Nach der Nachricht über millionenfachen Datenklau haben besorgte Internetnutzer die Seite des Bundesamtes für Sicherheit in der Informationstechnik zusammenbrechen lassen. Jetzt hat die Behörde reagiert.

Berlin. Unzählige Internetnutzer melden sich jeden Tag in Deutschland mit E-Mail-Adresse und Passwort bei Online-Shops oder sozialen Netzwerken an. Nun aber müssen viele um die Sicherheit ihrer Daten bangen. Unbekannte Hacker haben rund 16 Millionen E-Mail-Konten geknackt. Das gab am Dienstag das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt. Auch die meisten Passwörter wurden gestohlen. Forscher und Strafverfolger seien bei Ermittlungen auf die Daten gestoßen und hätten sie an das BSI übergeben, hieß es. Die meisten betroffenen Mailadressen haben die Endkennung .de für Deutschland.

Die Behörde richtete die Sonder-Webseite ein, auf der Nutzer ihre E-Mail-Adresse eingeben und feststellen können, ob auch sie betroffen sind. In diesem Fall verschickt die Behörde eine Nachricht mit Tipps, wie sich die User verhalten sollen. Schon am Dienstag aber gab es einen solchen Ansturm auf die Seite, dass sie zeitweise nicht mehr erreichbar war.

Entdeckt wurden die gestohlenen Daten bei der Analyse von „Botnetzen“ – das sind Netzwerke von Computern, die mit Schadsoftware infiziert wurden. „Hinter Botnetzen steckt verdammt viel kriminelle Energie und eindeutig ein böser Wille“, schreibt das BSI. Generell rate man den Usern, bei der Nutzung von Online-Diensten unterschiedliche Passwörter zu benutzen.

Hier geht es direkt zum BSI-Sicherheitstest

Bis zum Mittwochmorgen hatte das BSI bereits 8,5 Millionen Anfragen von besorgten Internet-Nutzern bearbeitet. Das sagte BSI-Präsident Michael Hange in Berlin. Darunter seien 750.000 Betroffene gewesen. Die Behörde bemühe sich, mit dem Ansturm an Anfragen fertig zu werden, sagte Hange am Rande einer Konferenz zur Cybersicherheit.

Hange sagte, die Seite sei inzwischen umprogrammiert worden. Die Behörde sei dabei, die Überlastungsprobleme zu lösen. Der Ansturm an Anfragen habe auch für das BSI eine neue Dimension.

BSI wusste schon vor Dezember von Datenklau

Die Behörde wusste schon länger von dem Fall. Hange sagte, das BSI habe bereits vor Dezember von dem Datenklau erfahren. Die Verzögerung bei der Warnaktion sei unvermeidlich gewesen.

Zuvor hatte er dem Bayerischen Rundfunk gesagt, die Behörde wisse seit Dezember davon. Kurz vor Weihnachten habe das BSI dann die Freigabe dafür bekommen, eine Warnung herauszugeben, sagte er am Mittwoch. „Eine solche Aktion muss aber extrem gut vorbereitet sein“, betonte er. Das BSI habe beispielsweise Zeit gebraucht, um den Sicherheitscheck zu programmieren und Datenschutzfragen zu klären. Der Behördenchef versicherte: „Wir haben schon sehr schnell gemacht. Schneller geht es nicht.“

Auch habe die Behörde sicherstellen müssen, dass Trittbrettfahrer die Warnaktion nicht für kriminelle Aktionen missbrauchen. „Das wollten wir auf jeden Fall vermeiden.“ Internetnutzer bekommen daher bei der Eingabe ihrer E-Mail-Adresse einen vierstelligen Code angezeigt. Die Antwortmail des BSI sollten Betroffene nur öffnen, wenn genau dieser Code in der Betreffzeile auftaucht, empfiehlt die Behörde.

Die gestohlenen Datensätze enthielten laut BSI meist eine E-Mail-Adresse und ein Passwort. Forscher und Strafverfolger seien auf die Daten gestoßen und hätten sie an das Bundesamt übergeben.

Viele Adressen aus anderen EU-Staaten

Nicht alle betroffenen Mailadressen würden noch benutzt, betonte Hange. Viele der gekaperten Adressen stammten nicht aus Deutschland, sondern aus anderen EU-Staaten. Es sei deshalb davon auszugehen, dass hinter dem Datenklau ein international agierendes Netz stecke. Identitätsdiebstahl sei als Kriminalitätsform bekannt. Die Dimension des aktuellen Falls sei aber spektakulär.

Die Zugangsdaten tauchten bei der Analyse von Botnetzen auf. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen solche Zombie-Rechner beispielsweise, um massenhaft E-Mails mit Werbung oder Schadprogrammen zu versenden.

Bei der Cybersicherheitskonferenz sagte Hange: „Mit Botnetzen kann man leicht Millionenbeträge ergaunern.“ Vielen Hackern gehe es schlicht um Geld. Von Cyberangriffen seien alle betroffen: Bürger, Staat und Wirtschaft.

Allein auf das Netz der Bundesregierung gibt es laut BSI 2000 bis 3000 Angriffe pro Tag. Etwa fünf Attacken am Tag sind dabei auf so hohem technischen Niveau, dass ein nachrichtendienstlicher Hintergrund zu unterstellen sei. Auch viele Firmen werden den Fachleuten zufolge Opfer von Cyberangriffen, verschweigen diese aus Angst vor Imageschäden aber oft.

Der netzpolitische Sprecher der SPD-Bundestagsfraktion, Lars Klingbeil, forderte angesichts des Falls mehr Investitionen in die Sicherheitsforschung. „Dieser Fall zeigt, wie sich das Thema Identitätsklau im Netz entwickelt hat, und dass wir damit auch in Zukunft wohl noch viel zu tun haben werden“, sagte Klingbeil der Zeitung „Tagesspiegel“ (Mittwoch).