BSI in der Kritik: Daten von 16 Millionen Nutzern bereits seit Dezember bekannt

Gestern machte die Nachricht die Runde, dass Email-Konten von 16 Millionen Nutzern veröffentlicht wurden. Das Bundesamt für Sicherheit in der Informationstechnik informierte darüber und stellte auch eine Seite online, mit der man prüfen kann, ob man selbst betroffen ist. Nun gerät das BSI in Kritik. Zum einen, weil man seine Daten auf der Prüfseite eingeben muss, zum anderen, weil man erst jetzt die Nutzer warnt.

IMG_4923-1300x866

Die Eingabe der eigenen Emailadresse auf der Prüfseite des BSI wurde auch von Euch in den Kommentaren kritisch beäugt, das BSI versichert jedoch, dass die Daten nur so lange gespeichert werden, wie es für die Überprüfung nötig ist. Ein anderer Weg wäre gewesen, aktiv an die betroffenen Nutzer Emails zu verschicken.

Die Aussage von BSI-Präsident Michael Hange am Mittwoch im Bayerischen Rundfunk ist da vielleicht sogar noch pikanter: „Wir wussten seit Dezember davon. Die Vorbereitungen, ein Verfahren aufzusetzen, das datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, das bedurfte einer Vorbereitungszeit.“

Verständlich ist wohl, dass es in der Tat einer gewissen Vorbereitungszeit bedarf, um ein solches System aufzusetzen. Allerdings hätte man in dieser Zeit es wohl auch hinbekommen, die Betroffenen zu informieren. Dass das Thema für viele Nutzer interessant ist, zeigen auch die Zugriffe auf das BSI-Informationssystem. Bis Dienstag Abend wurden über 1 Million Abfragen getätigt, 120.000 Betroffene erhielten eine Email, dass ihr Account in der Liste vorhanden ist. Woher die 16 Millionen Datensätze stammen, ist weiterhin unklar.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

28 Kommentare

  1. naja hätte der bsi mails verschickt, wäre wohl viele im spam gelandet oder wären als solche behandelt worden.

  2. Seit Dezember schon. Na und?
    Ein knapper Monat oder weniger … und nicht ein Jahr oder noch länger!

    Einfach das Passwort ändern und nicht erst nachfragen, ob man betroffen ist.
    Besser kann man dieses Problem sowieso nicht lösen.

  3. „Ein anderer Weg wäre gewesen, aktiv an die betroffenen Nutzer Emails zu verschicken.“ – Das würde aber so oder so immer eine massive Phishing-Aktion bedeuten, die die Unsicherheit der Nutzer ausnutzt.

    Allein nur die offizielle Aktion „Wir versenden an Betroffene nur die Information, das ihre E-Mail im Datensatz ist“ würde ja eine Phisihing-Mail „Ihre E-Mail ist betroffen, hier bitte ihr Passwort sofort ändern“ gut wirken.

    Auch wenn die Aktion nun etwas gedauert hat, ich finde diese Richtung mit Verifizierungscode wesentlich besser, da hier der Nutzer selbst aktiv werden muss. Auch wenn dann zahlreiche E-Mail/Passwort-Kombis unbemerkt weiterhin ihre Gültigkeit haben, weil die Nutzer nie auf der Seite ihre Mail checken ließen.

    Was ich aber an der BSI kritisieren würde: Woher stammen nun die Daten? Dies wäre wohl sehr interessant, aber anscheinend gibt es einen guten Grund sich nicht zu äußern…

  4. Sascha Ostermaier says:

    @steve: Da muss ich Dir recht geben. Soweit habe ich in diesem Fall nicht gedacht. Danke. Das mit der Herkunft der Daten ist allerdings auch so eine Sache. Verstehe auch nicht, warum da nichts kommt.

  5. „Gestern machte die Nachricht die Runde, dass Email-Konten von 16 Millionen Nutzern veröffentlicht wurden.“
    Ist doch falsch. Es heißt doch nur, dass diese Daten durch das BSI“ abgegriffen“ wurden. Wo wurde denn etwas veröffentlicht?

