Essen. . Die oberste Behörde für die IT-Sicherheit in Deutschland ist in Erklärungsnot: Das Bundesamt für Sicherheit in der Informationstechnik wusste seit Wochen, dass Hacker knackten 16 Millionen E-Mail-Konten knackten, informierte die Nutzer aber nicht. Jetzt drohen Schadenersatzforderungen.
Der Datenraub im Internet lässt Millionen aufgeschreckter Nutzer in Deutschland ratlos zurück. Noch ist unklar, zu welchen Online-Konten die gestohlenen E-Mail-Adressen und Passwörter überhaupt gehören. Ermittler des Bundeskriminalamtes (BKA) verweigern Auskunft darüber, wie Kriminelle an die Daten kamen. Fest steht: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste schon vor Dezember, dass persönliche Zugangsdaten von Millionen Bundesbürgern ausgespäht worden sind. Den Ansturm besorgter Internetnutzer hatte die Behörde weder so erwartet, noch war sie ihm gewachsen.
Unter Umständen kommen jetzt sogar Schadensersatzansprüche auf den Bund zu. Damit rechnet die Linke. "Millionen Deutsche, die einen Monat lang nicht über den Diebstahl ihrer digitalen Identität informiert wurden, werden sich mit ihren Ansprüchen sicher an den Bund wenden, wenn in dieser Zeit Schaden angerichtet wurde", sagte Linke-Parteichef Bernd Riexinger der "Rheinischen Post" (Donnerstag).
Der Raub: Stand der Dinge
Am Mittwoch verdichteten sich die Hinweise darauf, dass hinter dem Datenklau ein international agierendes Netz von Kriminellen stecke. Die gestohlenen Zugangsdaten, die aus einer E-Mail-Adresse und einem Passwort in Klartext bestünden, seien über Jahre hinweg gesammelt worden, sagte Tim Griese, Sprecher der Sicherheitsbehörde BSI. Für Betroffene bedeutet dies: Manche der geraubten Identitäten könnten veraltet, das jeweilige Onlinekonto gelöscht sein.
Auch interessant
Die Zahl der Opfer wächst stündlich. Das BSI teilte am Abend mit: 14 Millionen Internetnutzer hätten bei der Behörde ihre E-Mail-Adressen überprüfen lassen, in 933.000 Fällen habe sich der Verdacht bestätigt.
Die Behörde schweigt
Doch die Betroffenen sind seitdem nicht viel schlauer. Das BSI kann nur bestätigen, dass die E-Mail-Adresse auf der Liste der gestohlenen Datensätze steht. Das geraubte Passwort wird nicht mitgeteilt. Der Internetnutzer kann somit nicht erkennen, welches Konto ausgespäht worden ist: E-Mail-Postfach, Online-Shop oder hochsensible Zugänge zu Bezahldiensten wie PayPal. In allen Fällen meldet sich der Benutzer in der Regel mit Mailadresse und Passwort an.
„Wir wissen nicht, welche Konten betroffen sind“, sagt BSI-Sprecher Griese. Das Bundeskriminalamt will keine Details nennen, „die laufenden Ermittlungen sollen nicht gefährdet werden“, so eine Sprecherin. Auch auf die Frage, ob Internetnutzer zu Schaden gekommen sind, schweigt die Behörde.
In der Kritik: das BSI
Das Bundesamt ist nach eigener Aussage schon vor Dezember von Ermittlern über den Datenraub informiert worden. Kurz vor Weihnachten habe man dann die Freigabe dafür bekommen, eine Warnung herauszugeben, sagte BSI-Präsident Michael Hange. Die Öffentlichkeit wurde jedoch erst einen Monat später informiert.
Auch interessant
Die Verzögerung sei unvermeidlich gewesen, rechtfertigt sich das Amt. Die mit Hilfe der Deutschen Telekom programmierte Internetseite, auf der Nutzer überprüfen können, ob sie betroffen sind, habe „extrem gut vorbereitet werden müssen“. Dabei hätten Datenschutzfragen beachtet werden müssen. Hange: „Wir haben schon sehr schnell gemacht. Schneller geht es nicht.“ Die Testseite brach dennoch unter dem Ansturm zusammen.
Auf die Frage, warum die Behörde nicht Betroffene im Dezember per Mail informiert habe, die Passwörter zu ändern, sagte BSI-Sprecher Tim Griese: „Wir wollten nicht unaufgefordert E-Mails verschicken. Sie wären wohl in vielen Fällen im Spam-Ordner gelandet.“
Tipps für Internetnutzer
Auf der Internetseite https://www.sicherheitstest.bsi.de können Internetnutzer prüfen lassen, ob sie von dem Datenraub betroffen sind. In diesem Fall rät das BSI, alle Passwörter zu ändern und den Rechner mit einer Virensoftware auf Schadsoftware zu prüfen.
