Massen-Datenklau: BSI hat Warnung offenbar 4 Monate hinausgezögert
Die Informationspolitik des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit Blick auf den im Januar an die Öffentlichkeit gekommenen Fall millionenfachen Diebstahls von Nutzerdaten haben wir bereits ausführlich kritisiert. Offenbar hat sich das Amt jedoch noch weitaus unverantwortlicher verhalten, als bisher angenommen. Die Antwort der Bundesregierung auf eine Anfrage der Grünen legt nahe, dass die Behörden bereits seit September und nicht wie bisher vermutet seit Dezember von den Vorgängen wusste, sich mit dem Handeln dann allerdings vier Monate Zeit ließ.
(Bild: Shutterstock)
Details zu den aktuellen Vorwürfen gegen das BSI könnt ihr beim Spiegel oder ausführlich in der Stellungnahme der Grünen, die auch ausführliche Passagen aus den Antwortschreiben der Bundesregierung enthält, nachlesen.
Wir kritisieren unabhängig von diesen Unstimmigkeiten insbesondere die Art und Weise, wie das BSI mit diesem Wissen an die Öffentlichkeit gegangen ist. Abgesehen von der unsensiblen Vorgehensweise, von Anwendern die Eingabe ihrer E-Mail-Adressen in ein zudem die meiste Zeit nicht zuverlässig funktionierendes Onlineformular zu verlangen, schweigt sich das Amt bis heute über die Hintergründe der Affäre aus. Konkrete Hinweise auf die Herkunft der Daten oder weitere Zusammenhänge fehlen, dabei könnte gerade dies Anwendern durchaus dabei helfen, ihre persönliche Gefährdung abzuschätzen und eigens Maßnahmen wie beispielsweise das Ändern allgemein benutzter Logindaten in die Wege zu leiten.
Das vom BSI angebotene Formular zur Eingabe von E-Mail-Adressen wurde von vielen Anwendern kritisch als E-Mail-Sammelstelle der Regierung betrachtet. Die damit verbundenen massiven technischen Probleme kratzten zusätzlich am Vertrauen in die Arbeit der Behörde.
Auch die Grünen sind mit der letzten Auskunft der Bundesregierung nicht zufrieden. Es sei nicht nachvollziehbar, wie die Bundesregierung weiter versuche, eindeutig formulierten Fragen nach der erstmaligen Kenntnisnahme und Befassung auszuweichen und bis heute keine schlüssige Chronologie dieses Vorganges vorgelegt habe. Die Fraktion verlangt die sofortige und vollständige Aufklärung der Hintergründe des Gesamtvorfalls.
Die Seite war ja auch ziemlich komplex zu programmieren… Das kann schon mal Monate dauern.
YMMD!
xD
KaroX, wie gut, dass du dich so gut auskennst. Mit dir wäre die Welt Viel sicherer … ;)
.
Ernsthaft: Zuerst mussten sie ein System ausdenken, wie eine Überprüfung möglich ist. Eventuell haben sie noch Diverses ermitteln müssen (z.B. ob Groß- & Kleinschreibung vor dem @ beachtet wird, ob es Variationen mit . und +IrgendetwasDanach geben kann, die alle auf die gleiche Emailbox zeigen (bekanntestes Beispiel dafür ist Gmail). Während der Erstellung musste es von irgendwelchen Stellen evtl. noch überprüft werden (Behördengänge sind bekanntlich nicht schnell).
.
Kurzum ist das vom BSI zwar erstaunlich langsam gewesen, ABER vielleicht auch begründet. Für viele Politiker ist das Internet schließlich noch Neuland.
Stimmt, immerhin haben die Politiker ja auch die Seite entwickelt.
Das was du beschreibst, fängt man mit wenigen Zeilen Code ab und prüft es, das dürfte sich selbst jeder der keine Ahnung von der Materie hat, innerhalb von kürzester Zeit aus dem Netz zusammen kopiert haben.
Nur mit ein paar Zeilen Code überprüfen stimmt auch nicht. Manche Server sind case sensitiv, manche nicht, manche Server erlauben wahllos Punkte, manche nicht, und noch viel mehr Eigenschaften. Wenn man also eine Adresse zum Überprüfen angibt, sollte der Server die Eigenschaften von diesem Emailserver kennen. Ich denke nicht, dass man dies automatisch abfragen kann, aber ich habe mich damit nicht intensiv beschäftigt und weiß es daher nicht genau. Wenn also die Eigenschaften vom Server nicht abgefragt werden können, muss das BSI eine Liste mit Eigenschaften der betroffenen Server nutzen. Deshalb ist dann der Code auf jeden Fall nicht mehr nur ein paar Zeilen groß. Das ist etwas was mich inzwischen nervt. Inzwischen gibt es (zum Glück) mehr Leute, die sich etwas mit Programmierung auskennen, aber nachteilhaft ist, dass man dann oberflächlich denkt sofort eine Lösung zu kennen und nicht mehr darüber nachdenkt, ob die Lösung überhaupt wirklich das Problem vollständig löst.
.
