Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Millionenfacher Passwort-Diebstahl: Hacker hatten Bundestag und Ministerien im Visier

Von

Reichstagsgebäude in Berlin: Behörden und Bundestag  wurden  früher gewarnt Zur Großansicht
Getty Images

Reichstagsgebäude in Berlin: Behörden und Bundestag wurden früher gewarnt

Von der millionenfachen Passwort-Ausforschung durch Hacker waren nicht nur Privat-Nutzer betroffen. Nach SPIEGEL-Informationen wurden auch Zugangsdaten des Bundestags und aus Ministerien abgefischt. Die Betroffenen wurden schon Monate vor der öffentlichen Warnung informiert.

Berlin - Seit Wochen sorgt die massenhafte Ausforschung von E-Mail-Passwörtern durch eine osteuropäische Hacker-Bande für Schlagzeilen. Millionen von Nutzern haben bereits auf einer Webseite des Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft, ob auch ihre Zugangsdaten abgefischt worden sind. Insgesamt wurden bis zu 16 Millionen Datensätze ausgeforscht. Es ist der größte bisher bekannte Datenklau von Internetnutzern.

Von dem großangelegten Angriff waren nicht nur private Nutzer betroffen. Nach Informationen des SPIEGEL gerieten auch der Bundestag und alle Bundesministerien ins Visier der Hacker. Deswegen warnte das Bundeskriminalamt (BKA) das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im August 2013, bei den Ermittlungen seien auch Bundestags- und Behördenadressen aufgetaucht.

Konkret informierte das BKA, dass sich in der riesigen Datenbank von Passwörtern, welche die Fahnder bei ihren Recherchen entdeckt hatten, auch rund 600 E-Mail-Adressen aus der Bundesverwaltung, aus allen Bundesministerien und 17 Adressen des Bundestags befanden. Die zugehörigen Passwörter waren offenbar von osteuropäischen Cyber-Kriminellen ausgespäht und in dem Archiv gesammelt worden.

Behörden und Bundestag wurden wesentlich früher gewarnt

Die Liste der Ministerien ist lang: So fanden sich in der Datenbank E-Mail-Adressen des Auswärtigen Amts (AA), des Innen-, Justiz- und Verteidigungsressorts und zehn weiterer Ministerien. Dementsprechend schnell wurde reagiert: Die IT-Sicherheitsbeauftragten des Bundestags und der Ministerien wurden vom BSI aufgefordert, die betroffenen Nutzer umgehend zu warnen und ihre Passwörter umgehend zu ändern.

Im Fall des Parlaments konnten die Sicherheitsbeauftragten schnell Entwarnung geben. Im aktuellen Bundestag waren durch die Bundestagswahl im September nur noch zwei der vom Passwort-Klau betroffenen Abgeordneten vertreten. Wie sich später herausstellte, waren deren Adressen des Bundestags meist für private Zwecke genutzt worden.

Wie groß der Schaden durch die Ausforschung in den Ministerien ist, steht noch nicht fest. Allerdings weisen Experten darauf hin, dass es sich bei den 600 abgefischten Passwörtern nicht zwingend um echte Zugänge zu Behörden-Mailadressen handeln muss, da sich jeder Internetnutzer beispielsweise in Chats oder Newsrooms mit fiktiven Adressen deutscher Behörden anmelden kann.

Kritik am Vorgehen des BSI

Dass die Behörden und der Bundestag so früh informiert wurden, dürfte für neue Diskussionen um das Vorgehen des BSI sorgen. Die Behörde warnte die Öffentlichkeit erst vor zwei Wochen über den Hacker-Angriff und schaltete eine Webseite, auf der sich Internetnutzer informieren konnten, ob ihre Adressen von dem Datenklau betroffen waren.

Die Grünen im Bundestag jedenfalls übten nach dem SPIEGEL-Bericht heftige Kritik. "Wenn die Bundesbehörden bereits im August 2013 von dem Datenklau wussten, steht der Verdacht einer massiven Schutzpflichtverletzung gegenüber den Bürgern im Raum", sagte der netzpolitische Sprecher Konstantin von Notz am Sonntag. Der Politiker sprach von einem "grob fahrlässigen Vorgehen", zudem hätte auch der Bundestag über den Angriff auf die IT-Technik informiert werden müssen.

