Millionen Zugangsdaten geklaut: Der Feind auf meinem Rechner

BERLIN taz | Es fühlt sich ja meist recht gemütlich an: Da ist diese E-Mail-Adresse und dieses praktische Passwort. Und das eine gilt dann gleich für alles. Fahrkartenkauf bei der Bahn, Klamotten-Shopping beim Internethändler, Fotos austauschen mit Freunden – und E-Mails abrufen, natürlich. Doch nun droht Hunderttausenden Internetnutzern in Deutschland gehöriges Ungemach – und gegebenenfalls ein ordentlicher Tag Arbeit. Denn die Botschaft, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Dienstag verbreitete, ist gewaltig: Hunderttausende Rechner in Deutschland sind offenbar von einer Schadsoftware infiziert.

In der Folge haben Unbekannte sich Zugang zu Millionen von E-Mail-Adressen und Nutzerdaten verschafft. Laut BSI sollen so die Daten von rund 16 Millionen E-Mail-Accounts ausgeforscht worden sein – einschließlich der dazugehörigen Passwörter. Rund die Hälfte dieser Accounts sollen dabei auf E-Mail-Adressen beruhen, die auf „.de“ enden – und damit nahelegen, dass es sich um deutsche Nutzer handelt.

Grundlage für die massenhafte Datenausspähung ist ein sogenanntes Botnetz. Dabei werden – vom Nutzer unbemerkt – private PCs mit Trojanern infiziert, die sich mit anderen Trojanern verbinden. So entsteht ein riesiges digitales Netzwerk, über das – wiederum unbemerkt – etwa E-Mail-Adressen, Passwörter und persönliche Daten ausgelesen und ausgetauscht werden können.

Das BSI rät nun eindringlich dazu zu prüfen, ob eigene Daten betroffen sein könnten. Die Behörde, einstmals aus den klassischen deutschen Geheimdiensten ausgegründet, soll Bürger und Bundesregierung in Sachen Cybersicherheit beraten und vor Gefahren warnen. Sie untersteht dem Bundesinnenministerium und ist verantwortlich für die Sicherheit der deutschen Netzinfrastruktur.

Laufende Ermittlungen

So ist in dem etwas piefigen Bonner Verwaltungsgebäude in der Godesberger Allee 183 etwa auch das sogenannte Cert-Bund ansässig. Das steht für Computer Emergency Response Team der Bundesverwaltung. Dort werden Netzattacken analysiert und ausgewertet.

Auch das Nationale Cyber-Abwehr-Zentrum befindet sich unter dem Dach des BSI in Bonn. Dabei handelt es sich um eine Einrichtung, die etwas martialischer klingt als sie ist: Verbindungsbeamte des Bundeskriminalamts, des Bundesnachrichtendienstes und des Bundesamts für Verfassungsschutz sitzen mit in der Behörde, um sich über aktuelle Cyberbedrohungen auszutauschen.

Geballte Kompetenz also – doch am Dienstag blieben trotzdem viele Fragen offen. Im aktuellen Fall ist offenbar nicht das BSI selbst auf den Datenklau gestoßen, sondern Ermittlungsbehörden, die das BSI über das Ausmaß des Diebstahls in Kenntnis gesetzt haben, entdeckten ihn. Nähere Angaben zum Hintergrund des Botnetzes wollte das BSI am Dienstag nicht machen. Eine Sprecherin sagte der taz, man könne nicht sagen, um welche konkreten Schadprogramme es sich bei dem Angriff handele. Die Behörde verwies auch auf laufende staatsanwaltschaftliche Ermittlungen.

Welche Staatsanwaltschaft diese Ermittlungen führt und was der Hintergrund dieser Ermittlungen ist, wollte das BSI ebenfalls nicht kommentieren. So kann nur spekuliert werden, was mit den Daten nun passieren könnte: Sind es Online-Kriminelle, die auf fremde Kosten Geld ausgeben wollen? Oder ist es doch ein Zufallsfund aus dem Schatz der NSA?

Entwarnung gibt es jedenfalls nicht, das Botnetz ist weiterhin aktiv. Das heißt auch: Zu den 16 Millionen kompromittierten E-Mail-Accounts kommen täglich neue hinzu. Mit einem Sicherheitscheck bietet die Behörde Nutzern nun an, zu prüfen, ob die eigene E-Mail-Adresse betroffen ist. Das bedeutet: Das BSI verfügt über den gigantischen Datensatz der betroffenen Nutzer.

Allerdings sagt die Behörde, dass sie weder über die zugehörigen Passwörter verfüge, noch Kenntnisse über die IP-Adressen der Nutzer habe. Diese Adressen sind die individuellen Kennungen, über die jeder Rechner verfügt. Damit ließe sich etwa feststellen, welche E-Mail-Adresse sich von wo aus bei verschiedenen Diensten eingeloggt haben könnte.