  6. Hier der Originaltext aus dem Link:
    „Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt.“

  7. Kleine Korrektur, Sascha: Das BSI ist kein Bundesministerium, sondern das Bundesamt für Sicherheit in der Informationstechnik.

    Ich bin der Meinung, dass eine Pressemitteilung des BSI genügt hätte, die hoffentlich viele Zeitungen abgedruckt hätten, mit: „Ändert eure Passwörter!“
    Dürfte mehr Menschen erreichen als so eine Webseite oder Spammails vom BSI.

  8. Sascha Ostermaier says:

    @Bendix Sältz: Autschn. Danke.

  9. Es ist doch immer so, dass im Falle von Ermittlung keine genaueren Angaben zu Herkunft etc. gemacht werden.
    Was mich etwas mehr erstaunt sind die Verschwörungstheoretiker die permanent unterstellen der Staat wollte mit der Aktion herumschnüffeln nur weil die Email zur Überprüfung eingegeben wird. Lächerlich.
    Wenn der Staat wollte könnte er nicht nur die Mailadressen einsammeln sondern gleich noch die Klarnamen der Besitzer inkl. Hausadresse direkt beim Provider. Macht euch mehr Sorgen über die befallen PCs mit Botnetze als über unseren Neuland Staat.
    Stellt euch also nicht so an.

  10. Solange unklar ist welche Onlinedienste Sicherheitslücken (um die Daten abzugreifen) aufweisen nützt es auch nichts das Passwort zu ändern, denn dann steht das neue Passwort in wenigen Tagen auch auf der Liste!
    Ich bekam 9 Emails von BSI, nun würden mich die Passwörter interessieren da ich für jeden Dienst unterschiedliche Passwörter verwende. Vielleicht sind meine abgegriffenen Daten auch schon veraltet und ich mache mich umsonst verrückt?

  11. Namenlos, weil Cookies gelöscht... says:

    Ich werde meine Daten selbstverständlich nicht nocheinmal irgendwo eingeben, bloß weil es sein könnte, dass…

    Dennoch hab ich mir die besagte Seite mal angeguckt und die Datenschutzerklärung durchgelesen, welche erfreulich kurz gehalten ist.

    Doch entweder bin ich paranoid, oder erfrischend misstrauisch, aber ich meine, es fehlt hier eine *exakte* Erwähnung, *wann* der Test abgeschlossen ist:

    „Sämtliche personenbezogene Daten, die bei der Nutzung des Tests erhoben werden, werden vollständig gelöscht, sobald sie zur Durchführung des Tests nicht mehr benötigt werden.“

    .oO(Der Test des Users? oder der Test des BSI?, welches testet, wie viele Menschen wirklich ihre Mailadressen einhacken und von welcher IP-Adresse dies geschieht, anstelle einfach -wie hier schon erwähnt- ihre Passwörter mal wieder ändern, sofern es sie denn interessiert)

  12. Ein simpler Hinweis „Bitte das Passwort vom eMail-Akkount ändern“ ist gut und schön, dann schmeißt der Trojaner eben nen Update in die Datenbank und für die bösen Buben ist alles wie vorher.

    Dieser weg mit einer persönlichen Mail und weiteren Infos wie zu verfahren ist, ist da der wesentlich bessere Ansatz. Auch weil er so große Teile der Bevölkerung sicherlich sensibilisiert!

  13. Verschwörungstheoretiker dieser Welt, vereinigt euch! 😀 Ich weiß nicht, was sich einige so darüber mokieren, dass sie zur Überprüfung ihre E-Mail-Adresse eingeben müssen. Selbst wenn das BSI nun wüsste, dass die Adresse moklhupfdiemaus@schlagmichtot.de existiert. Na und? Ohne irgendwelche weiteren Deltas lässt sich damit kein Profil erstellen. Was hätte das BSI davon? Viagra-Spam verschicken?