Das BSI begründete seine späte Öffentlichkeits-Offensive bisher stets mit dem Hinweis, es habe zunächst eine aufwendige Webseite programmieren und Datenschutzfragen klären müssen. Wenn man ohne eine solche Webseite eine allgemeine Warnung ausgegeben hätte, so die Linie, wäre den Millionen deutscher Internetnutzern nicht geholfen worden.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 36 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. warum die Aufregung ?
tim_thaler 02.02.2014
Die NSA hat doch schon Alles. Ob es jetzt noch mal jemand hat ist doch auch nicht mehr so schlimm ? Ich kann die Aufregung hier nicht verstehen.
2. optional
bissig 02.02.2014
Wie kann man von einem normalen Internetbenutzer auch erwarten, einfach aufgrund einer Warnung seine Passwörter zu ändern? Nein, es bedarf einer Seite, auf der man erst feststellen muss, dass die eigene Adresse für einen kriminellen 'offen' ist, bevor man sein Passwort ändert. Wird die Existenz anderer Passwort-Datenbanken hier ignoriert? Oder sind die gehackten Accounts genau die Adressen, zu denen der BND noch keinen Zugang hat? Das ist ungefähr als ob der Wetterdienst erstmal überprüft, ob in Hintertupflingen Strassenglätte vorliegt, nur weil eine Kaltfront mit Eisregen über Deutschland gezogen ist, um speziell für Hintertupflingen eine Warnung rauszugeben.
3. Bin ich zu alt fürs Neuland?
mopp 02.02.2014
Wo sind denn diese Newsrooms, die im Artikel erwähnt werden?
4. Ach bitte, lieber
bulleblau 02.02.2014
Lieber Spiegel, das tut ja beim Lesen weh. Wenn ein böser Bube über einen Trojaner ein paar Millionen Mail-Adressen schnorchelt, und es sind einige Zehn von Regierungseinrichtungen dabei, dann hat er mitnichten "Bundestag und Regierung im Visier". Es dürften ebenso etliche Mail-Adressen von Siemens, Bosch, VW, Audi, Daimler, Microsoft, und ziemlich sicher welche von Google oder Yahoo-Domänen dabei gewesen sein. Da schreibt ja auch keiner, dass sie "Im Visier" waren. Das ist schlicht Beifang, wenn man im großen Stil Zugangsdaten zu irgendwelchen sozialen Medien abgreift. Und: Wieso wird es als schlimmer empfunden, wenn es ein paar Internet-Noobs aus der Regierung erwischt, aber wenn es Millionenfach einfache Bürger erwischt, ist es erst mal wurst? Erinnert mich an NSA und Merkels Handy. Und das BSI braucht Abermonate für eine simple Website... ohne Worte. Wäre ich betroffen und würde dadurch in irgendeiner Weise geschädigt, ich würde Klage führen. Ich wünsche mir eine Regierung, die *meine* Interessen genauso vertritt wie die von Frau Merkel oder Herrn Abgeordneten Meier.
5.
gg72 02.02.2014
Zitat von sysopGetty ImagesVon der millionenfachen Passwort-Ausforschung durch Hacker waren nicht nur Privat-Nutzer betroffen. Nach SPIEGEL-Informationen wurden auch Zugangsdaten des Bundestags und aus Ministerien abgefischt. Die Betroffenen wurden schon Monate vor der öffentlichen Warnung informiert. http://www.spiegel.de/netzwelt/netzpolitik/passwort-diebstahl-hacker-attackierten-bundestag-a-950583.html
Man hätte sofort eine Warnung ausgeben müssen! So wäre jedem frei gestanden sein Passwort zu ändern. So aber, die Allgemeinheit über ein halbes Jahr im Dunklen zu lassen, ist schon mehr als fahrlässig! Wie verhält sich das nun mit den Geldkonten, die via PayPal, eBay & Co abgeräumt wurden? Bei welcher Regierungsstelle können die betroffenen Schadenersatz geltend machen?
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: