E-Mail-Check beim BSI Verunsicherte Bürger legen Behördenseite lahm

Betrüger sollen 16 Millionen Online-Konten geknackt haben, warnt das Bundesamt für Sicherheit in der Informationstechnik. Auf der Homepage der Behörde können Bürger prüfen, ob sie betroffen sind. Doch die Seite hakt, das Verfahren stößt auf Kritik.
Computer-Bildschirm mit Tastatur: Das BSI versichert, dass nichts gespeichert wird

Computer-Bildschirm mit Tastatur: Das BSI versichert, dass nichts gespeichert wird

Foto: KACPER PEMPEL/ REUTERS

Bonn - 16 Millionen Online-Konten sollen geknackt worden, E-Mail-Adressen und Passwörter in die Hände krimineller Botnet-Betreiber gelangt sein. Davor warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) und bietet gleichzeitig auf einer Webseite einen Test an: Hier können Nutzer ihre E-Mail-Adresse eingeben, um checken zu lassen, ob ihre Adresse betroffen ist.

Schon kurz nach der Veröffentlichung des entsprechenden Links auf SPIEGEL ONLINE ist die Seite zusammengebrochen und lässt sich seitdem nicht mehr zuverlässig aufrufen. Ein bisschen peinlich ist das für das BSI, schließlich ist es nicht die erste Aktion dieser Art. "Es wird schon daran gearbeitet. Die Kapazitäten werden gerade erhöht", sagt BSI-Pressesprecher Tim Griese. "Die Seite ist immer wieder mal aufrufbar. Am besten probiert man es mehrfach." Abrufzahlen könne man derzeit noch nicht nennen.

Die Aktion scheint jedenfalls auf große Resonanz zu stoßen - dabei fühlt sich nicht unbedingt jeder wohl damit, seine E-Mail-Adresse einfach so im Netz anzugeben. Erst recht nicht nach den Snowden-Enthüllungen, nach denen kaum auszumachen ist, wem man seine Daten anvertrauen kann und wem nicht. "Pfui!!", schreibt uns eine entrüstete Leserin nach der Veröffentlichung der Meldung am Vormittag, wir Journalisten machten uns mit der Berichterstattung "zum Handlanger der Datensammelei".

"Ich kann Ihnen versichern, dass nichts gespeichert wird"

BSI-Sprecher Griese versucht zu beruhigen. "Eine Speicherung der E-Mail-Adresse nach Abschluss der Abfrage erfolgt nicht", sagt er und erklärt das Prüfverfahren:

"Aus der eingegebenen E-Mail-Adresse wird im Rahmen des Überprüfungsverfahrens ein sogenannter Hash-Code generiert. Mit Hilfe dieses Hash-Codes lässt sich feststellen, ob Ihre E-Mail-Adresse betroffen ist. Sofern dies der Fall ist, wird die E-Mail-Adresse als Empfängeradresse der generierten Antwortmail genutzt und sofort danach auf dem Webserver gelöscht. Sind Sie nicht betroffen, wird die E-Mail-Adresse direkt nach Feststellung der Nicht-Betroffenheit gelöscht."

Die Bundesbeauftragte für den Datenschutz sei über dieses Verfahren informiert worden und habe keine Einwände.

Auf Nutzerseite sieht das so aus: Wer seine Adresse eintippt, bekommt einen Code genannt, den er sich merken soll. Nur, wenn dieser Code später in der Betreffzeile der Antwortmail des BSI erscheint, soll man diese öffnen. Aber benachrichtigt werden ohnehin ja nur diejenigen, deren Adressen betroffen sind. Das sollte laut Griese im Normalfall nur einige Minuten dauern. "Es ist unser gesetzlicher Auftrag, die Bürger zu informieren und zu warnen", kommentiert Griese die Aktion; und diesem Auftrag komme man nach.

Das Misstrauen gegenüber diesem Service oder dem Amt selbst kann der BSI-Sprecher offenbar nicht verstehen: "Was soll ich denn mit E-Mail-Adressen anfangen? Ich weiß, wir haben momentan eine Situation, in der solche Fragen vielleicht sogar auf der Hand liegen. Aber ich kann Ihnen versichern, dass nichts gespeichert wird."

Überprüfen lässt sich das von außen freilich kaum.

Anmerkung: In einer früheren Version dieses Artikels war von geknackten E-Mail-Konten die Rede. Bei den gefundenen Daten handelt es sich laut BSI zwar um Kombinationen aus jeweils einer E-Mail-Adresse und einem Passwort. So eine Kombination kann allerdings nicht nur als Zugang für E-Mail-Konten, sondern auch für andere Online-Dienste dienen. Wir bitten, den Fehler zu entschuldigen.