Diebstahl von Mail-Adressen und Passwörtern: "Angriffe können Leib und Leben gefährden"

Nach dem millionenfachen Diebstahl von Online-Zugangsdaten hat Innenminister Thomas de Maizière (CDU) das Bundesamt für Sicherheit in der Informationstechnik (BSI) verteidigt. Zum Auftakt der Kabinettsklausur der Bundesregierung in Meseberg sprach er am Mittwoch von einer „wohl vorbereiteten Aktion“. Der Staat habe eine Fürsorgepflicht und müsse für Sicherheit im Internet sorgen. Der jüngste Angriff auf die Daten der Bürger zeige das Ausmaß der Bedrohung. Das BSI wusste bereits vor Dezember von dem Datenklau.

Der Präsident des BSI, Michael Hange, hat den Datendiebstahl von 16 Millionen Mail-Adressen und Passwörtern als Bedrohung für die Bürger bezeichnet. "Es handelt sich bei diesem Fall nicht nur um eine Infizierung eines Rechners, sondern um den Diebstahl der kompletten digitalen Identität", sagte Hange dem Tagesspiegel. Es gebe vergleichbare Fälle, aber die Dimension mit acht Millionen betroffenen Mail-Adressen mit der Länderkennzeichnung .de sei sehr beachtlich. "Kriminelle Organisationen nutzen diese Form der Internetkriminalität im großen Stil. Für die Bürger ist der digitale Identitätsdiebstahl eine echte Bedrohung."  

Wie am Mittwoch bekannt wurde, weiß das BSI schon seit Dezember von dem gigantischen Datenklau bei Millionen deutscher E-Mail-Konten. Die Vorbereitungen ein Verfahren aufzusetzen, das datenschutzgerecht sei und einer derart großen Zahl von Anfragen gewachsen, habe einer entsprechenden Vorbereitungszeit bedurft, hieß es. BSI-Präsident Hange verteidigte das Vorgehen.

Auf dem Forum Cybersecurity des BSI und der Bundesakademie für Sicherheitspolitik sagte Hange: "Sorgfalt geht hier vor Schnelligkeit". Man habe auch Programmieraufwand gehabt und dafür sei es sehr schnell gegangen. Das BSI habe einen Provider zu Hilfe gezogen, um die Anfragen zu bewerkstelligen.

Identitätsdiebstahl liegt "hoch im Kurs"

Aber da die Nachricht innerhalb kürzester Zeit bekannt geworden war, habe es eine riesige Zahl von Zugriffen gegeben. "Wir werden das aber kritisch analysieren", versicherte Hange. Dennoch sei die Warnung ein Erfolg. 8,5 Millionen Menschen hätten ihre Mail-Adressen bisher überprüft, davon seien rund 750.000 auch betroffen. "Identitätsdiebstahl liegt hoch im Kurs", sagte Hange. Der aktuelle Fall sei allein durch die Dimension spektakulär aber es sei eine Kriminalitätsform, die schon länger bekannt sei.

Die Beauftragte der Bundesregierung für Informationstechnik, Cornelia Rogall-Grothe, hat auf dem Berliner Forum für Cyber-Sicherheit angekündigt, dass die Bundesregierung noch in diesem Jahr ein IT-Sicherheitsgesetz verabschieden wolle. Bereits in der vergangenen Legislaturperiode wurde ein Entwurf erarbeitet aber von Schwarz-Gelb nicht mehr verabschiedet. Diesen Entwurf wolle man nun aufgreifen. "Die Zeit für dieses Gesetz ist reif", sagte Rogall-Grothe. Kernpunkte des Gesetzes soll unter anderem die Verpflichtung für Betreiber kritischer Infrastrukturen sein, die Sicherheit zu verbessern. Auch die Provider sollen stärker in die Verantwortung gezogen werden. "Ich weiß, dass Teile der Wirtschaft gesetzlichen Vorgaben kritisch gegenüber stehen", sagte Rogall-Grothe, "aber mit Freiwilligkeit allein kommen wir nicht zum Ziel." Schwachstellen könne man sich nicht leisten.

Verbände sollten die Standards selbst definieren und der Staat sollte diese anschließend anerkennen. Außerdem solle es eine Meldepflicht für Cyberangriffe geben und auch Provider sollten ihre Kunden über Sicherheitslücken informieren.  Die Staatssekretärin im Bundesinnenministerium sieht Deutschland auf der nächsten Stufe der Digitalisierung, die die gesamte Gesellschaft betreffe. So würde die Energieversorgung digitalisiert, was auch Sicherheitsfragen aufwerfe. Besondere Herausforderungen sieht sie im Gesundheitsbereich. Hier würden Geräte untereinander vernetzt, aber auch Kliniken. "Sicherheitsmechanismen sind aber noch nicht ausreichend vorhanden, weshalb es gefährliche Angriffe geben kann, die eine Gefahr für Leib und Leben sind", sagte die Beauftragte. Da müsse dringend für Sicherheit gesorgt werden. Auch in der Industrie gebe es große Vernetzungsprozesse, die Sicherheitsansprüche stellten. Ebenso sei es im Städtebau. Auch dort würden sich ganze Städte vernetzen und damit Teil der kritischen Infrastruktur werden. "Eine wirkliche Unterscheidung zwischen Online und Offline ist bald überhaupt nicht mehr möglich", sagte sie.