  14. Also heute Morgen habe ich im Radio die Äußerung des Herrn Hange verfolgt und musste doch tatsächlich den Kopf schütteln. Er nannte als einen der Gründe, den erhöhten Planungs und programmier-Aufwand den eine solche Internetseite benötigte. Nun ich arbeite selbst als Datenbank und Online Entwickler. Meiner Meinung nach hätte man diese Seite in einem sehr viel kürzerem Zeitraum aufsetzen können. Anscheinend ist es den betroffenen Stellen hier aber egal was in diesem Zeitraum schon alles mit den Daten an Missbrauch getrieben werden könnte. Wirklich schade.
    Erinnert mich ein wenig an die Aussage „Das Internet ist noch Neuland für uns“

  15. @Holgi und Aufschnürer:
    Ihr denkt viel zu kurz. Wer hat schon nur eine Mailadresse? Wer wird für jede zu prüfende Mail einen Router reconnect durchführen? Hypothetisch betrachtet könnte man so sämtliche Mailaccounts für jeden einzelnen Bürger ermitteln, weil doch in der Regel alle Mails zeitnah geprüft werden würden. Sprich, alle Mailaccounts können einer IP und dadurch mit VDS einer Person zugordnet werden. Natürlich geht das auch anders, aber so ist der Abgleich deutlich geringer.
    Ob es gemacht wird steht auf einem anderen Blatt, sich aber Gedanken darüber zu machen ist nie verkehrt. Und definitiv falsch ist es, wenn man kritisch denkende als Verschwörungstheoretiker bezeichnet. Bedenkt einfach mal, daß jeder, der vor ein paar Jahren noch kritisch die Überwachung durch die NSA und Co sah, auch als Verwschwörungstheoretiker bezeichnet wurde. Und wie mittlerweile jedem klar sein sollte, lagen sie damals richtig.

  16. Ich habe wie Stefan auch, mehr als eine Mail bekommen (5 Stück). Angenommen es bedeutet, dass meine Adresse 5mal in der Datei steht. Die Bestätigung dazu habe ich bisher nicht gefunden.

    Damit kann es sich ja eigentlich nicht um das e-Mail Passwort handeln, wie es die Medien verbreiten. Auch ein Trojaner scheint mir unlogisch, denn dafür müssten es mehr Datensätze sein.

    Also sind vermutlich Dienste gehackt worden. Aber welche. Wie Stefan auch, nutze ich für jeden Dienst ein anderes Passwort. Hätte ich dieses, dann könnte ich locker bestimmen, um welche Dienste es sich handelt.

    Das BSI hätte vlt. das Passwort mitsenden sollen, Ohne URL, wäre ein Abgreifen recht unsinnig und ich könnte es gezielt ändern…

    Heiko

  17. @Heiko, da stimme ich dir zu.
    Habe auch drei Mails bekommen. Jedoch benutze ich für jeden Shop und Account ein eigenes Passwort. Leider lässt das BSI mich in der Ungewissheit um welche Konten es sich handelt. Einen Trojaner schließe ich auch aus.

    Kurz einfach alle Shops durchgestöbert und das Passwort geändert. 😉

    Hätte ich nur mal die „+“ Funktion von gmail benutzt ^^

  18. @Fraggle: Neben Viren, Trojanern und Co. die uns über viele Jahre ärgerten gab es eigentlich nichts anderes was uns Sorgen machen musste. Seit Snowden und NSA wissen wir nun, dass nun wirklich NICHTS mehr sicher ist. Solange wir aber bereitwillig unsere Mail Adressen bei sämtlichen US Anbietern verstreuen, von Google über Facebook bis runter zu Paypal und Amazon, sollten wir uns aber ernsthaft überlegen ob die BSI Aktion einen paranoiden Sicherheitswahn rechtfertig. Man könnte auch sagen wir haben nichts mehr zu verlieren und können eigentlich nur hoffen das es mal jemand wieder gut meint mit uns. Warum also nicht durch die BSi Aktion? Schlimmer kann es eh nicht mehr werden. Was soll den passieren wenn die unser Mail Adressen behalten. SPAM von Staatswegen? Abhören? Tun sie doch eh schon. Warum soll ich mir jetzt einreden das BSI nun schlimmer sei als Amazon und Co.?

