Zum Hauptinhalt springen

E-Mail-Datenklau: BSI hätte Betroffene unverzüglich informieren müssen!

Im Wortlaut von Halina Wawzyniak,

Von Halina Wawzyniak, Netzpolitikerin

Seit Dezember weiß das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits, dass 16 Millionen Online-Accounts zusammen mit den dazugehörigen Nutzernamen, E-Mail-Adressen und Passwörtern gestohlen wurden. Doch erst gestern teilte das BSI dies der Öffentlichkeit mit. Auf einer Website konnten Nutzerinnen und Nutzer in Erfahrung bringen, ob ihre E-Mail-Adresse betroffen ist. Offenkundig unterschätzte das BSI den Andrang allerdings derart, dass die Seite stundenlang nicht aufrufbar war. Erst seit Mittwoch Vormittag ist die Seite erreichbar. Man kann sich zurecht die Frage stellen, ob das BSI nicht von vornherein größere Serverkapazitäten zur Verfügung hätte stellen müssen, um den zu erwartenden Andrang meistern zu können. Sonderlich durchdacht scheint das Vorgehen des BSI nicht gewesen zu sein.

Zu erwarten war der Andrang vor allem deshalb, da Nutzerinnen und Nutzer dazu neigen, für mehrere ihrer Accounts dieselbe Kombination aus E-Mail-Adresse und Passwort zu verwenden. Um so skandalöser ist es, dass das BSI über einen Monat wartete, bevor es die Öffentlichkeit davon informierte, dass Millionen von E-Mail-Adressen und Passwörtern entwendet wurden. In der Zwischenzeit konnten die entwendeten Daten weiter für illegale Aktivitäten verwendet werden, ohne dass die Betroffenen etwas merkten. Erklärt wurde die Verzögerung zum einen mit den laufenden Ermittlungen und zum anderen damit, dass die Findung eines Verfahrens, das sowohl einen hohen Datenschutz gewährt als auch der großen Anzahl an Anfragen gewachsen sei, seine Zeit brauchte. Letzteres ist schon mal gründlich schief gegangen. Es wäre besser gewesen, dass BSI hätte seine Priorität auf die Information der Betroffenen gelegt. Dass die auf der Website angegebene Nummer kostenpflichtig ist, spricht ebenfalls nicht für die Verbraucherfreundlichkeit des BSI.

Unklar bleibt weiterhin, woher das BSI überhaupt Kenntnis über den weitreichenden Datenklau erhalten hat. Bei allen Verständnis dafür, dass das BSI laufende Ermittlungen nicht gefährden möchte. Ein wenig mehr Transparenz wäre hilfreich - erst recht für die Betroffenen.

Es steht leider zu befürchten, dass die Bundesregierung diesen Fall zum Anlass nimmt, schärfere Sicherheitsvorkehrungen im Internet zu fordern, die letztlich die Freiheit im Netz einschränken würden. Das wäre aber genau der falsche Weg. Der richtige Weg wäre, Nutzerinnen und Nutzer stärker im Umgang mit den eigenen Daten zu sensibilisieren. Vor allem in Bezug auf Passwörter sind Nutzerinnen und Nutzer noch immer viel zu nachlässig. Oft werden einfache Zeichenfolgen genutzt oder das selbe Passwort für mehrere Accounts. Das mag bequemer sein, aber eben auch unsicherer. Die Priorität sollte also bei der Stärkung der Kompetenz der Nutzerinnen und Nutzer liegen, die immer noch am besten für ihre eigene Sicherheit im Netz sorgen können. Es ist nicht ausreichend, wenn auf der Website des BSI lediglich in einem FAQ die Nutzerinnen und Nutzer auf die Notwendigkeit und die konkrete Handhabbarkeit von regelmäßigem Passwortwechsel und Verschlüsselungen hingewiesen werden.

linskfraktion.de, 22. Januar 2014

Auch interessant