Der Präsident der Fraunhofer Gesellschaft, Reimund Neugebauer, hat vier Schwachstellen im Cyberraum ausgemacht: Hardware, Software, die Technik selbst aber auch den Menschen, der häufig sorglos und bequem im Netz unterwegs sei. Jedes vierte Unternehmen sei seiner Meinung nach bereits Opfer eines Cyberangriffs geworden. Besonders besorgniserregend sei seiner Meinung nach, dass die Lücke zwischen der Zahl der Cyberangriffe und der Zahl der aufgeklärten Straftaten immer weiter auseinanderklaffe. Denn während die Zahl der Angriffe stetig steige, nehme die Aufklärungsquote ab. Als wichtigste Risiken nannte auch er den Diebstahl der digitalen Identität, aber auch Angriffe auf Cloudsysteme und elektronische Prozesse. Er wies so beispielsweise auf besonders sensible Bereiche hin. So sei beispielsweise Sensorik ein schwieriger Bereich. In Autos seien derzeit rund 100 Sensoren eingebaut, in der Industrie arbeite man am autonomen Fahren. "Man kann sich ungefähr vorstellen, was es heißt, wenn Hacker die Kontrolle übernehmen", sagte Neugebauer. Auch Angriffe auf medizinische Geräte habe es bereits gegeben. Besonders gefährdet seien drahtlose Geräte wie Herzschrittmacher oder Blutzuckerpumpen. Aber auch Anlagen könnten direkt angegriffen werden. Dabei gebe es unterschiedliche Qualitäten der Angriffe: Kleinkriminelle, die sich im Netz einen Baukasten für 100 Euro besorgten. Aber auch sogenannte "Advanced Persistent Threads", was hochprofessionelle, hartnäckige Angriffe auf Top-Ziele seien. Neugebauer fordert aufgrund der Tatsache, dass jeder Privatpersonen, Unternehmen, Regierungen, gefährdet sei, einen Paradigmenwechsel. Die Funktionalität müsse bei Sicherheitskonzepten beachtet werden, die Bedienerfreundlichkeit, das Bewusstsein müsse steigen und Sicherheit müsse ein Qualitätsmerkmal sein und schon bei der Entwicklung von Produkten mitgedacht werden. Auch BSI-Chef Hange hat beklagt, dass die Sicherheit immer hinterherhinke und sich freue, die Schlacht von gestern geschlagen zu haben.

Weltweit gibt es derzeit 7,3 Milliarden Smartphones

Laut Neugebauer gebe es bei Bürgern einige Trends, die sich derzeit abzeichneten. Weltweit gebe es derzeit 7,3 Milliarden Smartphones, die Kommunikation werde also immer mobiler. 25 Prozent der Weltbevölkerung Tendenz steigend nutzten heute sogenannte "Location Based Services". Mit diesen erfährt man beispielsweise, wo die nächste Tankstelle oder das nächste Hotel ist. Das macht immer transparenter, wo man gerade sei. Außerdem steige die Zahl der Cloud-Nutzungen. Parallel steigt die Raffinesse der Netz-Kriminellen. Auf Seiten des Staates gebe es den Trend zu mehr eGoverment. "Die größte Gefahrenstelle ist aber die zunehmende computergesteuerte Infrastruktur, was ein großer Angriffspunkt ist", sagte Neugebauer. Da könne ein einziger Täter sehr großen Schaden anrichten. Neugebauer rief vor diesem Hintergrund die Politik auf, weiter in Sicherheitsforschung zu investieren und Effizienzsteigerung und Sicherheit als Standortvorteil zu sehen.

Das BSI hat eine Testseite eingerichtet, auf der Bürger testen können, ob sie betroffen sind. (Hier geht es zu dieser Webseite, die leider derzeit oft überlastet ist) Allerdings stürzte die Seite unter dem Ansturm zusammen. "Wir haben etwa 200.000 Anfragen pro Stunde, was enorm viel ist. Die Serverkapazitäten werden derzeit erhöht, so dass möglichst viele Personen überprüfen können, ob sie betroffen sind oder nicht", kündigte Hange an. Dieser Ansturm zeige auch, dass die Sensibilität für das Thema Sicherheit im Netz deutlich zugenommen hat." Betroffene, sagte Hange, sollten sehr sorgfältig ihren Rechner reinigen. Wichtig sei außerdem ein gutes Passwort-Management. "Man sollte Passwörter nicht zu lange verwenden, sondern öfter wechseln. Außerdem ist es nicht ratsam, ein Passwort für alle möglichen Konten zu nutzen", empfahl Hange.

