Abo
  • Services:
Anzeige
Der Identity Leak Checker gibt Betroffenen nur unzureichende Informationen.
Der Identity Leak Checker gibt Betroffenen nur unzureichende Informationen. (Bild: Screenshot)

IMHO: Gebt uns die Daten

Der Identity Leak Checker gibt Betroffenen nur unzureichende Informationen.
Der Identity Leak Checker gibt Betroffenen nur unzureichende Informationen. (Bild: Screenshot)

Das BSI und andere Institutionen warnen immer öfter Nutzer vor Identitätsdiebstahl. Aber Details erfährt man nicht. Das ist wenig hilfreich.
Von Hanno Böck

Im Januar schlug das Bundesamt für Sicherheit in der Informationstechnik zum ersten Mal Alarm: Millionen Onlinekonten seien gehackt worden. Die genauen Hintergründe blieben im Dunkeln, bis heute ist beispielsweise völlig unklar, um was für Onlinekonten es sich handelt.

Anzeige

Nutzer konnten sich daraufhin auf einer Webseite des BSI informieren, ob ihre E-Mail-Adresse von dem Datenfund betroffen ist. Betroffene Nutzer erhielten daraufhin eine E-Mail, in der ihnen empfohlen wurde, Passwörter für alle Onlineaccounts zu ändern. Ein Vorschlag, den vermutlich die allerwenigsten umgesetzt haben, denn wer aktiv im Netz unterwegs ist, hat schnell Dutzende oder gar Hunderte von Accounts.

Es wäre ausgesprochen hilfreich gewesen, wenn das BSI den betroffenen Nutzern etwas mehr Informationen überlassen hätte. Gibt es Erkenntnisse darüber, um was für Accounts es sich handelt? Und welche Daten sind betroffen? Beispielsweise wäre es für viele Nutzer sicher nützlich, wenn sie das betroffene Passwort erfahren könnten.

Das BSI selbst behauptet, dass es über diese Daten überhaupt nicht verfüge, und verweist an die zuständigen Strafverfolgungsbehörden, in diesem Fall die Staatsanwaltschaft Verden. Diese verweigern eine Datenauskunft. Zwar sieht das Bundesdatenschutzgesetz in § 34 einen Auskunftsanspruch vor, doch dieser greift in diesem Fall nicht. Die Staatsanwaltschaft Verden verweist auf die Strafprozessordnung und erklärt, dass eine Datenauskunft einen "unverhältnismäßigen Aufwand" darstellen würde.

Hasso-Plattner-Institut informiert, ohne zu prüfen

Vor wenigen Tagen hat das Hasso-Plattner-Institut einen Service zur Prüfung von Identitätsdatendiebstahl online gestellt. Nutzer können ihre Mailadresse eingeben, falls diese sich in einer Datenbank von geklauten Zugangsdaten befindet, werden Nutzer informiert.

Das Hasso-Plattner-Institut hat sich offenbar am schlechten Vorbild des BSI orientiert. Man erhält nur spärliche Informationen, die kaum geeignet sind, auf die Bedrohung angemessen zu reagieren. Bei einem Test erfahre ich, dass sich im Zusammenhang mit einer alten E-Mail-Adresse Daten von mir in irgendeiner geklauten Datenbank befinden. Welche Daten dort gespeichert und ob sie korrekt sind, kann ich nicht erfahren.

Da ich die betroffene Mailadresse seit langer Zeit nicht genutzt habe, gehe ich davon aus, dass die Daten entweder veraltet oder falsch sind. Doch ich möchte es genau wissen. Anders als die Staatsanwaltschaft kann das Hasso-Plattner-Institut eine Datenauskunft nach dem Bundesdatenschutzgesetz vermutlich nicht einfach verweigern.

In der Antwort auf meine Anfrage erfahre ich, dass das Hasso-Plattner-Institut zurzeit keine konkreten Informationen zu den Leaks bereitstellt, da im Falle von übernommenen E-Mail-Konten diese von Angreifern missbraucht werden könnten. Die Bedenken, sensible Informationen einfach über das Netz zu verschicken, finde ich nachvollziehbar und es ist sicher eine interessante Diskussion, wie man in solchen Fällen Nutzer angemessen informieren kann.

