Kopierte Login-Rechte BSI wusste seit Monaten von massenhaftem Datenklau
Ende Januar schreckte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Millionen Bundesbürger mit dieser Meldung auf: Die Daten von rund 16 Millionen Benutzerkonten seien illegal kopiert worden, jeder sollte umgehend online auf den Seiten des BSI prüfen, ob auch er betroffen sei. Der Ansturm besorgter Bürger war so groß, dass die vom BSI eingerichtete Website zusammenbrach. Nun gibt es Hinweise darauf, dass das BSI in dem Fall sehr lange mit seiner öffentlichen Warnung gewartet hat.
Bislang hatte der BSI-Präsident Michael Hange öffentlich gesagt , seine Behörde habe erst im Dezember von dem Datenklau erfahren. Doch eine Antwort der Bundesregierung an die Grünen-Fraktion im Bundestag legt offenbar nahe, dass das BSI viel eher informiert war. Der Grünen-Abgeordnete Konstantin von Notz fasst die Stellungnahme so zusammen: Aus dem Dokument gehe hervor, dass sowohl das BSI als auch das BKA spätestens im September, wahrscheinlich jedoch sogar noch früher über den Gesamtumfang des Datenfundes informiert waren.
Die entscheidende Passage aus der Antwort der Bundesregierung auf von Notz' Anfrage vom 24. Januar lautet:
Die zuständige Staatsanwaltschaft übermittelte im August 2013 einen Datensatz mit ca. 600 Adressen aus der Bundesverwaltung und 17 Adressen aus dem Bundestag über das Bundeskriminalamt an das BSI zur Analyse. Es handelte sich dabei um einen Ausschnitt aus dem Gesamtbestand. Das BSI informierte die zuständigen IT-Sicherheitsbeauftragten, die Kontakt zu den Betroffenen aufgenommen haben. In der Folge verdichteten sich für das BSI die Hinweise, dass es sich um eine größere Datenmenge handelt. Als das feststand, wurden Mitte September deshalb erste Gespräche zwischen dem BSI und den Ermittlungsbehörden über die Unterrichtung der Betroffenen geführt, die letztlich zur Freigabe der Daten durch die zuständige Staatsanwaltschaft am 19. Dezember 2013 führten.
Im Klartext heißt das: Anfangs ging es nur um 600 Adressen aus der Bundesverwaltung, Mitte September war aber dem BSI klar, dass es weit mehr Betroffene gibt. Deshalb verhandelte das BSI von da an mit der Staatsanwaltschaft über die Informierung der Öffentlichkeit.
Diese Darstellung widerspricht eindeutig der bisherigen des BSI-Präsidenten, der in Interviews von Dezember sprach. Diese Unstimmigkeiten sind brisant, denn Experten hatten das BSI kritisiert, weil es bei einem als derart gefährlich dargestellten Vorfall die Öffentlichkeit erst nach knapp zwei Monaten gewarnt hatte. Sollte das BSI tatsächlich schon im September über die Probleme informiert gewesen sein, hätte es knapp fünf Monate gedauert, bis die Betroffenen gewarnt wurden.
Das BSI bestätigt auf Anfrage den Vorgang. Es habe seit September Gespräche zwischen dem BSI und den Ermittlungsbehörden über die mögliche Unterrichtung der Betroffenen gegeben. Um die laufenden Ermittlungen nicht zu gefährden, "war darüber Stillschweigen zu wahren".
Als der BSI-Präsident sagte "wir wussten seit Dezember davon", habe er "sich auf den Zeitpunkt der Freigabe und die Übermittlung des Gesamtdatenbestandes durch die zuständige Staatsanwaltschaft" bezogen.
