Datenklau

Versäumnisse allerorten

Die Eingabemaske zur Überprüfung der E-Mail-Adresse auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird von einer Lupe vergrößert.
Eingabemaske zur Mail-Überprüfung auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik © dpa / picture alliance / Armin Weigel
Von Katharina Hamberger |
16 Millionen E-Mail-Konten wurden von Hackern geknackt, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wer trägt die Verantwortung für die Sicherheitslücke? Wir alle, meint Katharina Hamberger.
Millionenfach sind Daten von Unbefugten kopiert worden. Das ist mal wieder ein Aufreger, aber keine Überraschung - und so wirklich gut kommt im Moment niemand dabei weg, wenn es darum geht, wie das verhindert hätte werden können und wie damit umgegangen worden ist. Nicht die Politik, nicht das zuständige Bundesamt für Sicherheit in der Informationstechnik, nicht die Nutzer - alle Betroffenen müssen sich nun fragen, ob sie sich vielleicht nicht anders, sprich besser, optimaler verhalten hätten können.
Zunächst: das BSI. Es wusste schon im Dezember Bescheid und hätte früher informieren können. Und zwar noch bevor die Testseite online gegangen ist. Ab und an dazu aufzurufen, Passwörter zu ändern und die Virensoftware zu aktualisieren ist ja löblich - und das BSI macht an sich auch einen guten Job, wenn es darum geht, Tipps zur IT-Sicherheit zu geben. Aber das passiert nahezu unter Ausschluss der Öffentlichkeit. Die Meisten haben wahrscheinlich, wenn überhaupt, in Zusammenhang mit dem Kanzlerinnenhandy vom BSI gehört.
Diesmal wäre eine etwas lautere Kampagne schon im Dezember, als das BSI von dem Datendiebstahl erfahren hat, angebracht gewesen, die dazu auffordert: "Liebe Nutzer internetfähiger Geräte, bitte überprüft diese, schafft euch ein ordentliches Virenprogramm an, ändert eure Passwörter - von heute an dann regelmäßig. Denn wir haben da so einen Hinweis bekommen." Das hätte voraussichtlich keinen Schaden angerichtet - ganz im Gegenteil.
BSI muss besseres Krisenmanagement betreiben
Auch jetzt hat das Krisenmanagement noch Entwicklungspotenzial. Denn die Informationen, die das BSI zu den Daten rausgibt, sind dürftig. Noch ist nicht klar: Woher kommen die Daten, die das BSI nun nach eigenen Angaben durch die Analyse eine Botnetzes entdeckt hat? Die E-Mailadressen und Passwörter können durch einen gezielten Angriff auf Privat-Computer, die dann wiederum infiziert worden sind, gesammelt worden sein. Möglich ist aber auch, dass Webseiten gehackt worden sind, auf denen sich Nutzer mit der E-Mailadresse anmelden müssen.
Auch ist noch nicht klar, zu welchem Zweck die Daten gesammelt worden sind. Ebenso, wann die Daten illegal kopiert wurden. Und das BSI bleibt wichtige Antworten schuldig, die auch für die Nutzer einen Unterschied machen. Offenbar hat sich auch die Bonner Behörde noch nicht an ihre immer gewichtiger werdende Rolle gewöhnt. Dass die Testseite dauernd überlastet war, zeigt auch, dass das BSI sein eigenes Gewicht in Zeiten der NSA-Affäre unterschätzt - wenn es plötzlich alle mitkriegen, dann wollen auch alle informiert werden, und nicht irgendwie und irgendwann, sondern möglichst sofort.
Das BSI wird an Bedeutung gewinnen. Das hat auch die Politik im Grundzug verstanden und im Koalitionsvertrag versprochen, die Kompetenzen der Behörde auszubauen. Gut ist auch die Ankündigung von Innenminister Thomas de Maizière, dass das BSI mehr Geld bekommen soll. Das führt dann hoffentlich auch dazu, dass durch ein gutes Informationsmanagement in Zukunft seltener der Eindruck entsteht, jeder würde aus allen Wolken fallen, in Anbetracht der Tatsache, dass doch tatsächlich Daten über das Internet geklaut werden.
Selbstverantwortlich mit unseren Daten umgehen
Manchmal möchte man glauben: Wir haben Neuland noch nicht einmal betreten, sondern rudern mal mehr, mal weniger ambitioniert dorthin oder auch nur drum herum. Je nachdem, ob gerade wieder kurze Stürme auftreten, dann wachen doch kurz wieder alle auf. Das gilt nicht nur für die Politik. Auch die meisten Nutzer sollten sich da angesprochen fühlen. Bislang reicht es den meisten, dass sie ihr Smartphone oder den Rechner anschalten können.
Es ist ja nicht so, dass wir kein Geld mehr für unsere internetfähigen Geräte ausgeben würden. Da kaufen wir Spiele und Programme, die unseren Alltag erleichtern sollen, dabei sollte das erste eigentlich eine ordentliche Antivirensoftware sein. Und psst - Geheimtipp: Ein sicheres Passwort kostet nichts, außer vielleicht ein bisschen Gedächtnisleistung. Aber seien wir ehrlich: Die sind wir oft nicht wirklich bereit aufzubringen. "12345" oder der Name der Freundin ist dann doch einfacher zu merken, als eine wirre Zahlen- und Buchstabenkombination. Aber der aktuelle Fall sollte eine Lehre sein - und zwar nicht nur für diejenigen, die es erwischt hat. Für die Sicherheit unserer Daten sind wir auch selbst mit verantwortlich.