigt euch! 😀 Ich weiß nicht, was sich einige so darüber mokieren, dass sie zur Überprüfung ihre E-Mail-Adresse eingeben müssen. Selbst wenn das BSI nun wüsste, dass die Adresse moklhupfdiemaus@schlagmichtot.de existiert. Na und? Ohne irgendwelche weiteren Deltas lässt sich damit kein Profil erstellen. Was hätte das BSI davon? Viagra-Spam verschicken?
Also heute Morgen habe ich im Radio die Äußerung des Herrn Hange verfolgt und musste doch tatsächlich den Kopf schütteln. Er nannte als einen der Gründe, den erhöhten Planungs und programmier-Aufwand den eine solche Internetseite benötigte. Nun ich arbeite selbst als Datenbank und Online Entwickler. Meiner Meinung nach hätte man diese Seite in einem sehr viel kürzerem Zeitraum aufsetzen können. Anscheinend ist es den betroffenen Stellen hier aber egal was in diesem Zeitraum schon alles mit den Daten an Missbrauch getrieben werden könnte. Wirklich schade.
Erinnert mich ein wenig an die Aussage „Das Internet ist noch Neuland für uns“
@Holgi und Aufschnürer:
Ihr denkt viel zu kurz. Wer hat schon nur eine Mailadresse? Wer wird für jede zu prüfende Mail einen Router reconnect durchführen? Hypothetisch betrachtet könnte man so sämtliche Mailaccounts für jeden einzelnen Bürger ermitteln, weil doch in der Regel alle Mails zeitnah geprüft werden würden. Sprich, alle Mailaccounts können einer IP und dadurch mit VDS einer Person zugordnet werden. Natürlich geht das auch anders, aber so ist der Abgleich deutlich geringer.
Ob es gemacht wird steht auf einem anderen Blatt, sich aber Gedanken darüber zu machen ist nie verkehrt. Und definitiv falsch ist es, wenn man kritisch denkende als Verschwörungstheoretiker bezeichnet. Bedenkt einfach mal, daß jeder, der vor ein paar Jahren noch kritisch die Überwachung durch die NSA und Co sah, auch als Verwschwörungstheoretiker bezeichnet wurde. Und wie mittlerweile jedem klar sein sollte, lagen sie damals richtig.
Ich habe wie Stefan auch, mehr als eine Mail bekommen (5 Stück). Angenommen es bedeutet, dass meine Adresse 5mal in der Datei steht. Die Bestätigung dazu habe ich bisher nicht gefunden.
Damit kann es sich ja eigentlich nicht um das e-Mail Passwort handeln, wie es die Medien verbreiten. Auch ein Trojaner scheint mir unlogisch, denn dafür müssten es mehr Datensätze sein.
Also sind vermutlich Dienste gehackt worden. Aber welche. Wie Stefan auch, nutze ich für jeden Dienst ein anderes Passwort. Hätte ich dieses, dann könnte ich locker bestimmen, um welche Dienste es sich handelt.
Das BSI hätte vlt. das Passwort mitsenden sollen, Ohne URL, wäre ein Abgreifen recht unsinnig und ich könnte es gezielt ändern…
Heiko
@Heiko, da stimme ich dir zu.
Habe auch drei Mails bekommen. Jedoch benutze ich für jeden Shop und Account ein eigenes Passwort. Leider lässt das BSI mich in der Ungewissheit um welche Konten es sich handelt. Einen Trojaner schließe ich auch aus.
Kurz einfach alle Shops durchgestöbert und das Passwort geändert. 😉
Hätte ich nur mal die „+“ Funktion von gmail benutzt ^^
@Fraggle: Neben Viren, Trojanern und Co. die uns über viele Jahre ärgerten gab es eigentlich nichts anderes was uns Sorgen machen musste. Seit Snowden und NSA wissen wir nun, dass nun wirklich NICHTS mehr sicher ist. Solange wir aber bereitwillig unsere Mail Adressen bei sämtlichen US Anbietern verstreuen, von Google über Facebook bis runter zu Paypal und Amazon, sollten wir uns aber ernsthaft überlegen ob die BSI Aktion einen paranoiden Sicherheitswahn rechtfertig. Man könnte auch sagen wir haben nichts mehr zu verlieren und können eigentlich nur hoffen das es mal jemand wieder gut meint mit uns. Warum also nicht durch die BSi Aktion? Schlimmer kann es eh nicht mehr werden. Was soll den passieren wenn die unser Mail Adressen behalten. SPAM von Staatswegen? Abhören? Tun sie doch eh schon. Warum soll ich mir jetzt einreden das BSI nun schlimmer sei als Amazon und Co.?
Heute bin ich beim BSI durchgekommen und habe elf E-Mail-Adressen checken lassen: Keine Ergebnisse. Ich habe so etwas schon vor ein paar Jahren erlebt. Damals hat mich WISO/ZDF angemailt und meine kompromittierte E-Mail-Adresse zusammen mit dem „erkannten“ Passwort mitgeteilt. Das Passwort wurde wie folgt verfremdet: *asswor*, so dass ich erkennen konnte, dass es wirklich mein Passwort war und die Kombination Passwort/E-Mail-Adresse von mir benutzt wurde. Damals hat mich das dazu veranlasst, mir RoboForm zuzulegen, das ich seitdem im Einsatz habe. Man kann ähnliches auch kostenlos via KeyPass(X) aufbauen – RoboForm ist nur bequemer.
Zum Glück hatte ich bereits damals unterschiedliche Passworte bei Bargeld-affinen URLs wie Bank, Paypal usw. benutzt. Bei Foren war ich damals z.B. aber nachlässig und hatte nur ein einziges Passwort verwendet. Es hat eine ganze Weile gedauert bis ich das mit RoboForm dann geändert habe…
@Fraggle: Dass NSA & Co. es faustdick hinter den Ohren haben war mir auch schon vor dem NSA-Abhörskandal klar. Natürlich sollte man immer kritisch bleiben, aber nochmal: Was hätte das BSI schon davon? Wir Deutschen – egal ob Behörden, Politik, Militär – sind sowas von harmlos und spielen in der Weltgeschichte (im Vergleich zu den „Großmächten“) sowas von gar keine Rolle mehr. Mir ist es nicht egal, ob meine Zugangsdaten in irgendwelchen Botnetzen kursieren, aber wenn eine Sicherheitsbehörde meine E-Mail-Adresse kennen könnte, so what?