BSI in der Kritik: Daten von 16 Millionen Nutzern bereits seit Dezember bekannt
Gestern machte die Nachricht die Runde, dass Email-Konten von 16 Millionen Nutzern veröffentlicht wurden. Das Bundesamt für Sicherheit in der Informationstechnik informierte darüber und stellte auch eine Seite online, mit der man prüfen kann, ob man selbst betroffen ist. Nun gerät das BSI in Kritik. Zum einen, weil man seine Daten auf der Prüfseite eingeben muss, zum anderen, weil man erst jetzt die Nutzer warnt.
Die Eingabe der eigenen Emailadresse auf der Prüfseite des BSI wurde auch von Euch in den Kommentaren kritisch beäugt, das BSI versichert jedoch, dass die Daten nur so lange gespeichert werden, wie es für die Überprüfung nötig ist. Ein anderer Weg wäre gewesen, aktiv an die betroffenen Nutzer Emails zu verschicken.
Die Aussage von BSI-Präsident Michael Hange am Mittwoch im Bayerischen Rundfunk ist da vielleicht sogar noch pikanter: „Wir wussten seit Dezember davon. Die Vorbereitungen, ein Verfahren aufzusetzen, das datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, das bedurfte einer Vorbereitungszeit.“
Verständlich ist wohl, dass es in der Tat einer gewissen Vorbereitungszeit bedarf, um ein solches System aufzusetzen. Allerdings hätte man in dieser Zeit es wohl auch hinbekommen, die Betroffenen zu informieren. Dass das Thema für viele Nutzer interessant ist, zeigen auch die Zugriffe auf das BSI-Informationssystem. Bis Dienstag Abend wurden über 1 Million Abfragen getätigt, 120.000 Betroffene erhielten eine Email, dass ihr Account in der Liste vorhanden ist. Woher die 16 Millionen Datensätze stammen, ist weiterhin unklar.
Wird geladen ...
BSI – Bnd Sucht Informationen – Hahaha.
Gebt Eure Adresse ein – bitte nur die eigene!!! , klickt noch schön auf einen Button – schwups hat man IP, Rechner, Browser … man braucht noch nicht mal mühsam über facebook und Co zu gehen, um Informationen zu sammeln. Oder will man bei der Aktion gleich ein Türchen installieren?
Für meine Begriffe hält man sich zu bedeckt, um es ehrlich zu meinen…. 🙂
(Verschwörungstheoretiker)
ich habe jetzt mindestens zehn Artikel zu diesem Thema gelesen, hier, bei Dr. Windows, bei Zeitungsportalen etc etc.. Kann mir Deppen mal irgendjemand erklären, worin eigentlich die Gefahr besteht? Ich schnall das nämlich nicht. Und wieso und wo gibt jemand bei seinen Mails sein Passwort ein? Bei mir „kommst der Strom aus der Steckdose“. Ich meine meine Frage wirklich ehrlich.
@Eike:
In dem man Tastatureingaben auf dem infizierten Rechner „mitschneidet“, kommt man an E-Mail und Passwort, denn nicht alle rufen ihre Mails per konfiguriertem Client ab sondern nutzen das gute alte Webmail.
Eine Gefahr in dieser „bitte hier E-Mailadresse eintragen um zu erfahren ob Sie betroffen sind“ -Aktion wäre z.B., dass man (das BSI) eine Verbindung zwischen Benutzer und mehreren E-Mailaccounts erhält. So weiß – wer auch immer – dass der Benutzer vorname.nachname@domain.de auch noch schnullibulli@gmx.de und arschkitzler@dominatotalis.org benutzt. Dass die NSA das bereits weiß ist eine Sache, aber dass man es damit den deutschen Behören ermöglichen könnte ist dann eher kritisch zu sehen. Nur mal als Beispiel…
@Christian
Danke! Ich hoffee, dass ich mir durch mein vorsichtiges Verhalten (Benutzerkontensteuerung, keine ausführbaren Dateien in Eingangsmail öffnen, Mails lokal speichern, keine Tastatur beim Banking) und immer aktuelle und aus bekannten Quellen stammende Software sowie Virenschutz (GData) wohl kaum was eingefangen habe.
