Bisher war das BSI in meinen Augen eher unaufällig. Doch heute änderte sich das schlagartig:
Auf allen Kanälen dröhnt, dass das BSI eine riesige Identitätsklauwelle bemerkt habe und man möge ganz schnell prüfen, ob auch die eigene eMail-Adresse sammt Passwort von einem ominösen Bot-Netz geklaut wurden.
Dem Bundesamt für Sicherheit in der Informationstechnik wurden von Forschern und Strafverfolgern Daten übergeben, die auf millionenfachen Identitätsdiebstahl hinweisen. Insgesamt sollen 16 Millionen digitale Identitäten betroffen sein. Nutzer können auf einer vom BSI eingerichteten Webseite überprüfen, ob sie betroffen sind.
Ich kann den Wert von gültigen Postfächern einschätzen. Und dabei geht es keineswegs um Spam, denn wer Zugriff auf Mails hat, hat mehr Möglichkeiten als eine SPAM-Schleuder zu bauen. Und trotzdem stinkt hier irgendwas:
- Wenn es ein solches Botnetz gibt, müsste man den Menschen mitteilen, welche Betriebssysteme und Geräte betroffen sind: mein Windows-PC, Linux, MacOS oder doch Android / iOS auf meinem Smartphone? Weiß ich das nicht, weiß ich nicht wo ich Gegenmaßnahmen ansetzen soll.
- Woher kommt die Datenbank im Klartext? In der Presse liest man von „Sicherheitsbehörden und Forschern“. Aber haben die ernsthaft einen Klartext-Dump gefunden? Ist das Botnetz noch aktiv?
Die Aufforderung, seine Mailadresse zu prüfen greift viel zu kurz. Denn nur das Ändern des Mailpassworts hilft kaum weiter. Es müssen mehr Infos her. Zum Beispiel auch, welche Virenscanner-Signaturdateien den Schädling schon finden können. Oder ob die Kommunikation über bestimmte (blockbare) Ports läuft. Oder oder oder.
Mit den spärlichen Infos durch das BSI wird eine große Unsicherheit geschürt und einer Panik Vorschub geleistet wie sie entsteht, wenn Menschen Angst vor abstrakter Bedrohung haben.
Damit erweist das BSI sich und uns einen Bärendienst.
Genau das Gleiche haben wir heute im Büro auch diskutiert. Ich finde das sehr bedenklich und glaube nicht an den Mailklau. Da ist was anderes im Busche.
Was ich an der BSI Nummer komisch finde :
Ich bekomme also keine Mail wenn alles im Lack ist.
Schön.
Und woher weiß ich das der fiese Accountknacker, die BSI Rückmail nicht einkassiert hat ?
Wenn das BSI bei der Abfrage nen Code vergibt, wäre zumindest ein bißchen sinnvoller, so oder so eine Mail mit dem spezifischen Code zu verschicken.
Hape Friedrich hat beim BND nach einer Methode gefragt mit er die Digitalnatives, EarlyAdopter und nicht-CSU-Wähler besser abgleichen kann. Dazu werden auf der der BSI-Sicherheitscheckseite derzeit digitale Fingerabdrücke genommen (Browser,IP,intstallierte Fonts&Plugins usw) genommen und mit den von den Usern eingegebenen zu überprüfenden Emailadressen mit der Gefährderdatenbank abgeglichen. Alle noch nicht infizierten Gefährder erhalten dann eine maßgeschneiderte Email mit Trojaner, z.B. empfiehlt das BSI dann einen Virenscanner mit Downloadlink zu der modifizierten Version.
Trotz des weitreichenden/vollumfänglichen Zugriffs auf das „United Internet Imperium“ (also gmx.de,web.de,1&1 usw.) über DE-CIX, ist die Sammelwut von Friedrich noch nicht befriedigt bis man NSA Niveau erreicht hat.
Hätte das BSI vorgehabt Bürgern zu helfen, hätte man auch andere Wege gehen können als Millionen Menschen aufzufordern händisch die eigenen Mailadressen zu überprüfen.
Denn nach dem Bekanntwerden kann ja von laufenden Ermittlungen kaum die Rede sein, wenn die vermeintlichen Botnetzbetreiber anhand von Testadressen auch leicht selber prüfen können ob gegen sie ermittelt wird.