Donnerstag, 28. März 2024

Archiv

Millionenfacher Datenklau
Experte: Bürger wurden sehr gut informiert

Der millionenfache Diebstahl von Online-Zugangsdaten soll ein parlamentarisches Nachspiel haben. Hätte das Bundesamt für Sicherheit in der Informationstechnik früher alarmieren sollen? Der schleswig-holsteinische Datenschützer Weichert sagte im DLF, die Behörde habe richtig gehandelt.

Thilo Weichert im Gespräch mit Dirk Müller | 23.01.2014
    Dirk Müller: Ob das Bundeskriminalamt, die Verfassungsschützer oder auch die Datenschützer, sie alle warnen davor seit Jahren. Die Verbraucher, die User sollen mit ihren Daten, mit ihren persönlichen Angaben und Informationen, mit ihren Passwörtern und Kennwörtern vorsichtig umgehen. Haben wir alle verstanden, aber was heißt das schon, vorsichtig.
    Jetzt ist ein groß angelegter Coup trotz aller Vorsicht wieder gelungen. Über 16 Millionen E-Mails sind gehackt worden, gekapert worden, Passwörter und Adressen einfach gestohlen im Netz, durch das Netz, durch Kriminelle, die die Schwachstellen des Internets bestens kennen, und das ganze hat diesmal nichts mit der NSA zu tun. Acht Millionen deutsche E-Mail-Adressen sollen davon betroffen sein. In dieser Woche ist das Ganze bekannt geworden. Dabei wusste das zuständige Bundesamt für Informationssicherheit, kurz BSI, offenbar bereits weit vor Weihnachten davon.
    Ob die eigenen persönlichen Daten betroffen sind, soll mithilfe einer Website des BSI geklärt werden können. Dort sind die Server lange Zeit aber völlig überfordert gewesen in den vergangenen Tagen.
    Am Telefon ist nun Thilo Weichert, Datenschutzbeauftragter von Schleswig-Holstein. Guten Morgen nach Kiel!
    Thilo Weichert: Einen wunderschönen guten Morgen!
    Müller: Herr Weichert, was machen Ihre E-Mail-Adressen?
    Weichert: Ich habe meine E-Mail-Adresse auch gecheckt und habe keine Rückmeldung bekommen, und da ich mich mit der Sache auseinandergesetzt habe, wusste ich auch, dass ich keine E-Mail-Rückantwort bekomme vom BSI, wenn alles okay ist. Insofern gehe ich mal davon aus, dass mein Passwort in Ordnung ist. Es ist ein sehr langes Passwort mit Buchstaben, Sonderzeichen und Ziffern. Außerdem gehe ich davon aus, dass auch jetzt hier nichts kompromittiert wurde.
    Müller: Rückmeldung, sagen Sie, ist nicht gekommen. Wann weiß man, dass eine Rückmeldung nicht gekommen ist? Wie lange muss man warten?
    Informierung durch BSI "absolut super gelaufen"
    Weichert: Das ist tatsächlich ein Problem, dass das BSI darüber keine klare Aufklärung gegeben hat. Das hätte es machen müssen, um die Leute nicht noch weiter zu verunsichern. Aber ansonsten muss ich Herrn de Maizière, dem Innenminister, recht geben. Es ist absolut super gelaufen, wie das BSI jetzt hier die Leute informiert hat und wie jetzt auch hier so ein Check möglich ist. Unabhängig davon sind natürlich die Bürgerinnen und Bürger aufgefordert, ihren eigenen Rechner sauber zu halten und sich selbst auch ein bisschen um Datensicherheit zu kümmern.
    Müller: Sie sagen, das ist in Ordnung gelaufen, die Informationspolitik. Dennoch fragen sich ja viele: Wenn man das bereits vor Weihnachten gewusst hat, was kann alles in diesem Zeitraum passieren, wenn ich davon nicht erfahren habe?
    Weichert: Tatsächlich hätte natürlich das BSI vorher eine Information geben können. Wenn die aber von der Infrastruktur noch nicht in der Lage waren, jetzt dann so einen Check durchzuführen und dann umfassend auch eine Rückmeldung zu geben an die betroffenen Internet-User, dann wäre wahrscheinlich die Hysterie und die Empörung noch größer gewesen.
    "Drei Wochen Wartezeit sind hinnehmbar"
    Insofern war das schon richtig, dass da jetzt erst mal das vorbereitet wurde. Die Daten stammen ja jetzt nicht aus einem Hack aus dem Dezember 2013, sondern die alles, was wir bisher wissen, stammt aus unterschiedlichen Quellen und die sind teilweise schon monatelang im kriminellen Milieu unterwegs, und da, würde ich sagen, ist es gerade noch hinnehmbar, dass jetzt drei Wochen gewartet wurde.
    Müller: Sie sagen, das kann auch schon im August passiert sein. Dennoch kann es aber sein, dass das BSI davon erfahren hat und dass Kriminelle beispielsweise mit meinen Daten – ich habe auch gecheckt, es gab auch keine Antwort, ich bin etwas beruhigt, noch nicht ganz – drei Wochen lang auf Einkaufstour gegangen sind, als sie das ursprünglich wollten?
    Weichert: Das lässt sich anders ausschließen. Man kann natürlich selbst das eigene E-Mail-Konto checken, ob sich da was geändert hat. Man muss in jedem Fall seine Konten, das Kreditkartenkonto, das Girokonto und Ähnliches, checken, ob da irgendwelche unberechtigten Abbuchungen erfolgt sind. Das sind Dinge, wo man selbst dann auch überprüfen kann, ob jetzt Kriminelle einen Identitätsdiebstahl durchgeführt haben und die eigenen Daten für zum Beispiel Vermögensdelikte genutzt haben.
    Vielzahl von Schutzmechanismen gegen Internet-Kriminalität
    Müller: Wenn wir, Herr Weichert, das Ganze von oben, von außen noch einmal betrachten und schauen auf diese Option Internet-Kriminalität, vielleicht auch auf diesen ganz konkreten Fall, dass E-Mail-Adressen gehackt werden, gekapert werden, kann das jeden Tag passieren, gibt es keine Schutzmechanismen?
    Weichert: Absolut kann es jeden Tag passieren, und es passiert auch jeden Tag. Das ist nun mal einfach eine Realität, dass, solange wir das Internet haben, auch Internet-Kriminalität existiert. Man kann sich aber natürlich schützen. Es gibt eine Vielzahl von Schutzmechanismen, die jeder auch nutzen sollte.
    Das beginnt bei dem aktuellen Virenschutz, der jetzt nicht unbedingt der einfachste und billigste sein muss. Es gibt viele auch unentgeltliche Virenschutz-Maßnahmen. Dann sollte man unterschiedliche E-Mail-Adressen verwenden für unterschiedliche Zwecke. Das ist ein bisschen aufwendig. Was genauso aufwendig ist, ist aber auch – und das ist ein ganz wichtiger Tipp -, wenn man auch nur eine E-Mail-Adresse hat, dass man verschiedene Passwörter für verschiedene Funktionalitäten benutzt, weil nämlich, wenn das Passwort einmal kompromittiert ist, dann hat ein Krimineller Zugang zu allen Konten, und das sollte man vermeiden.
    Deswegen ein etwas längeres Passwort zu nehmen, ist absolut sinnvoll, und unterschiedliche Passwörter. Dann muss man sich einfach Gedanken machen, wie man sich daran erinnern kann. Die kann man voreingestellt im Computer auch gespeichert lassen. Das ist alles möglich. Dann, glaube ich, hat man auch hinreichend Sicherheit.
    Unterschiedliche E-Mail-Adressen und unterschiedliche Passwörter nutzen
    Müller: Ich habe manchmal das Gefühl, dass vor lauter Virenschutz-Programmen mein eigener Computer nicht mehr zurechtkommt und nicht mehr läuft. Was Sie jetzt sagen, auch noch verschiedene Passwörter, da braucht man so eine Art Assistent, um in Zukunft existieren zu können. Aber die Frage jetzt ernst gemeint: Gibt es einen effektiven Weg, als normaler Verbraucher, als normaler User alles besser zu machen?
    Weichert: Jein. Es gibt kein Allheilmittel und es gibt keine hundertprozentige Sicherheit. Aber es gibt jetzt verschiedene Angebote, Tools, Werkzeuge, und dazu gehört ein Virenschutz, dazu gehört eine Firewall, dazu gehört die Verschlüsselung von E-Mails, wenn sie vertrauliche Inhalte sind, dazu gehören Anonymisierungsdienste. Das ist alles auch unentgeltlich im Netz verfügbar. Es geht kein Weg daran vorbei, dass man sich da wirklich auch ein bisschen einlesen und einarbeiten muss.
    Müller: Jeder muss sich zuhause da richtig reinknien? Das geht gar nicht anders?
    Weichert: Ja, wenn man sicher sein möchte. Und ich glaube, das Wichtigste ist, einfach vorsichtig zu sein. Das heißt, jetzt nicht auf irgendwelchen Links herumzuklicken, die jetzt dubios erscheinen, Anhänge in E-Mails öffnen, die von unbekannten Absendern stammen. Das sollte man bleiben lassen. Einfach den gesunden Menschenverstand auch im Internet anwenden und nicht alles glauben, was da mitgeteilt wird. Das ist das Wichtigste.
    Müller: Herr Weichert, wir haben noch eine halbe Minute, ich will Sie dennoch fragen: Was können Sie für uns tun?
    Weichert: Wir können natürlich dann, wenn das Kind in den Brunnen gefallen ist, uns darum kümmern. Wir versuchen, gemeinsam mit allen anderen zuständigen Behörden – es wurde ja schon darauf hingewiesen, dass für die Strafverfolgung die Polizei und die Staatsanwaltschaft zuständig ist, Verbraucherschutz kann sich um Identitätsdiebstahl kümmern und der Verfassungsschutz, wenn es um Wirtschaftsspionage geht -, wir können natürlich Angebote machen, wie jetzt einfach eine Verschlüsselung im Internet realisiert werden kann. Wir können Tipps geben, wie man sich da am besten verhält. Das tun wir auch und da gibt es entsprechende Webseiten, auf die dann die Betroffenen gehen sollten und wo sie sich dann auch an den jeweiligen Ratschlägen orientieren sollten.
    Müller: Bei uns heute Morgen im Deutschlandfunk Thilo Weichert, Datenschutzbeauftragter von Schleswig-Holstein. Danke für das Gespräch, Ihnen noch einen schönen Tag.
    Weichert: Das wünsche ich Ihnen auch. Danke!
    Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.