Die Bedenken im zweiten Teil deiner Antwort teile ich.
Die Presse ist komisch, aber das BSI in der Mail auch.
Meiner Meinung nach kommen die Daten nicht (zumindest nicht alle) von einem Trojaner. Mein Rechner ist nicht infiziert. Meine GMX-Adresse ist wohl auch betroffen, aber die habe ich zuletzt vor Jahren in irgendwelchen Foren und Shops verwendet – danach fast nicht mehr. Die Adresse ist nicht mehr in Verwendung und nicht auf meinen Rechnern im Client konfiguriert.
Die wesentlichen Adressen, die ich derzeit aktiv verwende und die auch im Mailclient eingerichtet sind, sind nicht betroffen.
Ich gehe eher davon aus, daß die Daten oder ein Teil davon aus einem gehackten Shop oder Forum stammen, die Sache also nur für die eine Gefahr darstellt, die beim Mailanbieter und auf anderen bekannten Seiten die gleiche Mailadresse und das gleiche Passwort nutzen.
@Eike
Dein Rechner muß noch nicht mal infiziert sein, um an Deine persönliche Daten zu kommen. Überleg mal, wo überall Du Accounts besitzt. Achtest Du immer drauf, dass im Browser ein https steht, wenn Du Deine Daten eingibst? Ein simples Mitschneiden des Datenstromes mit wireshark und Co bringt Deine PW zu Tage.
Achtest Du darauf, dass auf Deinem Rechner die Sicherheitspatche zeitnah installiert sind? Schon kurz nach der Veröffentlichung werden die ersten Hackerprogramme in Umlauf gebracht.
Wie verantwortungsbewußt sind die Firmen, die Deine Daten halten? Werden PW verschlüsselt abgespeichert? Wurde die Firma gehackt?
Am besten ist, die PW regelmäßig zu wechseln, nicht überall das selbe zu verwenden und auf lange PW mit Ziffern, Buchstaben UND Sonderzeichen zu setzen.
Die Show vom BSI ist mir zu primitiv aufgezogen:
—
Huhu, einfacher Nutzer, ich weiß seit einiger Zeit was.
Aber ich mußte mich vorbereiten, um es Dir richtig zu sagen.
Gibst Du mir Deine Daten, dann sage ich Dir, obs stimmt.
Aber nur wenn Du mir erlaubst, Deine Daten zu verarbeiten (damit verstößt man nicht gegen das Gesetz, selbst wenn man sie dann speichert) und nur wenn Du einen Button klickst.
—
Schon mit dem Klick auf den Button KANN man per script so viele Daten auslesen, dass man einen eindeutigen Fingerabdruck des Rechners bekommt. Es KÖNNEN aber auch die sogenannten Backdoors installiert werden, die kein Virenscanner findet. Jetzt kommen Deine eingegebenen Mailadressen hinzu und man KANN das alles in einer Datenbank speichern. Wenn Du Dir mal die Möglichkeiten von NSA und Co, die im „Der Spiegel“ auch online nachzulesen sind, anschaust, dann reicht das, um Deine Spuren im Netz zu finden, zu sammeln und auszuwerten. Weiter will ich gar nicht spinnen.
Aber jeder muß selbst wissen, wie paranoid er sein will. Wer einer Regierung (-sorganisation) vertraut, kann das mit gutem Gewissen tun. Aber schau nach Ägypten, Syrien, Rußland, China …. Die Regierungen können wechseln, aber Deine Daten bleiben erhalten. Letzlich stellen sich die Fragen: Muß ich etwas persönliches preisgeben? Wer profitiert davon? Kann etwas gegen Dich verwendet werden und wie kann oder muß ich mich schützen (wenn ich noch eine Privatsphäre haben will).
Also eine Mail Adresse von mir war auch betroffen,Viren Scan und nichts gefunden.PW geändert und gut ist.
Hab dann aus Spass die Email nochmal gescheckt und nix mehr bekommen!
Also doch alles nur ein Witz?