Gestohlene Nutzerdaten: BSI streut Verunsicherung statt klarer Worte
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit seiner gestrigen Pressemeldung zum millionenfachen Diebstahl von Internetidentitäten viel Aufmerksamkeit erlangt und zugleich unzählige Internetnutzer verunsichert.
Im Rahmen einer Analyse von Botnetzen wurde laut dem BSI entdeckt, dass die Zugänge zu rund 16 Millionen Benutzerkonten in falsche Hände gelangt sind. Es ist davon auszugehen, dass die gefundenen Kombinationen aus E-Mail-Adressen und Passwörtern nicht nur für die Anmeldung bei den betreffenden E-Mail-Anbietern „gut“ sind, sondern sich vor dem Hintergrund der Tatsache, dass ein Großteil der Internetnutzer keine getrennten Logins für unterschiedliche Dienste verwendet, auch für die Nutzung anderer Onlineangebote nutzen lassen. Eine entsprechende Warnung ist also mehr als angebracht.
Warum das BSI sich in diesem Zusammenhang allerdings mit Hintergrundinformationen zurückhält und stattdessen lediglich eine Webseite zur Überprüfung der eigenen Adressen anbietet, bleibt zunächst offen. Man möchte meinen, dass es sinnvollere Wege gäbe, beispielsweise das direkte Kontaktieren der Betroffenen in Kooperation mit den großen E-Mail-Providern oder zumindest das Nennen näherer Details, damit sich der Zirkel der Betroffenen entsprechend eingrenzen lässt. Schon ein Hinweis über die Art und Weise, wie die Daten erlangt wurden, würde möglicherweise dabei helfen bestimmte Nutzergruppen oder gar Betriebssyteme auzuschließen. Ein Verweis auf laufende Ermittlungen ist hier wohl weniger angebracht, die hinter dem Datenklau steckenden Botnetzbetreiber dürften mit Blick auf die Größenordnung auch ohne Nennung der näheren Umstände wissen, worum es hier geht.
Unvorbereitet und unsensibel
Wenn man sich nun in Sachen Informationspolitik wie das BSI entscheidet, und großflächig Paranoia streut, dann sollte man zumindest auf den zu erwartenden Ansturm der verunsicherten Bürger vorbereitet sein. Dies war gestern keineswegs der Fall und die vom BSI angebotene Webseite war über längere Zeit hinweg gar nicht oder nur eingeschränkt erreichbar. Schlimm in diesem Zusammenhang ist auch, dass selbst wenn man die Webseite erreicht und eine eigene E-Mail-Adresse zum Test eingegeben eine Unsicherheit bezüglich dessen, ob man nun betroffen ist, bleibt. Das BSI verschickt nur dann eine bestätigende E-Mail, wenn die eigene Adresse auf der Liste der 16 Millionen gefunden wurde. Bislang bleibt allerdings unbeantwortet, ob während der gestrigen Überlastung wenigstens die E-Mail-Server des BSI ihren Dienst zuverlässig verrichtet haben. Für eine Stellungnahme war dort niemand zu erreichen.
Abgesehen von den vorhersehbaren technischen Problemen lässt die Aktion des BSI auch einen gewissen Mangel an Sensibilität erkennen. Es mag paranoid klingen aber man kann es in der heutigen Zeit keinem Nutzer verübeln wenn er kein gutes Gefühl dabei hat, der Reihe nach alle von ihm verwendeten E-Mail-Adressen in ein staatlich bereitgestelltes Onlineformular einzutippen. Da helfen alle Datenschutzbeteuerungen nichts, auch diese Kritik am Verfahren wäre sicherlich vorhersehbar gewesen.
So geht ihr auf Nummer sicher
Ändert eure Kennwörter
Die einfachste Lösung für alle, die auf Nummer sicher gehen wollen, ist wohl zunächst das Ändern des persönlichen E-Mail-Kennworts. Darüber hinaus solltet ihr euer persönliches Sicherheitskonzept noch einmal überprüfen. Falls ihr tatsächlich die selbe E-Mail-Passwort-Kombination für mehrere Onlineangebote nutzt, ist die schnellstens zu ändern. In der Vergangenheit hat sich mehrfach gezeigt, dass Internetkriminelle auf genau dieses Fehlverhalten spekulieren.
Für den Überblick im persönlichen Passwort-Dschungel greift ihr am besten auf eine unterstützendes Programm zurück. Hier könnt ihr nicht nur sichere Kennwörter generieren, sondern diese auch überschaubar verwalten. 1Password beispielsweise bietet auch hilfreiche Werkzeuge wie die Suche nach doppelt verwendeten oder schwachen Kennwörtern an.