Neues vom Datenklau: Opfer bleiben Opfer

Es gibt ein paar neue Zahlen zum Datenklau, welcher 16 Millionen Datensätze beinhaltet. Diese könnten Verschwörungstheoretikern sehr gelegen kommen. Dass die Daten nicht die frischesten sind, haben wir bereits festgestellt, schließlich waren diese seit August 2013 bekannt. Nun gibt es Zahlen zu den getätigten Überprüfungen und der Anzahl derer, die durch die in 5 Monaten liebevoll programmierte Abfrageseite über ein Vorhandensein ihrer Daten informiert wurden.

IMG_4923-1300x866

Bis Freitag wurden 29 Millionen Email-Adressen von Nutzern überprüft. Eine beachtliche Anzahl, wie ich finde. Leider wurden trotz der zahlreichen Abfragen lediglich 2 Millionen Betroffene informiert. Wer nun glaubt, dass das BSI die Seite nur eingerichtet hat, um an echte Datensätze zu kommen, wird feststellen, dass durch eine solche Geschichte mal eben 27 Millionen echte Email-Adressen verfügbar wurden. Die 27 Millionen sind die, die eine Email-Adresse abgefragt haben, aber nicht zu den Opfern zählen. Erreicht hat das BSI mit seiner aufwändigen Aktion nur 2 Millionen Opfer, 14 Millionen weniger, als wenn man die Betroffenen direkt mit einem Warnhinweis angemailt hätte.

Ob man seine Email-Adresse nun über die BSI-Seite überprüft oder pauschal seine Zugangsdaten ändert, spielt im Prinzip keine Rolle. Vielleicht waren die 14 Millionen verbleibenden Opfer auch schlau genug und haben ihre Zugangsdaten ohne Abfrage geändert. Aber egal was es ist, ob nun dieser Fall oder auch aktuell die Warnung der Telekom, informiert Euer Umfeld über so etwas. Ihr lest das hier oder auf anderen Seiten, Ihr wisst im Normalfall Bescheid. Damit seid Ihr aber in der Minderheit, viele Internet-Nutzer bekommen solche Themen überhaupt nicht mit.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. @Sascha,
    nichts für Ungut, aber m.E. ein zu sehr konjunktive Nebelkerzen versprühender Artikel.
    🙁 🙁 🙁

  2. Vielleicht waren die übrigen 14 Millionen Adressen auch einfach nur Wegwerfadressen oder ungenutzte Adressen. Was man so hört scheint unter den 16 Millionen Datensätzen ja auch ne Menge Müll zu sein.
    Dieses unreflektierte BSI bashing hier im Blog ist wirklich etwas anstrengend. Bleibt doch einfach bei richtigen Techniknews…

  3. Auch Caschy sollte sich vor Augen halten, dass eine Behörde etwas anderen Regularien unterworfen ist, als ein Blog.
    Und ob es wirklich besser gewesen wäre 16 Millionen E-Mails rauszuhauen? Ich bin mir nicht sicher, welche (negativen) Konsequenzen das hätte haben können.

  4. Wenn man einfach eine Mail bekommen hätte, woher sollte man denn wissen, dass man dieser Mail trauen kann? Es könnte sich ja auch einfach nur um Spam handeln. Hat schon seinen Grund warum auf der Seite des BSI immer extra ein Hash generiert wurde den man bei eingehender Mail überprüfen sollte…

  5. Sascha Ostermaier says:

    @Crashman: Ich meine ja. 5 Monate waren die Daten bereits entwendet, bevor man überhaupt etwas darüber erfahren hat. In diesen 5 Monaten hätten die „Datendiebe“ sonstwas damit anstellen können. Und negativer geht dann wohl ja nicht mehr, oder? Zumal ja gerne die Ermittliungsarbeit als Argument für die Wartezeit herangezogen wird. Aber was wurde denn ermittelt? Dass die Daten vermutlich aus dem Ostblock abgegriffen wurden. Starke Leistung.

    @mathd: Hast Du alle Artikel zu dem Thema gelesen? Unreflektiertes BSI-Bashing kann ich in keinem erkennen. Dieser hier ist sicher etwas überspitzt gestaltet, aber hey, dafür ist es ein Blog, da darf das auch mal sein. Und so lange Ihr Euch mit dem Thema befasst, was Ihr in diesem Moment ja tut, hat er sein Ziel erreicht. Sehe da kein Problem. 🙂

  6. Ich glaube, niemand der je in einer Behörde gearbeitet hat, wundert sich über fünf Monate Koordination bei so einem großen, öffentlichkeitswirksamen Projekt.

