Nach dem Datenklau: Noch keine Erkenntnisse über deutsche Betroffene

Zwei Tage nach der Meldung über den Diebstahl von 1,2 Milliarden Internet-Profildaten durch russische Hacker fehlen nach wie vor belastbare Informationen darüber, wie zuverlässig die Angaben des US-Sicherheitsunternehmens Hold Security und welche Nutzer von dem möglicherweise größten Datenraub in der Geschichte des Internets betroffen sind.

Die Netzes des Bundes sind nicht betroffen

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) konnte inzwischen feststellen, dass die Netze der Bundesbehörden von dem Datendiebstahl nicht betroffen sind. Die Sicherheit der IT-Systeme des Bundes gehört zu den primären Aufgaben des BSI.
Die Kontakte der deutschen Behörde zu Kollegen in den USA sowie über die internationalen Cert-Einrichtungen (Computer Emergency Response Teams) haben bislang noch keine greifbaren Ergebnisse erbracht. Sobald eine US-Behörde über Informationen zum Daten-Hack mit deutscher Betroffenheit verfüge, würden diese aber auch nach Deutschland gelangen, versicherte das BSI.

Während in früheren Fällen die Daten über gestohlene Zugangsdaten dem BSI kostenlos zur Verfügung gestellt wurden, will Hold Security Firmen, Behörden und Privatpersonen nur gegen Bezahlung darüber informieren, ob ihre Konten betroffen sind. Doch wäre das Bundesamt berechtigt und in der Lage, die Daten falls nötig zu kaufen? „Das BSI kauft grundsätzlich keine Daten. Auch aktuell hat das BSI die erforderlichen Ressourcen, um auf Bedrohungsvorfälle zu reagieren“, sagte BSI-Sprecher Matthias Gärtner dazu dem Tagesspiegel. Es ist allerdings die Frage, was die Daten überhaupt Wert sind. Einigen Experten hatten inzwischen die Möglichkeit, das Material zu sichten und erklärten die Funde für plausibel. Dass Hold Security nicht bereit ist, die Betroffenen kostenlos zu informieren, weckt jedoch den Argwohn vieler Experten.

"Die Internet-Anbieter sind in der Pflicht"

Bundesjustizminister Heiko Maas rief Verbraucher und Anbieter zu besseren Sicherheitsvorkehrungen auf. Zugleich unterstrich der SPD-Politiker, dass „Internet-Anbieter in der Pflicht sind, alles zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun“. Ein Anbieter, bei dem die Kundendaten unsicher sind, werde auch bei den Verbrauchern kein Vertrauen mehr finden, sagte Maas.

Das BSI ruft die Anbieter von Online-Services ebenfalls auf, mehr für die Sicherheit ihrer Systeme und die Sicherheit der Daten zu tun. Neben einer durchgängigen Verschlüsselung und der schnellen Beseitigung von Schwachstellen in IT-Systemen und Software sollten Anwendern sichere Authentisierungsmöglichkeiten angeboten werden. Das Bundesamt favorisiert eine Zwei-Faktor-Authentisierung, die über die Standardanmeldung per Benutzername und Passwort hinausgeht. Bei einigen Systemen wird dazu ein weiteres, zeitlich befristetes Passwort per SMS verschickt, um Missbrauch durch gestohlene Daten zu verhindern. Kurt Sagatz