BSI-Fail bei unberechtigt kopierten Passwörtern wird immer größer

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Hacker aus Osteuropa hatten mehrere Millionen Passwörter zu Nutzeraccounts in die Hände bekommen. Danach ist die Datenbank mit diesen Zugangsinformationen in die Hände des BSI gelangt. Und wahrscheinlich erinnert ihr euch noch an die Meldung vor zwei Wochen, in der wir darüber gelästert haben, dass die Webseite der Behörde zur Überprüfung ob man selbst zu den Betroffenen gehört vom Ansturm an Abfragen in die Knie gegangen war.

Schon damals hatte man sich an vielen Stellen gefragt, warum es so lange gedauert hatte, bis das BSI mit der Information über die geknackten Onlinekonten an die Öffentlichkeit gegangen war, immerhin hatten sie nach eigenen Angaben bereits seit Dezember über den Vorfall Bescheid gewusst. BSI-Präsident Michael Hange rechtfertigte die Verzögerung jedoch damit, es habe lange gedauert bis das Verfahren einer „großen Zahl von Anfragen gewachsen ist“.

Das klang damals schon ein bisschen fragwürdig. Mittlerweile hat sich herausgestellt, dass die Sache mit den Accountdaten nicht erst seit Dezember bekannt war. Der Spiegel hat gestern bekannt gegeben, dass BKA und BSI bereits im August vor geknackten Konten gewarnt hatten. Aber nicht normale Bürger, sondern ausschließlich Mitglieder von Behörden, Ministerien und dem Deutschen Bundestag, denn man hatte herausgefunden, dass sich 600 E-Mail-Adressen aus diesem Umfeld in der Datenbank betroffener Adressen befanden. Warum man nicht zum gleichen Zeitpunkt auch die Bürger informiert hatte, versucht das BSI damit zu begründen, man habe „zunächst eine aufwendige Webseite programmieren und Datenschutzfragen klären müssen“. Verzeiht, wenn ich Bilder sprechen lasse, aber manchmal sagt ein solches mehr als 1000 Worte:

Konstantin von Notz sagte gestern dem Spiegel gegenüber, es stehe der Verdacht einer massiven Schutzpflichtverletzung im Raum, falls die Behörden wirklich seit August Bescheid gewusst hätten. Schutzpflichtverletzung ist ein sehr nüchterner Ausdruck für einen Vorfall, der illustriert, dass wir in Deutschland eine Zwei-Klassen-Gesellschaft haben, wenn es um Datenschutz und Privatsphäre geht. Ein wenig wie bei der Abhörung des Kanzlerinnenhandys, auch dort schien die massenhafte Abhörung der Bevölkerung im Verhältnis zu einem einzigen Mobiltelefon keine rechte Relevanz zu haben.

Man sollte sich daher auch an die eigene Nase fassen, wenn man den Amerikanern vorwirft, sie legten unterschiedliche Maßstäbe für die Privatsphäre der Menschen im Land und außerhalb an und man selbst nichteinmal den eigenen Bürgern untereinander das gleiche Schutzrecht zugesteht, ohne dass es einen ernstzunehmenden Grund dafür gibt. Das ist kein technischer Ausrutscher – das ist eine Missachtung demokratischer Werte und eine Manifestation asymmetrischer Grundrechtsverteilung.

18 Ergänzungen

  1. „Schutzpflichtverletzung“ Wo denn bitte?!
    Das fängt doch bei dem Teil der Bevölkerung an, der sich mutwillig eine tolle Kompass-, Taschenlampen- oder Schwanzverlängerungs-App installiert die dann das halbe Smartphone irgendwie absaugt und hört noch lang nicht bei denen auf, die immer noch XP nutzen, statt auf Windows 7/8 umzusteigen (von Linux schreib ich mal grad gar nicht, das würde ja ein pöhser Flamewar werden können).

    Solang der Normalnutzer so doof ist, bekommt er auch nur das BSI, was er verdient.

    1. Wenn die App mal beim Installieren sagen würde „Achtung, diese App übermittelt alle ihre Daten an kriminielle und/oder die NSA“.
      Natürlich sind die Berechtigungen super allgemein oder verklausuliert formuliert.
      Da heißt es z.B. die App wolle Rechte um Speicherinhalte zu ändern oder zu löschen.
      Dass eine App, die etwa Spielstände verwalten muss, Speicherinhalte ändern und löschen muss, ist nachvollziehbar. Ob die App aber nebenbei sämtliche privaten Daten sammelt und weiterversendet, geht daraus nicht hervor.
      Der Otto-Normal-Verbraucher kann eben nicht mal eben den Code der App analysieren, um zu schauen, was die denn genau anstellt.