    Eine Behörde ist völlig anderen Zwängen unterworfen, als private Organisationen. Was auch immer eine Behörde macht, sie braucht dafür eine gesetzliche Ermächtigung. Alle Maßnahmen müssen auf volle Rechtmäßigkeit (Datenschutz, Verwaltungsrecht, interne Verwaltungsvorschriften, usw.) und Verhältnismäßigkeit geprüft werden (sowohl was den Bürger als auch was Kosten angeht). Man ist gegenüber anderen Behörden (hier: dem BMI) weisungsgebunden und muss sich mit wieder anderen Behörden abstimmen (Datenschutzbeauftragte, [internationale] Straverfolgungsbehörden, etc). Dass die Koordination da schon mal Monate in Anspruch nehmen kann, ist nicht ungewöhnlich. Vor allem bei einer Aktion in dieser Größenordnung, wo alles double checked sein muss.

    Ich fand die Lösung der Überprüfung am Ende auch nicht sonderlich userfreundlich. Aber ich verstehe den Gedanken dahinter: Das BSI kann nicht einfach so Millionen E-Mails rausfeuern. Dazu fehlt schon die gesetzliche Grundlage. Außerdem muss das BSI sehr vorsichtig mit dem Versand von Massenemails sein – weil sie damit auch eine Steilvorlage an Kriminelle (Phisher, Malware-Distributoren) geben. Da machte die Lösung des Webformulars mit sehr sparsamen Benachrichtigungen durch das BSI schon Sinn.

    Abgesehen davon: Was zur Hölle soll das BSI mit 27 Millionen echter E-Mail Adressen und könnte es da nicht viel einfacher und unauffälliger dran kommen, wenn es denn wollte?

  7. die opfer hatten doch den verlust von zugangsdaten zu beklagen, aber die mailadressen der anfrager haben doch keinerlei nutzerdaten dabei gehabt. und echte mailadressen ? na und…bekommen wir jetzt zusätzlich zu den 7mio üblichen spams plus 10000 dazu ? wen juckt das ? irgendjemand hat echte mailadressen ? wow
    wenn vorsicht in paranoia umschlägt 🙂

  8. @Crashman

    Du solltest mal lesen welcher Autor den Artikel verfasst hat.
    Caschy war es nicht.

  9. @Dirk: nicht vergessen: die haben deine Mailadresse und deine IP….
    😉

  10. „… liebevoll programmierte Abfrageseite…“ Hehe, LOL. Diplomatisch formuliert würde ich sagen. Wie heist es doch immer: Gut Ding will Weile haben. 😉
    Vergesst nicht den Beamtenschlaf. Ein wichtiges Element im Berufsbild auch des BSI.
    16 Mille sind ja im Zeitalter der Milliardenverschwendung nicht so viel. Nichts überstürzen, erstmal drüber schlafen.

  11. @Andreas G.

    Sorry, habe ich übersehen. Ehrlich gesagt schaue ich hier selten von wem der Beitrag kommt, wenn er nicht als Gastbeitrag gekennzeichnet ist. Mein Problem…ändert aber nichts an der Sache.

    Wie schon geschrieben: Nur weil etwas im ersten Moment so einfach erscheint, kann es noch lange nicht behördlich durchgeführt werden. Behörden sind an wahnsinnig viele Regelungen und Vorschriften gebunden. Das dient ja auch dem Schutz der Bürger. Mal abgesehen davon war der Angriff dem BKA seit August bekannt (laut Presse). Wenn hier das Gesamtausmaß nicht bekannt ist, bzw. die Daten bei der Staatsanwaltschaft liegen, kann auch nicht einfach etwas ans BSI zur Veröffentlichung „rübergeschoben“ werden.

    Es wird oft behauptet, dass das BSI diesen Aufwand nur betrieben habe um „an die Daten der Bürger zu kommen“. Ich behaupte das Gegenteil: Die Komplexität und Dauer ist ganz wesentlich auf die Vorgaben des Datenschützers zurückzuführen.

    Zusammengefasst: Ja, ich verstehe, dass es euch schwer fällt das nachzuvollziehen. Aber das Staatswesen ist komplex. Und glaubt eines: Es gibt eine Menge gute Beamte mit guten Ideen, nur können auch die nicht immer so wie sie wollen.

  12. Ostblock, hahahaha. Wasn des? Ja, des is halt das, was mit der DDR anfängt und bis kurz vor Hawaii geht…

  13. „Ostblock, hahahaha. “

    Jep, da lebt evtl. jemand noch in der Vergangenheit. 😉

    Ein unfassbar mieses Geschreibsel von Sascha und dann noch ein erbärmlicher Rechtefertigungsversuch. Sorry Sascha, da kanste argumentieren wie Du willst!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.