Am 21. Januar 2014 meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass ein Botnet[1] millionenfachen Identitätsdiebstahl verursacht habe. Circa 16 Millionen digitaler Identitäten sollen betroffen sein. Das heißt, dass laut BSI 16 Millionen Benutzerkonten kompromittiert sind.

Das BSI schreibt dazu genau:

Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden wurden rund 16 Millionen kompromittierte Benutzerkonten entdeckt. Diese bestehen in der Regel aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort. Viele Internetnutzer verwenden diese Login-Daten nicht nur für das eigene Mail-Account, sondern auch für Benutzerkonten bei Internetdiensten, Online-Shops oder Sozialen Netzwerken.

Daraufhin richtete das BSI, mit Unterstützung der Deutschen Telekom, eine spezielle Seite ein, auf der potenziell Betroffene ihre E-Mail-Konten überprüfen lassen konnten. Die Nutzer wurden auf dieser Seite dazu aufgefordert, ihre E-Mail-Adresse einzugeben, die dann wiederum in einem technisch nicht näher definierten Verfahren mit den Daten aus dem Botnet abgeglichen wurde. Falls sich herausstellte, dass die E-Mail-Adresse des Nutzers betroffen war, wurde diesem eine E-Mail geschickt. Keine E-Mail sollte bedeuten, dass die E-Mail-Adresse des Nutzers nicht in dem Botnet gefunden wurde.

Zusätzliche Tipps, die das BSI herausgab, waren die die Säuberung des eigenen PCs mit Verlinkung auf diese Empfehlungsseite und die Änderung der Passwörter aller Konten bei sozialen Netzwerken, Online-Shops, E-Mail-Anbietern und sonstigen Online-Diensten.

Kritik am BSI

1. Bis heute ist nicht nachvollziehbar, woher das BSI diese Informationen hat und wie genau die Sachlage geprüft wurde. Die Fakten, die man benötigt, um sich ein konkretes Bild von der Situation zu machen, blieben und bleiben noch immer im Verborgenen. Kamen die Daten von einem Trojaner[2], der sich lokal auf den PCs eingeschleust hat oder von einem Server? Diese Informationen sind wichtig, damit der Betroffene richtig handeln kann. Dennoch will man von Seiten des BSI „wegen laufender Ermittlungen“ dazu keine Stellung nehmen.

2. Der normale Internetnutzer weiß höchstwahrscheinlich kaum, was ein Botnet sein soll, wie es zustande kommt, welche Gefahren davon ausgehen und was man jetzt genau machen muss. Das BSI gab also eine mit Schlagwörtern gespickte Meldung heraus („Identitätsdiebstahl“), die Internetnutzer zunächst in Panik versetzt, hat es aber vernachlässigt, die Allgemeinbevölkerung mit stichhaltigen Informationen und tatkräftiger Aufklärung zu versorgen.

3. Die eingerichtete Sicherheitstest-Seite brach unter dem Ansturm von beängstigten Menschen zusammen, so dass man letztlich nur sporadisch testen konnte, ob seine eigene E-Mail-Adresse betroffen war. In den Tagen nach dem 21. Januar stellte sich heraus, dass das BSI seit Dezember 2013 über die Kenntnis des Identitätsdiebstahls verfügte. Man hat die Nutzer also bewusst fast einen Monat lang nicht informiert und sie weiteren Gefahren ausgesetzt. Die Begründung nun, warum die Bevölkerung erst im Januar informiert wurde, wirkt vor dem oben genannten Hintergrund fast ironisch: Man wollte sicherstellen, dass die Infrastruktur dem Ansturm statthält.

4. Da die Infrastruktur den Millionen ängstlicher Nutzer nicht standhielt und es zu stundenlangen Ausfällen kam, wusste man hinterher eigentlich genauso viel wie vorher, nämlich nichts. Im Übrigen kann es nicht angehen, dass nur der betroffene User eine E-Mail bekommt. Soll man sich nun sicher fühlen, wenn man seine E-Mail-Adresse auf der Seite eingegeben hatte und keine E-Mail erhielt? Und wie lange soll es denn dauern, bis man diese Bestätigungs-E-Mail erhält? Das BSI hätte in jedem Fall eine E-Mail schicken müssen, um eben zu bestätigen, dass der User betroffen ist oder um Entwarnung zu geben.

Kritik an den Medien

Der häufig in den Medien (mit besonderem Augenmerk auf eine Lokalzeitung) zitierte Ratschlag, alle Passwörter zu ändern, wirkt in diesem Zusammenhang unüberlegt. Falls der Computer tatsächlich von Trojanern, Keyloggern[3] oder anderer Schadsoftware befallen ist, hilft alleine das Ändern eines oder mehrerer Passwörter nicht weiter. Zunächst muss der PC von der Schadsoftware befreit bzw. am besten sogar das Betriebssystem komplett neu aufgespielt werden. Danach kann man sich daran machen, Passwörter zu ändern.

Fazit

Das Gesamtvorgehen des BSI muss verbessert werden. Es muss detaillierte Aufklärung erfolgen statt Panikmache. Internetnutzer müssen früher informiert und das System zur Überprüfung der eigenen E-Mail-Konten muss sicherer und benutzerfreundlicher gestaltet werden.

Ein kleiner Ratschlag am Rande

Verlassen Sie sich im Allgemeinen nicht zu sehr auf Software, die Ihnen Sicherheit vorgaukelt. Antivirenprogramme und Firewalls, beispielsweise, bieten zwar einen gewissen Schutz, aber keinen 100 %igen. Klicken Sie nicht einfach wahllos auf irgendwelche Links, wenn Sie im Internet unterwegs sind. Laden Sie keine Anhänge von E-Mails mit unbekanntem Absender auf Ihren PC. Überlegen Sie sich genau, was Sie aus dem Internet downloaden. Schalten Sie Ihren gesunden Menschenverstand ein. Sie laufen doch auch nicht mit geschlossenen Augen über eine stark befahrene Straße, oder?

Ähnliche Beiträge:

Marktbreiter Mini Computer Congress – mmcc Das Aus für die spanische Nationalmannschaft Das Einhorn  – oder die Cordon Blue Roulade „Die Artenvielfalt ist das Netz, in dem wir leben“