BSI-Verschwörungstheorie

Mal angenommen Sie sind eine staatlich Behörde a la NSA. Sie wollen wissen, welche Email-Adressen aktuell in Benutzung sind, und, wenn jemand mehrere Email-Adressen hat, öffentliche und weniger öffentliche, wollen Sie sie einander zuordnen können. Praktisch wäre es, die Adressen einem verwendeten Browser und damit Computer zuordnen zu können, schön auch einer benutzen IP-Adresse. Wie würden Sie das anstellen?

Genau: Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website, die es wegen „16 Millionen kompromittierter Accounts“ eingerichtet hat:

http://www.heise.de/security/meldung/BSI-Mehrere-Millionen-Internet-Konten-durch-Botnetze-geknackt-2090167.html

Das BSI bekommt auf diesem Wege eine Liste der Email-Adressen von einem großen Teil der im Netz aktiven Bürger und kann diese nach Nutzer gruppieren, mit Zusatzinformationen wie Browser (Gerät) und IP verknüpfen und wahrscheinlich auch entanonymisieren. Eine ungeheuer wertvolle Information. Die Überlastung der Server des BSI bis zum Zusammenbruch zeigt, wie viele ihre Emailadresse eingeben und damit wie vollständig die Liste werden kann. Sie ist damit vielleicht wertvoller als die Liste der 16 Millionen Accounts die gefunden wurden. Die Datenschutzerklärung des BSI sichert aber ein korrektes Vorgehen mit Löschung der Liste zu.

Natürlich ist eine durch Kriminelle verwendeter aktiver Account samt Passwort eine große Gefahr, die nicht zu unterschätzen ist. Doch wie groß ist bei normaler Internetbenutzung das Risiko, dabei zu sein? Hier sollte jeder selbst zu einer Einschätzung kommen, auch ohne das BSI. Nach meiner Erfahrung ist das Risiko sehr unterschiedlich, viel weniger von der Technik als vielmehr vom Nutzerverhalten abhängig. Manche habe ständig irgendwelche Trojaner, Browser-Toolbars, Bundestrojaner, Adware, andere nie. Auch ein aktuelles Virenschutzprogramm ist kein vollständiger Schutz davor, anders als es immer dargestellt wird. Wer jeden noch so doofen Email-Anhang öffnet und auf allen halbseidenen Larifari-Internetseiten immer wieder seine Emailadresse und das gleiche Passwort eingibt wird irgendwann dabei sein.

Wenn man Angst hat, betroffen zu sein, sollte man die Passworte zu ändern, am besten von einem anderen, wahrscheinlich nicht betroffenen Computer und den vermutlich infizierten neu installieren, also zum Beispiel Windows neu von der DVD einzuspielen und dabei alle gespeicherten Daten löschen. Beides wäre auch ohne Befall oft sinnvoll bzw. wohltuend, scheitert aber an der selten existierenden Datensicherung.

Zur Verwaltung von Passworten sind Programme wie KeePass Password Safe nach meiner Meinung unverzichtbar. Wer weiß sonst, wo überall er welches Passwort verwendet hat? Apropos Passwort: Kleiner Tipp in Cartoonform: https://xkcd.com/936/

Bedenken Sie folgende Fragen:

  • Mal angenommen Sie sind eine böser Junge und sind im Besitz von 16 Millionen Accounts, sagen wir mal 8 Millionen davon deutsche funktionierende Accounts. Was würden sie dann tun? Genau: Abbuchen und betrügen so viel es geht und dann ab! Bei 8 Millionen mit sagen wir mal 100 EUR wären es 800 Millionen EUR. Das reicht doch für dieses Leben. Von den 8 Millionen sind bestimmt ein paar in Ihrem Bekanntenkreis, wie viele Freunde haben Ihnen von einer Internet-Betrügerei, der sie zum Opfer gefallen sind, erzählt? Noch keiner? Die schämen sich wohl alle!
  • Seit Dezember bereits ist das dem BSI bekannt, doch erst jetzt rührt es sich. Hätte es nicht auch einen sicheren Weg finden können, wie sie die Adressen dazu nutzen, die betroffenen aktiv per Email zu informieren?
  • Angenommen Sie sind ein Journalist und wollen die Geschichte überprüfen. Welche Informationen haben Sie, um über den Fund der Adressen, die Betreiber des Bot-Netzes und deren potentielle Verwendung zu recherchieren? Welche davon sind belegbar?

Jeder kann selbst entscheiden, ob das Risiko einer potentiellen Infektion die Preisgabe aller Email-Adressen wert ist. Ich habe mich entschieden.

Update 26.01.2014:

Die folgenden Beiträge zeigen, wie fragwürdig das Vorgehen des BSI ist. Das große Medienecho ist zurückgegangen, ohne dass für die Masse der Nutzer ein nennenswerter Erkenntnisgewinn zu verzeichnen wäre: