Original-URL des Artikels: https://www.golem.de/news/imho-gebt-uns-die-daten-1405-106630.html    Veröffentlicht: 21.05.2014 15:58    Kurz-URL: https://glm.io/106630

IMHO

Gebt uns die Daten

Das BSI und andere Institutionen warnen immer öfter Nutzer vor Identitätsdiebstahl. Aber Details erfährt man nicht. Das ist wenig hilfreich.

Im Januar schlug das Bundesamt für Sicherheit in der Informationstechnik zum ersten Mal Alarm: Millionen Onlinekonten seien gehackt worden. Die genauen Hintergründe blieben im Dunkeln, bis heute ist beispielsweise völlig unklar, um was für Onlinekonten es sich handelt.

Nutzer konnten sich daraufhin auf einer Webseite des BSI informieren, ob ihre E-Mail-Adresse von dem Datenfund betroffen ist. Betroffene Nutzer erhielten daraufhin eine E-Mail, in der ihnen empfohlen wurde, Passwörter für alle Onlineaccounts zu ändern. Ein Vorschlag, den vermutlich die allerwenigsten umgesetzt haben, denn wer aktiv im Netz unterwegs ist, hat schnell Dutzende oder gar Hunderte von Accounts.

Es wäre ausgesprochen hilfreich gewesen, wenn das BSI den betroffenen Nutzern etwas mehr Informationen überlassen hätte. Gibt es Erkenntnisse darüber, um was für Accounts es sich handelt? Und welche Daten sind betroffen? Beispielsweise wäre es für viele Nutzer sicher nützlich, wenn sie das betroffene Passwort erfahren könnten.

Das BSI selbst behauptet, dass es über diese Daten überhaupt nicht verfüge, und verweist an die zuständigen Strafverfolgungsbehörden, in diesem Fall die Staatsanwaltschaft Verden. Diese verweigern eine Datenauskunft. Zwar sieht das Bundesdatenschutzgesetz in § 34 einen Auskunftsanspruch vor, doch dieser greift in diesem Fall nicht. Die Staatsanwaltschaft Verden verweist auf die Strafprozessordnung und erklärt, dass eine Datenauskunft einen "unverhältnismäßigen Aufwand" darstellen würde.

Hasso-Plattner-Institut informiert, ohne zu prüfen

Vor wenigen Tagen hat das Hasso-Plattner-Institut einen Service zur Prüfung von Identitätsdatendiebstahl online gestellt. Nutzer können ihre Mailadresse eingeben, falls diese sich in einer Datenbank von geklauten Zugangsdaten befindet, werden Nutzer informiert.

Das Hasso-Plattner-Institut hat sich offenbar am schlechten Vorbild des BSI orientiert. Man erhält nur spärliche Informationen, die kaum geeignet sind, auf die Bedrohung angemessen zu reagieren. Bei einem Test erfahre ich, dass sich im Zusammenhang mit einer alten E-Mail-Adresse Daten von mir in irgendeiner geklauten Datenbank befinden. Welche Daten dort gespeichert und ob sie korrekt sind, kann ich nicht erfahren.

Da ich die betroffene Mailadresse seit langer Zeit nicht genutzt habe, gehe ich davon aus, dass die Daten entweder veraltet oder falsch sind. Doch ich möchte es genau wissen. Anders als die Staatsanwaltschaft kann das Hasso-Plattner-Institut eine Datenauskunft nach dem Bundesdatenschutzgesetz vermutlich nicht einfach verweigern.

In der Antwort auf meine Anfrage erfahre ich, dass das Hasso-Plattner-Institut zurzeit keine konkreten Informationen zu den Leaks bereitstellt, da im Falle von übernommenen E-Mail-Konten diese von Angreifern missbraucht werden könnten. Die Bedenken, sensible Informationen einfach über das Netz zu verschicken, finde ich nachvollziehbar und es ist sicher eine interessante Diskussion, wie man in solchen Fällen Nutzer angemessen informieren kann.

Doch der nächste Absatz straft alle Bedenken Lügen: Man teilt mir detailliert mit, in welchen Datenleaks der letzten Jahre sich meine Mailadresse wiederfindet, inklusive der zugehörigen Passwörter. Diese Antwort ging an meine aktuelle Mailadresse, ohne überhaupt zu prüfen, ob die betroffene E-Mail-Adresse tatsächlich mir gehört.

Fazit: Gebt uns die Daten

Eigentlich sollte es völlig selbstverständlich sein: Wer von Identitätsdiebstahl betroffen ist, sollte das Recht haben, alle Informationen zu erhalten, die dazu dienen können, sich zu schützen. Das bedeutet konkret: Alle Informationen, die über den Betroffenen gespeichert sind, seien es nun Passwörter, Bankdaten oder Informationen über die Herkunft der geklauten Daten. Nur so kann man als Nutzer angemessen reagieren.

Die Strategie des BSI und anderer, zuerst Alarm zu schreien, dann aber nur mit spärlichen und weitgehend nutzlosen Informationen zu reagieren, ist gefährlich. Sie spielt letztendlich den Datendieben in die Hände.

Ursprünglich stand hier, dass in den gehackten Datenbanken, die das Hasso-Plattner-Institut prüft, auch Bank- und Kreditkartendaten des Autors enthalten waren. Das beruhte auf einem Missverständnis.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)  (hab)


Verwandte Artikel:
Verfassungsbeschwerde: Journalisten klagen gegen Datenhehlerei-Paragrafen   
(13.01.2017, https://glm.io/125575 )
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias   
(08.03.2018, https://glm.io/133227 )
Security: Datenbank informiert über Identitätsklau   
(19.05.2014, https://glm.io/106565 )
APT28: Behörden untersuchen Angriff auf Regierungsnetzwerk   
(28.02.2018, https://glm.io/133063 )
Sicherheit: Tag der unsinnigen Passwort-Ratschläge   
(01.02.2018, https://glm.io/132533 )

© 1997–2020 Golem.de, https://www.golem.de/