RSS-Feed
altes Coon   23.01.2014
 

Das sind Experten

Wie das BSI uns Gewissheit verschafft

Vielleicht ist es ja so abgelaufen: Da rüffelt der Chef einer großen deutschen IT-Behörde seine Mitarbeiter und klagt, die Aktualität der hauseigenen Datenbank ließe sehr zu wünschen übrig, nein ihr Zustand sei schlicht desolat. Insbesondere die Liste der in Deutschland registrierten eMail-Adressen sei nicht nur lückenhaft, sondern strotze nur so vor Karteileichen. Sofort müsse etwas getan werden! Auffordernd schaut er in die Runde, doch keiner seiner Mitarbeiter sieht sich genötigt, alle 80 Millionen Deutsche durchzutelefonieren und nach ihren eMail-Adressen zu befragen. Außerdem, so wendet ein Mitarbeiter ein, seien die Menschen ja so knauserig mit ihren Daten. Eine komplette Liste aller eMail-Adressen der Deutschen sei absolut utopisch. Doch dann hat jemand, ein kleiner Sachbearbeiter aus der letzten Bank, zwei geniale Ideen.

Das Ergebnis kennen wir. Seit Dienstag geben alle eMail-Adressen-Inhaber selbst ihre noch aktuellen Adressen in die o.g. Datenbank ein. Die Datensätze pflegen sich quasi selbst – davon träumt jeder Datenhalter. Man musste lediglich das Gerücht streuen, 16 Millionen eMail-Konten wären samt Passwörtern bösen Kriminellen in die Hände gefallen. Das war die eine Idee. Die andere war noch simpler und billiger: man ließ die 16 Millionen eMail-Konten ganz einfach wirklich hacken. Welche der beiden Ideen letztlich verwirklicht wurde, weiß ich nicht.

All diese Erkenntnisse sind mir natürlich nicht selbst gekommen. Ich bin ja kein Experte. Nein, ich habe einen Informanten. Er ist IT-Fachmann, Geschäftsführer eines gefragten IT-Unternehmens, ein ausgezeichneter Experte seines Fachs und hat auch sonst eine blühende Fantasie. Beweise konnte er mir nicht vorlegen, doch das ist auch nicht nötig. Ein anderes Szenario ist schließlich kaum vorstellbar.

Die Nachricht des großen Datenklaus erreichte mich, während ich einen Blog-Artikel zum Thema Vernetzung und Datensicherheit schrieb (er wird in den kommenden Tagen hier erscheinen). Na, das passte ja. Ich informierte meinen Sohn und erläuterte:
„Beim BSI, dem Bundesamt für Sicherheit in der Informationstechnik, kann man prüfen lassen, ob man betroffen ist. Man muss dort nur seine eMail-Adresse eingeben und ...“
„... und sein Passwort“, unterbrach er mich und sprach damit aus, was ich dachte.

Ja, der Eindruck täuscht nicht: ich finde den BSI-Service sehr dubios. So dubios, dass ich mehrfach überprüft habe, ob ich überhaupt auf der offiziellen BSI-Seite bin und – ob es ein BSI überhaupt gibt. Da soll man also seine eMail-Adresse eingeben und dann auf eine eMail an eben diese Adresse warten. Expertin
© fotogestoeber - Fotolia.com
Wenn man sie erhält, wurde das Konto gehackt und gehört somit zu den 16 Millionen betroffenen. Wenn nicht – dann nicht.

Wie bitte? Ich erhalte nur eine eMail, wenn ich betroffen bin? Und sonst? Wie lange soll ich denn warten? Eine Minute? Eine Stunde? Einen Tag? Das BSI war erklärtermaßen hoffnungslos überlastet am Dienstag. Könnte es also vielleicht sogar mehrere Tage dauern? Dieser Web-Service soll doch Gewissheit bringen. Was ist denn das für eine Gewissheit?

Wenn ich also zu den Unglücklichen gehöre, die keine eMail vom BSI erhalten, dann darf ich:

  • hoffen, dass ich mich nicht vertippt habe
  • all meine Spam-Ordner durchsuchen und nachprüfen, ob sich das BSI dort verewigt hat
  • hoffen, dass die genannten Hacker nicht eine geniale Methode erhackt haben, aus meinem gehackten Konto die Warn-eMails des BSI vollautomatisch herauszufiltern und zu löschen, bevor ich sie abrufen kann (weiß denn ich, was Hacker können? Bin ja kein Experte!)
  • lieber noch ein Bisschen warten
  • der Empfehlung der Chip-Redaktion folgen und es einfach nochmal probieren („Zur Sicherheit können Sie Ihren Mail-Account beim BSI auch mehrfach überprüfen lassen.“)

Was soll das? Was sind das denn für Experten, die da über unsere Datensicherheit wachen? Warum lassen sie mich so im Regen stehen? Die Antwort auf diese Frage liefern die FAQs beim BSI (danke, liebe Chip-Redaktion für den Hinweis):

„[...] ist leider nicht zu verhindern, dass jemand beliebige E-Mail-Adressen zur Überprüfung eingibt, die nicht seine eigenen sind. Würden auch im Falle der Nicht-Betroffenheit Antwortmails verschickt, bekämen auch nicht betroffene Bürger die Antwortmails, obwohl sie den Dienst nicht selbst in Anspruch genommen haben.“
Ach so? Aha. Hmm. Also: betroffene Nicht-in-Anspruchnehmer dürfen eine unangeforderte Antwortmail erhalten, nicht betroffene aber nicht. Das leuchtet ein.

Wenn das so ist, dann will ich auch nichts gesagt haben. Bin ja schließlich kein Experte.



BSI-Sicherheitstest https://www.sicherheitstest.bsi.de/
Chip-Artikel: „Keine Mail vom BSI – was bedeutet das?“ http://praxistipps.chip.de/keine-mail-vom-bsi-was-bedeutet-das_25148
FAQ beim BSI-Sicherheitstest https://www.sicherheitstest.bsi.de/faq
Ich freue mich, wenn Du
diesen Artikel weiterempfiehlst:
     
Schade, noch keine Kommentare.
Schreibe hier den ersten Kommentar:
Name
 (freiwillige Angabe)
Website
 (freiwillige Angabe; Spam-Links werden gelöscht!)
eMail
 (freiwillige Angabe; wird nicht veröffentlicht)
Kommentar:
Zitate bitte mit eckigen Klammern umschließen: [ ... ]
  
 

counter -

- 45ms -     (c) www.coonlight.de    RSS-Feed