BSI-WebsiteDas Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigener Darstellung „bei der Analyse von Botnetzen“ 16 Millionen E-Mail-Adressen mit Passwörtern entdeckt. Botnetze bestehen aus Schadprogrammen („Bots“), die ohne Wissen des Nutzers auf dem PC installiert werden und dann auf die Anweisungen eines Hackers reagiert. Wenn viele derart gekaperter PCs zusammengeschaltet werden, spricht man von einem Botnetz.

Mit einem (derzeit teilweise überlasteten) Selbsttest lässt sich überprüfen, ob die eigene Mail-Adresse samt Passwort unter den erbeuteten Daten ist. Das BSI ist nun selbst in die Kritik geraten, weil der Selbsttest mehr Fragen aufwirft als er beantwortet – und man zum Beispiel nicht mit Sicherheit erfährt, ob die eigene Adresse betroffen ist oder nicht.

Die entscheidende Frage jedoch ist: Wie konnte das passieren? Wie konnten 16 Millionen Adress-Passwort-Kombinationen, von denen etwa die Hälfte aus Deutschland stammen soll, erschlichen werden? Da diese Zugangsdaten vermutlich direkt auf dem PC des Nutzers abgefangen worden sind, müssen Millionen PCs mit Schadsoftware verseucht sein – und das trotz der weiten Verbreitung von Antivirus-Programmen: Angeblich nutzen 94,5% der deutschen PC-Nutzer Antiviren-Programme.

Entweder ist also die Nutzung von Schutzprogrammen deutlich weniger verbreitet oder aber der Malware-Schutz funktioniert schlechter als erwartet. Es ist normal, dass Anti-Malware-Anbieter etwas Zeit brauchen, um auf neue Schadprogramme zu reagieren und ihre Scanner anzupassen. Aber normalerweise sind es Stunden oder schlimmstenfalls wenige Tage bis solche Updates bereitstehen. Dass eine so große Menge an Adressen von den PCs der Nutzer gestohlen werden konnte, muss daher eigentlich andere Gründe haben:

  • Es kamen verschiedene Schadprogramme zum Einsatz, die jedoch alle mit dem Diebstahl von Mailadressen befasst waren
  • Die Anbieter von Anti-Schadsoftware konnten ihre Nutzer nicht schützen, weil es sich um eine ganz neue Klasse von Malware handelt, die noch völlig unbekannt ist und übliche Gegenmittel nicht greifen
  • Die Daten wurden gar nicht auf den Nutzer-PCs abgefangen, sondern anderswo, vielleicht direkt bei einem Mailprovider (das BSI bestreitet das)

Das BSI gibt keine Informationen zur Art der Botnetze heraus, die für den Datendiebstahl verantwortlich sein sollen und auch nicht, über welchen Zeitraum die Daten angefallen sind.

Zwar empfiehlt das BSI auf seiner Website, den Computer mit Antiviren-Programmen zu überprüfen, insbesondere wenn man von dem Datendiebstahl betroffen ist. Völlig offen hingegen ist die Frage, ob die Antivirus-Hersteller mittlerweile ein Mittel gegen die Schadsoftware gefunden haben. Auf den Websites der einschlägigen Herstellern findet man dazu jedenfalls noch nichts. Auch ist unklar, ob das BSI mit Antivirus-Herstellern kooperiert hat, damit diese ihre Schad-Signaturen aktualisieren können und nun über funktionierende Gegenmittel verfügen. Eine entsprechende Anfrage unsererseits beim BSI blieb unbeantwortet.

Die Geheimniskrämerei des BSI, die reflexartig mit dem Datenschutz begründet wird, schadet mehr als sie nutzt. Immerhin fordert die Bundesregierung, Verschlüsselungsprogramme zum Schutz der Privatsphäre einzusetzen – was aber nur Sinn ergibt, wenn PCs nicht bereits mit Schadsoftware verseucht sind.