Im Fall der rund 16 Millionen aufgefundenen Email- und Passwortkombinationen, zu denen das Bundesamt für Sicherheit in der Informationstechnik Mitte Januar die Bevölkerung informierte, zeichnet sich eine neue Entwicklung ab.
"Der Spiegel" meldet in seiner neuesten Ausgabe, dass Bundeskriminalamt und Bundesamt für Sicherheit in der Informationstechnik bereits im vergangenen August 600 E-Mailadressen und Passwörter von Ministerien, Behörden und Bundestag erhielten. Die zuständigen Stellen der Betroffenen Ministerien und des Bundestages seien damals informiert worden. Osteuropäische Kriminelle seien die Datensammler gewesen, so "Der Spiegel".
Dass gezielt Politiker und Mitarbeiter ins Visier genommen wurden, gilt als unwahrscheinlich. Doch der politische Beifang und der Umgang mit ihm wirft ein neues Licht auf die Krisenhandhabung der beteiligten Stellen. Bislang hatte das Bundesamt für Sicherheit in der Informationstechnik, BSI, stets betont, schnellstmöglich die Betroffenen informiert zu haben, nachdem das BSI selbst am 17. Dezember informiert worden sei.
Das Bundesinnenministerium bestätigte gegenüber dem Hauptstadtstudio die Abläufe. Die den Behörden, Ministerien, dem Bundestag und der Bundesbank zuzurechnenden Datensätze seien für die Prüfung des Sachverhaltes zwischen August und Dezember genutzt worden, die betroffenen Stellen hätten Maßnahmen ergriffen.
"Grob fahrlässig"
Der Grünen Innen- und Netzpolitiker Konstantin von Notz sagte gegenüber dem Hauptstadtstudio dieses Senders:
"Dass die Bundesregierung beziehungsweise das Innenministerium monatelang auf solchen brisanten Informationen sitzt, ohne diese weiterzugeben, ohne Millionen von Betroffenen zu warnen, ist grob fahrlässig."
Besonders brisant ist die Zurückhaltung der Daten auch deshalb, weil das Bundesinnenministerium derzeit an einem IT-Sicherheitsgesetz arbeitet, bei dem private Datenverarbeiter zu schnellstmöglichen Meldungen von Datenlecks verpflichtet werden sollen.
Das Krisenmanagement der beteiligten Stellen stand bereits in den vergangenen Wochen mehrfach in der Kritik. Das Bundesamt für Sicherheit habe zu langsam reagiert und mit vier Wochen zu lang gebraucht, um die Bürger zu informieren. Dass nun zwischen der ersten Kenntnis und der Warnung der Öffentlichkeit nicht vier Wochen, sondern mehr als vier Monate vergangen sind, dürfte diese Kritik noch verstärken.
„Man hat eine Informationspflicht, wir diskutieren die immer für die Wirtschaft und sagen, Wirtschaftsunternehmen müssen im Falle eines Datenlecks, eines Datenklaus schnell informieren, damit die Betroffenen sich schützen können, gleiches gilt natürlich auch für die Bundesregierung. Wenn man die Informationen hat über einen so großen, umfänglichen Datenklau, dann muss informiert werden",
so der Grünenpolitiker von Notz.
Das Bundesamt für Sicherheit in der Informationstechnik war am Sonntag nicht für eine Stellungnahme zu erreichen.
Hinweis: Das vorliegende Manuskript stimmt nicht genau mit dem angehängten Audio-Link überein, weil unser Autor Falk Steiner das Stück für www.deutschlandfunk.de noch einmal aktualisiert hat.