Millionenfacher Passwort-Diebstahl Hacker hatten Bundestag und Ministerien im Visier
Reichstagsgebäude in Berlin: Behörden und Bundestag wurden früher gewarnt
Foto: Sean Gallup/ Getty ImagesBerlin - Seit Wochen sorgt die massenhafte Ausforschung von E-Mail-Passwörtern durch eine osteuropäische Hacker-Bande für Schlagzeilen. Millionen von Nutzern haben bereits auf einer Webseite des Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft, ob auch ihre Zugangsdaten abgefischt worden sind. Insgesamt wurden bis zu 16 Millionen Datensätze ausgeforscht. Es ist der größte bisher bekannte Datenklau von Internetnutzern.
Von dem großangelegten Angriff waren nicht nur private Nutzer betroffen. Nach Informationen des SPIEGEL gerieten auch der Bundestag und alle Bundesministerien ins Visier der Hacker. Deswegen warnte das Bundeskriminalamt (BKA) das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im August 2013, bei den Ermittlungen seien auch Bundestags- und Behördenadressen aufgetaucht.
Konkret informierte das BKA, dass sich in der riesigen Datenbank von Passwörtern, welche die Fahnder bei ihren Recherchen entdeckt hatten, auch rund 600 E-Mail-Adressen aus der Bundesverwaltung, aus allen Bundesministerien und 17 Adressen des Bundestags befanden. Die zugehörigen Passwörter waren offenbar von osteuropäischen Cyber-Kriminellen ausgespäht und in dem Archiv gesammelt worden.
Behörden und Bundestag wurden wesentlich früher gewarnt
Die Liste der Ministerien ist lang: So fanden sich in der Datenbank E-Mail-Adressen des Auswärtigen Amts (AA), des Innen-, Justiz- und Verteidigungsressorts und zehn weiterer Ministerien. Dementsprechend schnell wurde reagiert: Die IT-Sicherheitsbeauftragten des Bundestags und der Ministerien wurden vom BSI aufgefordert, die betroffenen Nutzer umgehend zu warnen und ihre Passwörter umgehend zu ändern.
Im Fall des Parlaments konnten die Sicherheitsbeauftragten schnell Entwarnung geben. Im aktuellen Bundestag waren durch die Bundestagswahl im September nur noch zwei der vom Passwort-Klau betroffenen Abgeordneten vertreten. Wie sich später herausstellte, waren deren Adressen des Bundestags meist für private Zwecke genutzt worden.
Wie groß der Schaden durch die Ausforschung in den Ministerien ist, steht noch nicht fest. Allerdings weisen Experten darauf hin, dass es sich bei den 600 abgefischten Passwörtern nicht zwingend um echte Zugänge zu Behörden-Mailadressen handeln muss, da sich jeder Internetnutzer beispielsweise in Chats oder Newsrooms mit fiktiven Adressen deutscher Behörden anmelden kann.
Kritik am Vorgehen des BSI
Dass die Behörden und der Bundestag so früh informiert wurden, dürfte für neue Diskussionen um das Vorgehen des BSI sorgen. Die Behörde warnte die Öffentlichkeit erst vor zwei Wochen über den Hacker-Angriff und schaltete eine Webseite, auf der sich Internetnutzer informieren konnten, ob ihre Adressen von dem Datenklau betroffen waren.
Die Grünen im Bundestag jedenfalls übten nach dem SPIEGEL-Bericht heftige Kritik. "Wenn die Bundesbehörden bereits im August 2013 von dem Datenklau wussten, steht der Verdacht einer massiven Schutzpflichtverletzung gegenüber den Bürgern im Raum", sagte der netzpolitische Sprecher Konstantin von Notz am Sonntag. Der Politiker sprach von einem "grob fahrlässigen Vorgehen", zudem hätte auch der Bundestag über den Angriff auf die IT-Technik informiert werden müssen.
Das BSI begründete seine späte Öffentlichkeits-Offensive bisher stets mit dem Hinweis, es habe zunächst eine aufwendige Webseite programmieren und Datenschutzfragen klären müssen. Wenn man ohne eine solche Webseite eine allgemeine Warnung ausgegeben hätte, so die Linie, wäre den Millionen deutscher Internetnutzern nicht geholfen worden.