Doch der nächste Absatz straft alle Bedenken Lügen: Man teilt mir detailliert mit, in welchen Datenleaks der letzten Jahre sich meine Mailadresse wiederfindet, inklusive der zugehörigen Passwörter. Diese Antwort ging an meine aktuelle Mailadresse, ohne überhaupt zu prüfen, ob die betroffene E-Mail-Adresse tatsächlich mir gehört.

Fazit: Gebt uns die Daten

Eigentlich sollte es völlig selbstverständlich sein: Wer von Identitätsdiebstahl betroffen ist, sollte das Recht haben, alle Informationen zu erhalten, die dazu dienen können, sich zu schützen. Das bedeutet konkret: Alle Informationen, die über den Betroffenen gespeichert sind, seien es nun Passwörter, Bankdaten oder Informationen über die Herkunft der geklauten Daten. Nur so kann man als Nutzer angemessen reagieren.

Die Strategie des BSI und anderer, zuerst Alarm zu schreien, dann aber nur mit spärlichen und weitgehend nutzlosen Informationen zu reagieren, ist gefährlich. Sie spielt letztendlich den Datendieben in die Hände.

Ursprünglich stand hier, dass in den gehackten Datenbanken, die das Hasso-Plattner-Institut prüft, auch Bank- und Kreditkartendaten des Autors enthalten waren. Das beruhte auf einem Missverständnis.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)


eye home zur Startseite
chris m. 22. Mai 2014

die überschrift lautet "gebt uns die daten" und fordert die herausgabe, um die...

Yes!Yes!Yes! 22. Mai 2014

Letztlich muss man davon ausgehen, dass BSI & Co. lediglich verifizierte E-Mail-Adressen...

IrgendeinNutzer 21. Mai 2014

Das finde ich auch extremst ärgerlich. Da wird ein riesen großer Wirbel gemacht, der...

dabbes 21. Mai 2014

dann könnte man zumindest prüfen welche Dienste betroffen waren. Mir reichen dazu wenige...

Kelran 21. Mai 2014

Hat nicht das BSI uns Anfang des Jahres so professionell darüber informiert, dass mehrere...



Anzeige

Stellenmarkt
  1. SVB-Spezialversand für Yacht- und Bootszubehör GmbH, Bremen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Knorr-Bremse Systeme für Nutzfahrzeuge GmbH, Schwieberdingen
  4. Bosch Sicherheitssysteme GmbH, Grasbrunn bei München


Anzeige
Hardware-Angebote
  1. und bis zu 50€ Cashback erhalten bei Alternate.de

Folgen Sie uns
       


  1. Blizzard

    Update und Turnier für Warcraft 3 angekündigt

  2. EU-Urheberrechtsreform

    Kompromissvorschlag hält an Uploadfiltern fest

  3. Desktop-Modi im Vergleich

    Fast ein PC für die Hosentasche

  4. Android 8.0

    Samsung verteilt Oreo-Upgrade wieder für Galaxy S8

  5. Bilanzpressekonferenz

    Telekom bestätigt Super-Vectoring für dieses Jahr

  6. Honorbuddy

    Bossland muss keine Millionen an Blizzard zahlen

  7. Soziale Netzwerke

    Twitter sperrt Tausende verdächtige Accounts

  8. Qualcomm

    802.11ax-WLAN kann bald in Smartphones kommen

  9. Synthesizer IIIp

    Moog legt Synthie-Klassiker für 35.000 US-Dollar wieder auf

  10. My Playstation

    Sony überarbeitet sein soziales PS-Ökosystem



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Meine Ansicht zu dem Ganzen:

    Dasoul | 13:48

  2. Re: bissel überteuert

    AllDayPiano | 13:46

  3. Re: hab meine CD keys nicht mehr *schnüff*

    crackhawk | 13:46

  4. Re: Warcraft...

    Muhaha | 13:44

  5. Re: Verpflichtung zu AGB in leichter Sprache

    Mr Miyagi | 13:42


  1. 13:12

  2. 12:40

  3. 12:07

  4. 12:05

  5. 12:01

  6. 11:50

  7. 11:44

  8. 11:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel