Die Sicherheitsüberprüfung des BSI, mit der man testen konnte, ob sich die eigene Mailadresse unter 16 Millionen kompromittierten Benutzerkonten befand, die der Behörde bekannt geworden waren, war blamabel. Ein noch größeres Imageproblem kam dazu, als ans Licht kam, dass die Existenz der betroffenen Adressen schon im August 2013 bekannt geworden war, etwa fünf Monate vor Information der Bevölkerung. Die abschließenden Gründe dafür waren bisher ungeklärt.
Aus einer schriftlichen Anfrage des Grünen-Abgeordneten Konstantin von Notz geht hervor, dass dem BKA und BSI im vergangenen August von der Staatsanwaltschaft Verden/ Niedersachsen ca. 600 betroffene Adressen aus Bundesverwaltung und Bundestag übergeben wurden. Dem BSI sei dann klar geworden, dass es sich um einen noch größeren Datensatz gehandelt haben müsse. Nach Mitte September initiierten Gesprächen habe die Staatsanwaltschaft die Daten am 19. Dezember freigegeben. Das BKA ebenso wie das Bundesinnenministerium hätten erst im Januar vom Umfang der Daten und dem geplanten Test erfahren, vorher sei das BKA „abstrakt und ohne Angabe zur Datenmenge“ in Kenntnis gesetzt gewesen.
Die angeblichen Gründe für die Verzögerungen sind bekannt: Sensible Daten, Gefahr für die laufenden Ermittlungen, Sicherheits- und Funktionstests der Abfrageplattform… Vier Monate vom mutmaßlichen Bekanntwerden des Datenumfangs bis zur Veröffentlichung bleiben trotzdem eine lange Zeit, die nicht zu rechtfertigen ist, vor allem da das Ausmaß der Daten eine Gefahr für die öffentliche Sicherheit zwingend nahegelegt hat. Das BKA hätte als Gefahrenabwehrbehörde aktiv werden müssen.
Da der der Bundestag und die Verwaltung betroffen waren ist es auch unglaubwürdig, dass das Innenministerium erst im Januar in Kenntnis gesetzt worden sein will. Wobei genaugenommen die Antwort auf die Anfrage überhaupt nicht ausschließt, dass man bereits vorher Bescheid gewusst hätte, denn es ist nur von dem „Vorhaben ‚E-Mail Warndienst'“ die Rede, von dem man am 9. Januar erfahren habe.
Fest steht, dass die Kompetenzen und Zuständigkeiten hier im Unklaren bleiben sollen. Die Fragen, wer wann welche Informationen hatte, sind nicht eindeutig beantwortet worden. Es wird Zeit über die Aufgabenverteilung von Ermittlungsbehörden sowie anderen Stellen und deren Informationspflichten zu diskutieren. Denn so wie dieser Fall verlaufen ist, der mangels Transparenz immer noch nicht abschließend aufgeklärt ist, kann niemand darauf vertrauen, dass die Stellen, die für die Abwehr sogenannter „Cyberkriminalität“ zuständig sind, ihre Schutzpflichten den Bürgern gegenüber auch wahrnehmen. Und sich nicht viel lieber darauf konzentrieren, „Gefahren für die öffentliche Sicherheit“ nicht als Handlungsmotor im Sinne des öffentlichen Interesses, sondern als Überwachungsrechtfertigung zu nutzen.
Die Verzögerung ist doch nach der Causa Edhaty sonnenklar: Friedrich hat erstmal vertraulich die Chefs der betroffenen 16 Mio. Konteninhaber angesprochen :-D