Zum anderen ist eine Verschwörung, dass damit Emailadressen gesammelt werden, vollkommen schwachsinnig. Sobald eine Email an die Adresse kommt und nicht mit Fehlermeldung quittiert wird, ist es zu 99,999% sicher, dass es diese Adresse tatsächlich gibt. Schließlich verlaufen ALLE Emails unverschlüsselt über das Netz (auch PGP/GPG-verschlüsselte Emails müssen zwangsläufig unverschlüsselte Metadaten haben, also welcher Empfänger gemeint ist – nur der Content ist verschlüsselt). Da GCHQ das ganze europäische Netz überwacht und gut mit NSA zusammenarbeitet wie der BND, erfährt das BND, NSA u.s.w. schon längst vor dem Überprüfungsformular, welche Adressen es gibt. Die kleine Unsicherheit besteht nur, falls der Emailserver ge-fake-te Fehlermeldungen schickt. Das fliegt aber auch auf, wenn es viele Leute gibt, die Emails an die angeblich nicht vorhandene Emailadresse schreiben.
Meinst du das jetzt ernst, dass du das BSI in Schutz nimmst, oder war das jetzt von DIR Ironie? :-)
KaroX, lies mal meine Beiträge ganz langsam durch und überlege lange über sie. Dann erkennst du hoffentlich auch, dass ich das BSI nicht in Schutz genommen habe. Ich habe lediglich versucht aufzuklären, warum diese ganzen Theorien nur dumme Verschwörungen sind und in Wahrheit es eigentlich viel schlimmer ist. Die Adressen müssen nicht gesammelt werden, weil sie (leider natürlich) schon längst bekannt sind. Nur jetzt wacht seit Snowden die Bevölkerung ein bisschen auf, aber erfindet nun immer wieder blöde Verschwörungen, weil sie gewisse Tatsachen nicht glauben kann. Vielen Deutschen, die sich über die Merkel beschweren, dass das Internet Neuland ist, ist denen selbst das Internet noch immer Neuland, obwohl sie das Gegenteil glauben, nur weil sie es häufig benutzen. Weil man etwas viel benutzt, heißt es nicht, dass man es versteht. Dies wissen sehr viele nicht.
Ok,… Ja, ich habe nur deine erste Anmerkung nicht ganz verstanden,… Mit mir wäre alles sicherer – aber gut.
Denn sie wissen nicht, was sie tun(sollen)
Es machte über den gesamten Verlauf dieser Angelegenheit den Eindruck, dass da niemand wirklich wusste, was zu tun war…
Ich dachte gerade Massen-Datenklau bei BSI. Das wär’s gewesen! :)
Das kommt davon, wenn lahmarschige, unkündbare Beamte in einem Bereich tätig sind, in dem sie schnell und vorausschauend handeln müssen – passt nicht zusammen.
Dazu eine typisch deutsche Informationspolitik, bloß nicht den Bürger umfassend und bereitwillig informieren. Nicht das der noch anfängt selbst zu denken (und zu handeln).
Auch beim BSI arbeiten inzwischen nur noch wenige Beamte, die meisten Mitarbeiter sind Angestellte. Für mich ist das Vorgehen des BSI politisch so gewollt.
Also doch wieder Beamte ;-). Wäre bei Ihrer Vermutung natürlich noch schlimmer…
Auch wenn dort ebenfalls Tarifangestellte unterwegs sind, ist es dennoch eine behördliche Einrichtung und wird eben auch so geleitet.
Genau. Am besten alle Beamten in Ketten legen und auspeitschen…dann passiert so was nie wieder (Ironie OFF)
Was für ein sinn- und informationsloser Kommentar. Aber ja und Amen zu allem zu sagen, ist natürlich einfacher…
Sinn und Informationslos. So kann man Ihren Kommentar auch beschreiben.
Stattdessen geprägt von Neid und Verallgemeinerung.
Wie kommen Sie darauf das ich neidisch bin auf Leute, die ihre Arbeit nicht tun und das zum allgemeinen Unwohl?? Sinnfrei…
Sie sollten nicht einfach nur gegen andere meckern, deren Meinung Sie nicht mögen. Ohne Argumente wirkt das nur albern.
Wort des Jahres 2014: Beamtenfolter
made my day :D
und unwort des jahres: datenklau…^^
Leute, auch hier gilt „nicht reden.. sondern handeln“! Ändert regelmäßig eure Passwörter und ihr solltet in solchen Fällen mit einem blauen Auge davon kommen.
Oder mal was anderes wählen…
Durch die Eingabe der E-Mailadresse hat jetzt jede E-Mail ein Zuhause und ist zu dem noch aktiv :-)
„E-Mail-Sammelstelle der Regierung“ ??
So ein Blödsinn. Die können damit doch gar nichts anfangen. Das BSI hat diese Adressen natürlich sofort an die NSA weiter geleitet. DIE wissen jedenfalls was damit anzufangen.
Und das unsere Behörden ihre Daten freiwillig an die NSA gibt, ist ja nunmal bekannt, seitdem wir wissen, dass alle Geheimprogramme und sonstige Software unserer Behörden von amerikanischen Firmen gekauft werden, die auch noch Tochtergesellschaften der NSA sind. Also aus NSA Sicht sind wir eben doch die „besten“ Verbündeten (Sarkasmus OFF)
In Kooperation mit der Telekom das ganze…
Wahrscheinlich brauchten die auch Zeit, unsere E-Mails zu checken, wenn schon Account und Passwort bekannt war. Alles zu unserer aller Sicherheit.
Die BSI-Seite war/ist doch der eigentliche Hack!