BSI bestätigt

Datenklau schon seit Dezember bekannt

22.01.2014
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bestätigt, dass ihm der millionenfache Klau von Online-Zugangsdaten schon seit Wochen bekannt war.

"Wir wussten seit Dezember davon. Die Vorbereitungen ein Verfahren aufzusetzen, dass datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, das bedurfte einer Vorbereitungszeit", sagte BSI-Präsident Michael Hange im Bayerischen Rundfunk am Mittwoch. Zunächst hatte die "Mitteldeutsche Zeitung" berichtet, das BSI sei spätestens seit Dezember informiert gewesen.

Die Behörde hatte am Dienstag mitgeteilt, dass 16 Millionen Benutzerkonten gekapert worden seien. Sie richtete eine Webseite ein, auf der Menschen überprüfen können, ob sie betroffen sind. So seien bis 18.00 Uhr am Dienstag 120.000 Betroffene über die Ausspähung ihrer Passwörter informiert worden, sagte Hange im Bayerischen Rundfunk. Insgesamt seien über eine Millionen Anfragen bearbeitet worden. Die Webseite https://www.sicherheitstest.bsi.de/ war wegen des Ansturms der Internet-Nutzer über weite Zeiträume schlecht zu erreichen, so auch am Mittwochmorgen.

Auf der Webseite können Nutzer ihre E-Mail-Adresse eingeben, die dann mit den Daten abgeglichen wird. Betroffene werde anschließend per E-Mail informiert - allerdings erfahren sie dabei nicht, in Verbindung mit welchem Passwort die Adresse in der Datenbank steht. Auch die Bundesregierung wies auf die Testseite hin.

Die Zugangsdaten tauchten bei der Analyse von Botnetzen auf. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen solche Zombie-Rechner beispielsweise, um massenhaft E-Mails mit Werbung oder Schadprogrammen zu versenden.

Die Datensätze können nicht nur auf gekaperte E-Mail-Konten hindeuten. Dieselbe Kombination aus Mail-Adresse und Passwort verwenden viele Internet-Anwender fahrlässig auch zum Anmelden bei anderen Diensten, etwa für Online-Netzwerke wie Facebook oder bei Shopping-Seiten.

Der netzpolitische Sprecher der SPD-Bundestagsfraktion, Lars Klingbeil, forderte angesichts des Falls mehr Investitionen in die Sicherheitsforschung. "Dieser Fall zeigt, wie sich das Thema Identitätsklau im Netz entwickelt hat, und dass wir damit auch in Zukunft wohl noch viel zu tun haben werden", sagte Klingbeil der Zeitung "Tagesspiegel" (Mittwoch). Es sei Aufgabe der Politik, die digitale Selbstständigkeit des Bürgers zu unterstützen und die Sicherheitsforschung zu stärken. "Das wird Geld kosten, was wir aber investieren sollten." (dpa/tc)