Abo
  • Services:

IMHO: Gebt uns die Daten

Das BSI und andere Institutionen warnen immer öfter Nutzer vor Identitätsdiebstahl. Aber Details erfährt man nicht. Das ist wenig hilfreich.

Artikel von Hanno Böck veröffentlicht am
Der Identity Leak Checker gibt Betroffenen nur unzureichende Informationen.
Der Identity Leak Checker gibt Betroffenen nur unzureichende Informationen. (Bild: Screenshot)

Im Januar schlug das Bundesamt für Sicherheit in der Informationstechnik zum ersten Mal Alarm: Millionen Onlinekonten seien gehackt worden. Die genauen Hintergründe blieben im Dunkeln, bis heute ist beispielsweise völlig unklar, um was für Onlinekonten es sich handelt.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. BWI GmbH, deutschlandweit

Nutzer konnten sich daraufhin auf einer Webseite des BSI informieren, ob ihre E-Mail-Adresse von dem Datenfund betroffen ist. Betroffene Nutzer erhielten daraufhin eine E-Mail, in der ihnen empfohlen wurde, Passwörter für alle Onlineaccounts zu ändern. Ein Vorschlag, den vermutlich die allerwenigsten umgesetzt haben, denn wer aktiv im Netz unterwegs ist, hat schnell Dutzende oder gar Hunderte von Accounts.

Es wäre ausgesprochen hilfreich gewesen, wenn das BSI den betroffenen Nutzern etwas mehr Informationen überlassen hätte. Gibt es Erkenntnisse darüber, um was für Accounts es sich handelt? Und welche Daten sind betroffen? Beispielsweise wäre es für viele Nutzer sicher nützlich, wenn sie das betroffene Passwort erfahren könnten.

Das BSI selbst behauptet, dass es über diese Daten überhaupt nicht verfüge, und verweist an die zuständigen Strafverfolgungsbehörden, in diesem Fall die Staatsanwaltschaft Verden. Diese verweigern eine Datenauskunft. Zwar sieht das Bundesdatenschutzgesetz in § 34 einen Auskunftsanspruch vor, doch dieser greift in diesem Fall nicht. Die Staatsanwaltschaft Verden verweist auf die Strafprozessordnung und erklärt, dass eine Datenauskunft einen "unverhältnismäßigen Aufwand" darstellen würde.

Hasso-Plattner-Institut informiert, ohne zu prüfen

Vor wenigen Tagen hat das Hasso-Plattner-Institut einen Service zur Prüfung von Identitätsdatendiebstahl online gestellt. Nutzer können ihre Mailadresse eingeben, falls diese sich in einer Datenbank von geklauten Zugangsdaten befindet, werden Nutzer informiert.

Das Hasso-Plattner-Institut hat sich offenbar am schlechten Vorbild des BSI orientiert. Man erhält nur spärliche Informationen, die kaum geeignet sind, auf die Bedrohung angemessen zu reagieren. Bei einem Test erfahre ich, dass sich im Zusammenhang mit einer alten E-Mail-Adresse Daten von mir in irgendeiner geklauten Datenbank befinden. Welche Daten dort gespeichert und ob sie korrekt sind, kann ich nicht erfahren.

Da ich die betroffene Mailadresse seit langer Zeit nicht genutzt habe, gehe ich davon aus, dass die Daten entweder veraltet oder falsch sind. Doch ich möchte es genau wissen. Anders als die Staatsanwaltschaft kann das Hasso-Plattner-Institut eine Datenauskunft nach dem Bundesdatenschutzgesetz vermutlich nicht einfach verweigern.

In der Antwort auf meine Anfrage erfahre ich, dass das Hasso-Plattner-Institut zurzeit keine konkreten Informationen zu den Leaks bereitstellt, da im Falle von übernommenen E-Mail-Konten diese von Angreifern missbraucht werden könnten. Die Bedenken, sensible Informationen einfach über das Netz zu verschicken, finde ich nachvollziehbar und es ist sicher eine interessante Diskussion, wie man in solchen Fällen Nutzer angemessen informieren kann.

Doch der nächste Absatz straft alle Bedenken Lügen: Man teilt mir detailliert mit, in welchen Datenleaks der letzten Jahre sich meine Mailadresse wiederfindet, inklusive der zugehörigen Passwörter. Diese Antwort ging an meine aktuelle Mailadresse, ohne überhaupt zu prüfen, ob die betroffene E-Mail-Adresse tatsächlich mir gehört.

Fazit: Gebt uns die Daten

Eigentlich sollte es völlig selbstverständlich sein: Wer von Identitätsdiebstahl betroffen ist, sollte das Recht haben, alle Informationen zu erhalten, die dazu dienen können, sich zu schützen. Das bedeutet konkret: Alle Informationen, die über den Betroffenen gespeichert sind, seien es nun Passwörter, Bankdaten oder Informationen über die Herkunft der geklauten Daten. Nur so kann man als Nutzer angemessen reagieren.

Die Strategie des BSI und anderer, zuerst Alarm zu schreien, dann aber nur mit spärlichen und weitgehend nutzlosen Informationen zu reagieren, ist gefährlich. Sie spielt letztendlich den Datendieben in die Hände.

Ursprünglich stand hier, dass in den gehackten Datenbanken, die das Hasso-Plattner-Institut prüft, auch Bank- und Kreditkartendaten des Autors enthalten waren. Das beruhte auf einem Missverständnis.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

chris m. 22. Mai 2014

die überschrift lautet "gebt uns die daten" und fordert die herausgabe, um die...

Yes!Yes!Yes! 22. Mai 2014

Letztlich muss man davon ausgehen, dass BSI & Co. lediglich verifizierte E-Mail-Adressen...

IrgendeinNutzer 21. Mai 2014

Das finde ich auch extremst ärgerlich. Da wird ein riesen großer Wirbel gemacht, der...

dabbes 21. Mai 2014

dann könnte man zumindest prüfen welche Dienste betroffen waren. Mir reichen dazu wenige...

Kelran 21. Mai 2014

Hat nicht das BSI uns Anfang des Jahres so professionell darüber informiert, dass mehrere...


Folgen Sie uns
       


Amazons Echo Dot (2018) - Test

Echo Dot steht eigentlich für muffigen Klang. Das ändert sich grundlegend mit dem neuen Echo Dot. Amazons neuer Alexa-Lautsprecher ist damit durchaus zum Musikhören geeignet. Für einen 60 Euro teuren Lautsprecher bietet der neue Echo Dot eine gute Klangqualität.

Amazons Echo Dot (2018) - Test Video aufrufen
Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

    •  /