      Elitäres Gehabe, dass den Normalnutzer deshalb als „doof“ betitel, hilft niemandem.

  2. Ich würde auf denen jetzt mal nicht so rumhacken. Das ist alles nicht ideal gelaufen, aber das war ja auch sozusagen das ‚erste Mal‘.
    Und wenn sie alles undurchdacht veröffentlicht hätten wär‘ die Netzgemeinde sicher wegen anderer Problem aufgeregt gewesen. I denke die haben das ganz gut hinbekommen:

    – Datenschutzmässig scheint das jetzt einwandfrei
    – Sicherheitstechnisch ist das wohl einwandfrei (man kann keine Adressen abfragen)
    – Es lädt auch nicht dazu ein, dass Trittbrettfahrer phishing-emails verschicken wo man an einer Fake-BSI-Seite sein Passwort angeben soll
    – Die Daten sind anscheinend auch echt (könnte ja sein, dass denen jemand was unterjubeln wollte)

    Aufregen würde ich mich erst, wenn es beim nächsten Mal wieder so lange dauert, denn dann sollten die Verfahren/Infrastruktur ja schon stehen.

  3. Geheimdienste brauchen ebenZeit um eine Infrastruktur aufzubauen.
    Millionen Adressen abgleichen und verifizieren, und das koordiniert weltweit ist nicht so einfach.

    Vor allem nicht, wenn deutsche Behörden involviert isnd.

  4. Der Artikel trifft den Ball noch nicht vollständig. Die entscheidende politische Frage lautet, wer hier wann wen in welchem Umfange informiert hat. Sollte das BSI bereits im August 2013 von der Gesamtdimension gewusst haben, ohne an die Öffentlichkeit zu gehen, wäre das völlig inakzeptabel. Sollte das BKA oder die StA Verden Informationen über das Ausmaß über einen so langen Zeitraum zurückgehalten haben wäre das ebenfalls nicht zu rechtfertigen. Da darf dann auch schon mal nach Verantwortlichkeiten gefragt werden.

  5. Gibts eigentlich irgendwelche Neuigkeiten, woher das Botnetz (ein solches war ja laut BSI der Bösewicht) die ganzen Passwörter hat? Bei mir war eine Emailadresse dabei, deren Passwort mit ein bisschen Geduld durchaus mit Bruteforce zu knacken gewesen wäre, aber das scheint mir unrealistisch.
    Auf die Emailadresse zugegriffen habe ich in den letzten zwei Jahren von exakt 4 Computern die kein aktuelles Linux drauf hatten, davon kann ich zwei wohl ausschließen (weil andere Emailadressen beim selben Provider vom selben PC abgerufen wurden, aber laut BSI nicht in der Liste auftauchen und weil die Chance dass mein Uninetzwerk gehackt wurde auch nicht so hoch ist). Bleiben zwei Copyshopbesuche in denen ich unvorsichtiger Weise diese Emailadresse benutzt habe…

    Weiß jemand näheres?

    1. Jedenfalls kann danach niemand mehr, der seine E-Mail-Adresse dort angegeben hat sagen, er hätte es nicht gewusst. Sprich: Vorsatz ;)

  6. Nun,
    vllt. wollte jemand von einer anderen Bundesbehörde zunächst mal ein bisschen mit den Passwörtern “ von bestimmten Mailadressen spielen“ – bevor man alle warnte.

  7. Sonst wenn es das erste Mal in dieser Sache war ist es ein Armutszeugnis dafür welchen Stellenwert der normale Bürger in deren Augen hat. Was könnt als nächstes? Werden irgendwelche Passwörter für können geknackt aber solange es die Politiker nicht betrifft wird erst mal 3 Jahre lang an einer Website gearbeitet um die „Kleine/n Frau/Mann“ zu informieren und währenddessen wird erst mal kräftig abgeräumt. Nee es gibt Sachen die sind auch beim ersten Mal nicht zu zu verzeihen, da sollte der gesunde Menschenverstand schon eingeschaltet sein und von Anfang an informiert werden.

  8. Dass der BSI-Server (wahrscheinlich ein hochkant gestellter Desktop unterm Schreibtisch) zusammengebrochen ist, ist bezeichnend für die Ahnungslosigkeit die vorherrscht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.