E-Mail-Check beim BSI Verunsicherte Bürger legen Behördenseite lahm

Betrüger sollen 16 Millionen Online-Konten geknackt haben, warnt das Bundesamt für Sicherheit in der Informationstechnik. Auf der Homepage der Behörde können Bürger prüfen, ob sie betroffen sind. Doch die Seite hakt, das Verfahren stößt auf Kritik.

Computer-Bildschirm mit Tastatur: Das BSI versichert, dass nichts gespeichert wird
REUTERS

Computer-Bildschirm mit Tastatur: Das BSI versichert, dass nichts gespeichert wird

Von


Bonn - 16 Millionen Online-Konten sollen geknackt worden, E-Mail-Adressen und Passwörter in die Hände krimineller Botnet-Betreiber gelangt sein. Davor warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) und bietet gleichzeitig auf einer Webseite einen Test an: Hier können Nutzer ihre E-Mail-Adresse eingeben, um checken zu lassen, ob ihre Adresse betroffen ist.

Schon kurz nach der Veröffentlichung des entsprechenden Links auf SPIEGEL ONLINE ist die Seite zusammengebrochen und lässt sich seitdem nicht mehr zuverlässig aufrufen. Ein bisschen peinlich ist das für das BSI, schließlich ist es nicht die erste Aktion dieser Art. "Es wird schon daran gearbeitet. Die Kapazitäten werden gerade erhöht", sagt BSI-Pressesprecher Tim Griese. "Die Seite ist immer wieder mal aufrufbar. Am besten probiert man es mehrfach." Abrufzahlen könne man derzeit noch nicht nennen.

Die Aktion scheint jedenfalls auf große Resonanz zu stoßen - dabei fühlt sich nicht unbedingt jeder wohl damit, seine E-Mail-Adresse einfach so im Netz anzugeben. Erst recht nicht nach den Snowden-Enthüllungen, nach denen kaum auszumachen ist, wem man seine Daten anvertrauen kann und wem nicht. "Pfui!!", schreibt uns eine entrüstete Leserin nach der Veröffentlichung der Meldung am Vormittag, wir Journalisten machten uns mit der Berichterstattung "zum Handlanger der Datensammelei".

"Ich kann Ihnen versichern, dass nichts gespeichert wird"

BSI-Sprecher Griese versucht zu beruhigen. "Eine Speicherung der E-Mail-Adresse nach Abschluss der Abfrage erfolgt nicht", sagt er und erklärt das Prüfverfahren:

"Aus der eingegebenen E-Mail-Adresse wird im Rahmen des Überprüfungsverfahrens ein sogenannter Hash-Code generiert. Mit Hilfe dieses Hash-Codes lässt sich feststellen, ob Ihre E-Mail-Adresse betroffen ist. Sofern dies der Fall ist, wird die E-Mail-Adresse als Empfängeradresse der generierten Antwortmail genutzt und sofort danach auf dem Webserver gelöscht. Sind Sie nicht betroffen, wird die E-Mail-Adresse direkt nach Feststellung der Nicht-Betroffenheit gelöscht."

Die Bundesbeauftragte für den Datenschutz sei über dieses Verfahren informiert worden und habe keine Einwände.

Auf Nutzerseite sieht das so aus: Wer seine Adresse eintippt, bekommt einen Code genannt, den er sich merken soll. Nur, wenn dieser Code später in der Betreffzeile der Antwortmail des BSI erscheint, soll man diese öffnen. Aber benachrichtigt werden ohnehin ja nur diejenigen, deren Adressen betroffen sind. Das sollte laut Griese im Normalfall nur einige Minuten dauern. "Es ist unser gesetzlicher Auftrag, die Bürger zu informieren und zu warnen", kommentiert Griese die Aktion; und diesem Auftrag komme man nach.

Das Misstrauen gegenüber diesem Service oder dem Amt selbst kann der BSI-Sprecher offenbar nicht verstehen: "Was soll ich denn mit E-Mail-Adressen anfangen? Ich weiß, wir haben momentan eine Situation, in der solche Fragen vielleicht sogar auf der Hand liegen. Aber ich kann Ihnen versichern, dass nichts gespeichert wird."

Überprüfen lässt sich das von außen freilich kaum.

Anmerkung: In einer früheren Version dieses Artikels war von geknackten E-Mail-Konten die Rede. Bei den gefundenen Daten handelt es sich laut BSI zwar um Kombinationen aus jeweils einer E-Mail-Adresse und einem Passwort. So eine Kombination kann allerdings nicht nur als Zugang für E-Mail-Konten, sondern auch für andere Online-Dienste dienen. Wir bitten, den Fehler zu entschuldigen.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 247 Beiträge
Alle Kommentare öffnen
Seite 1
politicalhank 21.01.2014
1.
Ja Leute, wenn alle Medien darüber berichten ist doch klar, dass der BSI-Server einem DDoS angriff ausgesetzt wird.
wunni2010 21.01.2014
2. BSI website
Dass eine website wenn man sie veröffentlich zusammen bricht ist allgemein bekannt !Noch dazu wenn es sich um eine grosse Zahl von Betroffenen handelt . Das hätte das BSI voraussehen müssen . Das ganze ist umprofessionell-
kahabe 21.01.2014
3. Da habe ich ja vielleicht
noch mal Glück gehabt? Zumindest hat mich dieser "Code" erreicht. Allerdings bin ich jetzt ein wenig verunsichert. Nicht wegen irgendwelcher Datenspeicherung einer Bundesbehörde. Das schaffen die aktuell sowieso nicht, wie ich aus dem Bereich des ÖD wieß, in dem ich IT-mäßig tätig war. Sondern weil ich bisher keine weitere Nachricht vom BSI erhalten habe...
mr.sniff 21.01.2014
4. schnell...
reagierte das BSI. Man sollte in dieser Zeit froh sein, dass schnelle Hilfe in solchen Fällen direkt parat steht.
ralf_si 21.01.2014
5.
""Pfui!!", schreibt uns eine entrüstete Leserin nach der Veröffentlichung der Meldung am Vormittag, wir Journalisten machten uns mit der Berichterstattung "zum Handlanger der Datensammelei"."... und rief danach über ihr Android-/MS-/Apple-Handy die beste Freundin an...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.