BSI wusste seit Dezember von millionenfachem Identitätsklau

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste bereits seit Dezember von dem millionenfachen Diebstahl von E-Mail/Passwort-Kombinationen. Das hat BSI-Präsident Michael Hange dem Bayerischen Rundfunk bestätigt. "Die Vorbereitungen, ein Verfahren aufzusetzen, dass datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, bedurfte einer Vorbereitungszeit", sagte er. Trotzdem ist die Seite, auf der Nutzer prüfen können, ob ihre Mailadresse betroffen ist, weiterhin nur sporadisch zu erreichen.

Vermutlich waren Forschungseinrichtungen, die sich auch Botnetzen widmen, auf die geklauten Daten gestoßen und hatten sie Strafverfolgungsbehörden sowie dem BSI übergeben. Die Behörde richtete dann die Möglichkeit ein, zu prüfen, ob ein Nutzer betroffen ist. Auf der Website können Internetnutzer ihre E-Mail-Adresse eingeben und erhalten daraufhin einen Prüfcode. Bekommen sie daraufhin eine E-Mail an die angegebene Adresse mit Prüfcode im Betreff, bedeutet das, Botnetze haben Daten zu dieser E-Mail-Adresse gesammelt. Ist die eingegebene E-Mail-Adresse nicht betroffen, so erhält der Nutzer keine Benachrichtigung. Über die Botnetze selbst gibt es bisher keine weiteren Informationen.

Nachdem das BSI den Datenklau am gestrigen Dienstag öffentlich gemacht hat, sind Hange zufolge mehr als 8,5 Millionen Anfragen bearbeitet worden. Davon seien 750.000 von Betroffenen gekommen, die über den Diebstahl ihrer Daten informiert wurden, sagte Hange der dpa. Er hatte zuvor seine Warnung erneuert, bei den mutmaßlichen Tätern handele es sich um organisierte Banden, die mit den gestohlenen Daten ein lukratives Geschäft betrieben.

Gegenüber heise Security hat ein Verantwortlicher beim BSI inzwischen weitere Einzelheiten zu dem Datenklau erläutert. So seien die Benutzernamen und die Passwörter über einen Zeitraum von mehreren Jahren gesammelt worden, weswegen davon auszugehen sei, dass nicht mehr alle aktuell sind. Zu jedem abgegriffenen Benutzernamen liege auch ein Passwort im Klartext vor. Betroffen sind deswegen alle Formen von Online-Konten, bei denen eine E-Mail-Adresse als Benutzername verwendet wird, da sich die Täter mit den Daten dort einloggen können. Wenn vom BSI bestätigt wird, dass eine E-Mail/Passwortkombination unter den erbeuteten ist, heiße das aber nicht zwangsläufig, dass zugehörige Rechner infiziert sind. Es bestehe jedoch die Wahrscheinlichkeit, weswegen alle Rechner, mit denen man ins Internet gehe und sich bei Online-Konten anmelde, überprüft werden sollten.

In der E-Mail-Antwort, die Betroffene erhalten, die den Sicherheitstest der Behörde genutzt haben, rät das BSI, alle Rechner mit Internetzugang auf Schadsoftware zu überprüfen. Außerdem sollten alle Passwörter geändert werden, die dazu genutzt werden, sich bei Online-Diensten anzumelden. Damit solle einem möglichen Missbrauch ein Riegel vorgeschoben werden.

Unterdessen forderte Lars Klingbeil, netzpolitischer Sprecher der SPD-Bundestagsfraktion, gegenüber dem Tagesspiegel mehr Investitionen in die Sicherheitsforschung. Es sei Aufgabe der Politik, die digitale Selbstständigkeit des Bürgers zu unterstützen und die Sicherheitsforschung zu stärken. "Das wird Geld kosten, was wir aber investieren sollten."

[Update 22.01.2014 11:20 Uhr] Ursprünglich war in der Meldung von einer Million Anfragen und 120.000 Betroffenen die Rede. Inzwischen hat BSI-Präsident Hange die Zahlen gegenüber der dpa auf 8,5 Millionen Anfragen und 750.000 Betroffene aktualisiert und sie wurden in der Meldung angepasst.

[Update 22.01.2014 14:00 Uhr] Das BSI hat seine Zahlen erneut aktualisiert. Mittlerweile sollen 12,6 Millionen Anfragen beim BSI eingegangen sein. Die Zahl der dadurch ermittelten Betroffenen ist auf 884.000 gestiegen. BSI-Präsident Hange geht davon aus, dass in Deutschland ingesamt etwa acht Millionen Nutzer betroffen sind.

(mho)