HOME

Nach millionenfachem E-Mail-Datenklau: BSI-Sicherheitstest steht in der Kritik

Bin ich betroffen? Nach dem jüngsten Datenklau sind viele Internetnutzer verunsichert. Das BSI bietet einen Sicherheitstest an, doch Experten und E-Mail-Anbieter kritisieren das Vorgehen der Behörde.

Von Timo Brücken

Seit Montag ist der Sicherheitstest des Bundesamts für Sicherheit in der Informationstechnik (BSI) online. Bisher haben Internetnutzer auf der Website etwa neun Millionen E-Mail-Adressen eingegeben, um zu erfahren, ob diese zu den vor Kurzem entdeckten 18 Millionen geklauten Datensätzen gehören. Rund 270.000 von ihnen seien tatsächlich von dem Datenklau betroffen, sagte ein Sprecher der Behörde am Dienstagmittag stern.de.

Wurde die Adresse gestohlen, bekommt der Nutzer eine Nachricht vom BSI. Ist das nicht der Fall, meldet sich die Behörde auch nicht - soweit zumindest die Theorie. Viele User werden aber wohl trotzdem vor ihrem leeren Postfach sitzen und sich fragen: Kommt da noch was? Das BSI versichert, die Betroffenen würden "innerhalb kürzester Zeit" informiert, spätestens nach einigen Stunden, keinesfalls erst einen halben oder ganzen Tag später. Kritiker wie der Tech-Blogger Carsten Knobloch fragen allerdings: Was, wenn die E-Mail vom BSI wegen technischer Probleme nie beim Nutzer ankommt? Etwa weil der Mail-Server des Amtes nicht richtig arbeitet oder die Nachricht im Spamfilter des Empfängers landet. So könnten sich etliche Betroffene fälschlicherweise sicher fühlen.

Neuer Test hätte zu viel Zeit gekostet

Warum also nicht ein Verfahren, dass solche Fehler vermeidet und die User in beiden Fällen - egal ob betroffen oder nicht - informiert? "Das hätte zu viel Zeit gekostet", heißt es aus dem BSI. Der aktuelle Sicherheitstest wurde schon beim letzten großen Datenklau im Januar eingesetzt. Für die Zukunft sei ein besseres Prüfverfahren denkbar, so der BSI-Sprecher, aber diesmal sei es schlicht der schnellere Weg gewesen, das alte wiederzuverwenden. Außerdem würden 70 Prozent der Betroffenen - Kunden von T-Online, Freenet, GMX, Web.de, Kabel Deutschland und Vodafone - ohnehin direkt von ihren E-Mail-Anbietern informiert. Diesen hatte das BSI Listen der betroffenen Adressen vorab übermittelt.

Kleinere Provider gingen hingegen leer aus. "Wir würden unsere Nutzer sehr gerne darüber informieren, ob sie betroffen sind - und bemühen uns intensiv, Kontakt zu Verantwortlichen im BSI herzustellen", beklagt zum Beispiel die E-Mail-Plattform Posteo. "Bisher leider ohne Erfolg." Das BSI will nun nach eigenen Angaben im Einzelfall klären, ob eine Datenweitergabe an kleinere E-Mail-Anbieter möglich ist. "Leider gibt es keinen Gesamtüberblick: Wer ist Provider und wer nicht?" Deswegen habe man bei 20.000 betroffenen Kunden einen Schnitt gemacht. Posteo schreibt unterdessen: "Wenn Sie verunsichert sind, empfehlen wir Ihnen - unabhängig vom BSI-Test -, einfach Ihr Passwort zu ändern."

Hier können Sie dem Autor auf Twitter folgen.

Themen in diesem Artikel