Erst am Wochenende hatte Hange im Tagesspiegel vor der steigenden Gefahr im Netz gewarnt. Er rief dazu auf, besser vorzusorgen. Die Informationstechnologie wird aufgrund der Innovationszyklen immer komplexer und damit fehlerbehafteter. Die Fehler können konsequent ausgenutzt werden – sowohl von Kriminellen als auch von Staaten und Geheimdiensten“, sagte Hange.

Politik muss in Sicherheitsforschung investieren

Das BSI hat am Dienstagvormittag auf den Diebstahl aufmerksam gemacht. Strafverfolgungsbehörden waren darauf gestoßen. Auf der Testseite können Internetnutzer ihre E-Mail-Adresse eingeben, die dann mit den Daten abgeglichen wird. Bei einem Treffer bekommen die Nutzer eine Nachricht an die angegebene Mailadresse. „Wenn das passiert, ist Ihr Rechner wahrscheinlich mit einer Schadsoftware infiziert“, sagte Tim Griese vom BSI der Nachrichtenagentur dpa. Die Nachricht des BSI enthalte Tipps, was in diesem Fall zu tun sei. Mehr als die Hälfte der Mailadressen endeten auf .de und gehörten daher wahrscheinlich Internetnutzern aus Deutschland, sagte Griese.

Der netzpolitische Sprecher der SPD- Bundestagsfraktion, Lars Klingbeil, forderte angesichts dieses Diebstahls mehr Investitionen in die Sicherheitsforschung. „Dieser Fall zeigt, wie sich das Thema Identitätsklau im Netz entwickelt hat und dass wir damit auch in Zukunft wohl noch viel zu tun haben werden“, sagte er dem Tagesspiegel. Es sei Aufgabe der Politik, die digitale Selbstständigkeit des Bürgers zu unterstützen und die Sicherheitsforschung zu stärken. „Das wird Geld kosten, was wir aber investieren sollten.“

BSI-Präsident Hange: Betroffenen sollten ihren Rechner sorgfältig reinigen

"Wenn 16 Millionen Kontendaten in Deutschland gestohlen wurden, muss man allen Berlinern empfehlen, ihre Konten zu überprüfen und sicherheitshalber das Passwort zu ändern", sagte dazu Justiz- und Verbraucherschutzsenator Thomas Heilmann (CDU). Heilmann fordert ein verstärktes Vorgehen gegen Cyberkriminalität auf Bundes- und europäischer Ebene. Dazu gehören nach seiner Einschätzung etwa die Einführung eines Straftatbestandes bei Datenhehlerei und beim Versand von Phishing E-Mails. "Was die Cyberkriminellen im aktuellen Fall angeht: Ohne das Instrument der Vorratsdatenspeicherung finden wir die Täter nicht", sagte Heilmann. "Diese Taten finden erfahrungsgemäß nur im Netz statt. Wie wollen Sie da Spuren verfolgen, wenn Sie die Spuren nicht sichern dürfen?"

Die Zugangsdaten seien bei der Analyse von Botnetzen aufgetaucht. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen die Zombie-Rechner beispielsweise, um massenhaft ungewollte E-Mails zu versenden. Weil noch ermittelt werde, wollte das BSI keine weiteren Angaben zur Quelle der Daten machen.

BSI-Präsident Hange empfahl Betroffenen ihren Rechner sorgfältig zu reinigen. Wichtig sei außerdem ein gutes Passwort-Management. "Man sollte Passwörter nicht zu lange verwenden, sondern öfter wechseln. Außerdem ist es nicht ratsam, ein Passwort für alle möglichen Konten zu nutzen", empfahl Hange. "Für Kriminelle ist der Handel mit Mail-Adressen und Passwörtern sehr lukrativ", sagte der BSI-Präsident. Es gebe auch Fälle von Cybererpressungen. Dabei würden sich Kriminelle mit einer falschen Identität tarnen und zur Überweisung eines bestimmten Geldbetrages auffordern. Nach rund 14 Tagen würde dann ein Code den betroffenen Personen zugeschickt, mit dem der Rechner wieder entsperrt werden könne. Solche Erpressungen seien auch mit den gestohlenen Mail-Adressen denkbar.

Dadurch, dass die Kriminellen Mail-Adressen und Passwörter in die Hände bekommen haben, können sie nun nicht nur auf die entsprechenden Mail-Accounts zugreifen, Mails unter dem Namen des Betroffenen schreiben und verschicken, sondern diese Konten dienen meist auch als Zugang zu sozialen Netzwerken und anderen Online-Diensten, weshalb die Kriminellen nun auch den Zugang unter der Identität des jeweiligen Mail-Kontoinhabers haben.