Kopierte Login-Rechte BSI wusste seit Monaten von massenhaftem Datenklau

Das schreckte Millionen Bundesbürger auf: Die Daten von 16 Millionen Benutzerkonten seien illegal kopiert worden, teilte das Bundesamt für Sicherheit in der Informationstechnik Ende Januar mit. Jetzt kommt heraus, wie lange die Behörde mit der Warnung wartete.


Ende Januar schreckte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Millionen Bundesbürger mit dieser Meldung auf: Die Daten von rund 16 Millionen Benutzerkonten seien illegal kopiert worden, jeder sollte umgehend online auf den Seiten des BSI prüfen, ob auch er betroffen sei. Der Ansturm besorgter Bürger war so groß, dass die vom BSI eingerichtete Website zusammenbrach. Nun gibt es Hinweise darauf, dass das BSI in dem Fall sehr lange mit seiner öffentlichen Warnung gewartet hat.

Bislang hatte der BSI-Präsident Michael Hange öffentlich gesagt, seine Behörde habe erst im Dezember von dem Datenklau erfahren. Doch eine Antwort der Bundesregierung an die Grünen-Fraktion im Bundestag legt offenbar nahe, dass das BSI viel eher informiert war. Der Grünen-Abgeordnete Konstantin von Notz fasst die Stellungnahme so zusammen: Aus dem Dokument gehe hervor, dass sowohl das BSI als auch das BKA spätestens im September, wahrscheinlich jedoch sogar noch früher über den Gesamtumfang des Datenfundes informiert waren.

Die entscheidende Passage aus der Antwort der Bundesregierung auf von Notz' Anfrage vom 24. Januar lautet:

Die zuständige Staatsanwaltschaft übermittelte im August 2013 einen Datensatz mit ca. 600 Adressen aus der Bundesverwaltung und 17 Adressen aus dem Bundestag über das Bundeskriminalamt an das BSI zur Analyse. Es handelte sich dabei um einen Ausschnitt aus dem Gesamtbestand. Das BSI informierte die zuständigen IT-Sicherheitsbeauftragten, die Kontakt zu den Betroffenen aufgenommen haben. In der Folge verdichteten sich für das BSI die Hinweise, dass es sich um eine größere Datenmenge handelt. Als das feststand, wurden Mitte September deshalb erste Gespräche zwischen dem BSI und den Ermittlungsbehörden über die Unterrichtung der Betroffenen geführt, die letztlich zur Freigabe der Daten durch die zuständige Staatsanwaltschaft am 19. Dezember 2013 führten.

Im Klartext heißt das: Anfangs ging es nur um 600 Adressen aus der Bundesverwaltung, Mitte September war aber dem BSI klar, dass es weit mehr Betroffene gibt. Deshalb verhandelte das BSI von da an mit der Staatsanwaltschaft über die Informierung der Öffentlichkeit.

Diese Darstellung widerspricht eindeutig der bisherigen des BSI-Präsidenten, der in Interviews von Dezember sprach. Diese Unstimmigkeiten sind brisant, denn Experten hatten das BSI kritisiert, weil es bei einem als derart gefährlich dargestellten Vorfall die Öffentlichkeit erst nach knapp zwei Monaten gewarnt hatte. Sollte das BSI tatsächlich schon im September über die Probleme informiert gewesen sein, hätte es knapp fünf Monate gedauert, bis die Betroffenen gewarnt wurden.

Das BSI bestätigt auf Anfrage den Vorgang. Es habe seit September Gespräche zwischen dem BSI und den Ermittlungsbehörden über die mögliche Unterrichtung der Betroffenen gegeben. Um die laufenden Ermittlungen nicht zu gefährden, "war darüber Stillschweigen zu wahren".

Als der BSI-Präsident sagte "wir wussten seit Dezember davon", habe er "sich auf den Zeitpunkt der Freigabe und die Übermittlung des Gesamtdatenbestandes durch die zuständige Staatsanwaltschaft" bezogen.

Der Autor auf Facebook

lis



Forum - Diskutieren Sie über diesen Artikel
insgesamt 23 Beiträge
Alle Kommentare öffnen
Seite 1
bstendig 17.02.2014
1. Wenn das stimmt..
Zitat von sysopREUTERSDas schreckte Millionen Bundesbürger auf: Die Daten von 16 Millionen Benutzerkonten seien illegal kopiert worden, teilte das Bundesamt für Sicherheit in der Informationstechnik Ende Januar mit. Jetzt kommt heraus, wie lange die Behörde mit der Warnung wartete. http://www.spiegel.de/netzwelt/web/bsi-schwieg-angeblich-monate-lang-ueber-identitaetsklau-a-954025.html
fragt man sich, wozu diese Schnarchsacktruppe überhaupt bezahlt wird? Oder hat man erst selbst mit den Daten "gearbeitet"? Hier tut dringende Aufklärung not. Vielleicht könnte irgendeine Oppositionspartei mal eine Anfrage im Bundestag stellen? Oder in irgendeinem Länderparlament.
hei-nun 17.02.2014
2. Wahrscheinlich ...
Wahrscheinlich hat der beauftragte Programmierer 5 Monate benötigt, das Mini-Programm zur Prüfung der E-Mail-Adressen zu schreiben. Und deshalb hat es auch wahrscheinlich 200.000,00 € gekostet ! Und deshalb hat es auch 2 volle Tage gedauert, bis ich zu meiner Anfrage "positiv" benachrichtigt wurde. Und deshalb gab es auch überhaupt keine Benachrichtigung bei negativer Prüfung (was ich 2 Tage geglaubt hatte !). Schönen Tag noch !
BettyB. 17.02.2014
3. Ja so ist es eben
Geht es um die Bürger, wartet man, geht es um Politiker, bricht man das Dienstgeheimnis und beschwert sich möglichst über Dritte. Deutschland schon immer...
felisconcolor 17.02.2014
4. wenn ich mir dann noch das
Zitat von sysopREUTERSDas schreckte Millionen Bundesbürger auf: Die Daten von 16 Millionen Benutzerkonten seien illegal kopiert worden, teilte das Bundesamt für Sicherheit in der Informationstechnik Ende Januar mit. Jetzt kommt heraus, wie lange die Behörde mit der Warnung wartete. http://www.spiegel.de/netzwelt/web/bsi-schwieg-angeblich-monate-lang-ueber-identitaetsklau-a-954025.html
von AVM anschaue und diversen anderen Firmen kann man zu der Auffassung kommen das Datensicherheit allen am "Arsch" vorbei geht. Wenn ich dann an unseren IT Leiter denke für den die BSI Fibel gleich nach der Mao Bibel kommt..... Gibt es keine ordentlichen ITler mehr? nur noch Studierte :-((
ein-berliner 17.02.2014
5. Frechheit
Zitat von sysopREUTERSDas schreckte Millionen Bundesbürger auf: Die Daten von 16 Millionen Benutzerkonten seien illegal kopiert worden, teilte das Bundesamt für Sicherheit in der Informationstechnik Ende Januar mit. Jetzt kommt heraus, wie lange die Behörde mit der Warnung wartete. http://www.spiegel.de/netzwelt/web/bsi-schwieg-angeblich-monate-lang-ueber-identitaetsklau-a-954025.html
Diese "Behörde" führt einen illegalen Titel, denn von Sicherheit der IT kann nicht gesprochen werden. Zuschauer wäre der richtige Namen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.