  19. Heute bin ich beim BSI durchgekommen und habe elf E-Mail-Adressen checken lassen: Keine Ergebnisse. Ich habe so etwas schon vor ein paar Jahren erlebt. Damals hat mich WISO/ZDF angemailt und meine kompromittierte E-Mail-Adresse zusammen mit dem „erkannten“ Passwort mitgeteilt. Das Passwort wurde wie folgt verfremdet: *asswor*, so dass ich erkennen konnte, dass es wirklich mein Passwort war und die Kombination Passwort/E-Mail-Adresse von mir benutzt wurde. Damals hat mich das dazu veranlasst, mir RoboForm zuzulegen, das ich seitdem im Einsatz habe. Man kann ähnliches auch kostenlos via KeyPass(X) aufbauen – RoboForm ist nur bequemer.
    Zum Glück hatte ich bereits damals unterschiedliche Passworte bei Bargeld-affinen URLs wie Bank, Paypal usw. benutzt. Bei Foren war ich damals z.B. aber nachlässig und hatte nur ein einziges Passwort verwendet. Es hat eine ganze Weile gedauert bis ich das mit RoboForm dann geändert habe…

  20. @Fraggle: Dass NSA & Co. es faustdick hinter den Ohren haben war mir auch schon vor dem NSA-Abhörskandal klar. Natürlich sollte man immer kritisch bleiben, aber nochmal: Was hätte das BSI schon davon? Wir Deutschen – egal ob Behörden, Politik, Militär – sind sowas von harmlos und spielen in der Weltgeschichte (im Vergleich zu den „Großmächten“) sowas von gar keine Rolle mehr. Mir ist es nicht egal, ob meine Zugangsdaten in irgendwelchen Botnetzen kursieren, aber wenn eine Sicherheitsbehörde meine E-Mail-Adresse kennen könnte, so what?

  21. BSI – Bnd Sucht Informationen – Hahaha.
    Gebt Eure Adresse ein – bitte nur die eigene!!! , klickt noch schön auf einen Button – schwups hat man IP, Rechner, Browser … man braucht noch nicht mal mühsam über facebook und Co zu gehen, um Informationen zu sammeln. Oder will man bei der Aktion gleich ein Türchen installieren?
    Für meine Begriffe hält man sich zu bedeckt, um es ehrlich zu meinen…. 🙂
    (Verschwörungstheoretiker)

  22. Eike Justus says:

    ich habe jetzt mindestens zehn Artikel zu diesem Thema gelesen, hier, bei Dr. Windows, bei Zeitungsportalen etc etc.. Kann mir Deppen mal irgendjemand erklären, worin eigentlich die Gefahr besteht? Ich schnall das nämlich nicht. Und wieso und wo gibt jemand bei seinen Mails sein Passwort ein? Bei mir „kommst der Strom aus der Steckdose“. Ich meine meine Frage wirklich ehrlich.

  23. @Eike:
    In dem man Tastatureingaben auf dem infizierten Rechner „mitschneidet“, kommt man an E-Mail und Passwort, denn nicht alle rufen ihre Mails per konfiguriertem Client ab sondern nutzen das gute alte Webmail.

    Eine Gefahr in dieser „bitte hier E-Mailadresse eintragen um zu erfahren ob Sie betroffen sind“ -Aktion wäre z.B., dass man (das BSI) eine Verbindung zwischen Benutzer und mehreren E-Mailaccounts erhält. So weiß – wer auch immer – dass der Benutzer vorname.nachname@domain.de auch noch schnullibulli@gmx.de und arschkitzler@dominatotalis.org benutzt. Dass die NSA das bereits weiß ist eine Sache, aber dass man es damit den deutschen Behören ermöglichen könnte ist dann eher kritisch zu sehen. Nur mal als Beispiel…

  24. Eike justus says:

    @Christian
    Danke! Ich hoffee, dass ich mir durch mein vorsichtiges Verhalten (Benutzerkontensteuerung, keine ausführbaren Dateien in Eingangsmail öffnen, Mails lokal speichern, keine Tastatur beim Banking) und immer aktuelle und aus bekannten Quellen stammende Software sowie Virenschutz (GData) wohl kaum was eingefangen habe.
    Die Bedenken im zweiten Teil deiner Antwort teile ich.

  25. Die Presse ist komisch, aber das BSI in der Mail auch.
    Meiner Meinung nach kommen die Daten nicht (zumindest nicht alle) von einem Trojaner. Mein Rechner ist nicht infiziert. Meine GMX-Adresse ist wohl auch betroffen, aber die habe ich zuletzt vor Jahren in irgendwelchen Foren und Shops verwendet – danach fast nicht mehr. Die Adresse ist nicht mehr in Verwendung und nicht auf meinen Rechnern im Client konfiguriert.
    Die wesentlichen Adressen, die ich derzeit aktiv verwende und die auch im Mailclient eingerichtet sind, sind nicht betroffen.
    Ich gehe eher davon aus, daß die Daten oder ein Teil davon aus einem gehackten Shop oder Forum stammen, die Sache also nur für die eine Gefahr darstellt, die beim Mailanbieter und auf anderen bekannten Seiten die gleiche Mailadresse und das gleiche Passwort nutzen.

  26. @Eike
    Dein Rechner muß noch nicht mal infiziert sein, um an Deine persönliche Daten zu kommen. Überleg mal, wo überall Du Accounts besitzt. Achtest Du immer drauf, dass im Browser ein https steht, wenn Du Deine Daten eingibst? Ein simples Mitschneiden des Datenstromes mit wireshark und Co bringt Deine PW zu Tage.
    Achtest Du darauf, dass auf Deinem Rechner die Sicherheitspatche zeitnah installiert sind? Schon kurz nach der Veröffentlichung werden die ersten Hackerprogramme in Umlauf gebracht.
    Wie verantwortungsbewußt sind die Firmen, die Deine Daten halten? Werden PW verschlüsselt abgespeichert? Wurde die Firma gehackt?
    Am besten ist, die PW regelmäßig zu wechseln, nicht überall das selbe zu verwenden und auf lange PW mit Ziffern, Buchstaben UND Sonderzeichen zu setzen.
    Die Show vom BSI ist mir zu primitiv aufgezogen:

    Huhu, einfacher Nutzer, ich weiß seit einiger Zeit was.
    Aber ich mußte mich vorbereiten, um es Dir richtig zu sagen.
    Gibst Du mir Deine Daten, dann sage ich Dir, obs stimmt.
    Aber nur wenn Du mir erlaubst, Deine Daten zu verarbeiten (damit verstößt man nicht gegen das Gesetz, selbst wenn man sie dann speichert) und nur wenn Du einen Button klickst.

    Schon mit dem Klick auf den Button KANN man per script so viele Daten auslesen, dass man einen eindeutigen Fingerabdruck des Rechners bekommt. Es KÖNNEN aber auch die sogenannten Backdoors installiert werden, die kein Virenscanner findet. Jetzt kommen Deine eingegebenen Mailadressen hinzu und man KANN das alles in einer Datenbank speichern. Wenn Du Dir mal die Möglichkeiten von NSA und Co, die im „Der Spiegel“ auch online nachzulesen sind, anschaust, dann reicht das, um Deine Spuren im Netz zu finden, zu sammeln und auszuwerten. Weiter will ich gar nicht spinnen.
    Aber jeder muß selbst wissen, wie paranoid er sein will. Wer einer Regierung (-sorganisation) vertraut, kann das mit gutem Gewissen tun. Aber schau nach Ägypten, Syrien, Rußland, China …. Die Regierungen können wechseln, aber Deine Daten bleiben erhalten. Letzlich stellen sich die Fragen: Muß ich etwas persönliches preisgeben? Wer profitiert davon? Kann etwas gegen Dich verwendet werden und wie kann oder muß ich mich schützen (wenn ich noch eine Privatsphäre haben will).

  27. Also eine Mail Adresse von mir war auch betroffen,Viren Scan und nichts gefunden.PW geändert und gut ist.

    Hab dann aus Spass die Email nochmal gescheckt und nix mehr bekommen!
    Also doch alles nur ein Witz?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.