Akteure | BMI und untergeordnete Behörden | BSI

Fette Beute: Der Sicherheitstest des BSI

25. Januar 2014 | Von | Kategorie: BMI UND SICHERHEITSBEHÖRDEN, POLITISCHE KONTROLLE

„Cybercrime – Bedrohung, Intervention, Abwehr“ lautete das Thema der Herbsttagung, zu dem das Bundeskriminalamt im November 2013 [1] rund 500 Gäste empfangen hatte. Etwa zeitgleich dazu war das Bundeslagebild „Cybercrime“ [2] erschienen. Die dort veröffentlichten Daten zum Fallaufkommen und Schadenszahlen muten überraschend niedrig an: Für 2012 sind rund 64.000 Fälle von Cybercrime im engeren Sinne ausgewiesen: Dazu zählen Computerbetrug, der Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten, … die Computersabotage, sowie das Ausspähen, Abfangen von Daten … Der dadurch verursachte Schaden belief sich 2012 auf 42,5 Mio Euro und hatte sich damit gegenüber 2011 fast halbiert.

Im Dezember 2013 wurde dann das BSI, das Bundesamt für Sicherheit in der Informationstechnik, von brisanter Beute aufgeschreckt: Wer genau ihm die ins Netz gelegt hatte, ist noch nicht geklärt. Und erst nach einer Phase längeren Nachdenkens und Vorbereitens alarmierte das BSI im Januar 2014 die Öffentlichkeit mit der Meldung von „16 Millionen geklauten digitalen Identitäten“. Darauf seien „Strafverfolgungsbehörden“ gemeinsam mit „Forschern“ bei der „Analyse von Botnetzen“ gestoßen. Es handle sich bei dem Fund um eine Liste mit Kombinationen von jeweils einer Zeichenfolge, die wie eine Email-Adresse aussieht, gefolgt von einer Zeichenfolge, die das zugehörige Passwort zu repräsentieren scheint. Etwa die Hälfte, also rund 8 Mio der Email-Adressen, weise die Endung „.de“ auf.

Was kann man mit Email/Passwort-Kombis anfangen?

Grundsätzlich eröffnen solche Email-Adressen/Passwort-Kombinationen – sofern sie valide und noch aktuell sind – auch dem unbefugten Benutzer den Zugang zum entsprechenden Email-Konto. Solche Email/Passwort-Kombinationen werden aber häufig auch zum Einwählen in das Konto bei einem Online-Shop oder sozialen Netzwerk verwendet. Ein solches Nutzerprofil erlaubt (theoretisch) also auch einem Unbefugten, der die Kombination kennt, den Einkauf auf fremde Rechnung oder die missbräuchliche Verwendung eines Kontos in einem sozialen Netzwerk, sofern die Kombination nicht inzwischen geändert wurde. Konkrete Schadensfälle auf Seiten der Nutzer sind bisher allerdings nicht bekannt geworden. Dies mag auch daran liegen, dass es nicht ganz so einfach ist, mit einer simplen Email/Passwort-Kombi zwar auf fremde Rechnung, jedoch zur Lieferung an die eigene Haustüre Waren zu bestellen.

Die Warnung und der Sicherheitstest des BSI

Das BSI besann sich also auf seinen gesetzlichen Auftrag, sprach eine Warnung aus und bot gleichzeitig eine Webseite an, auf der Verwendern von Email-Adressen ein ‚Sicherheitstest‘ angeboten wird. Durch Eingabe seiner aktuellen, validen Email-Adresse kann der Inhaber das BSI abgleichen lassen, ob sich seine Adresse unter den erbeuteten rund 16 Millionen Datensätzen befindet. Wenn ja, schickt ihm das BSI an diese Adresse ein Email mit weiteren Hinweisen, auch zur ‚Reinigung‘ des PCs. Und wenn der Anfrager keine Email erhält, liegt das entweder daran, dass die angefragte Email-Adresse sich nicht auf der Liste des BSI findet oder dass die Email – aus welchen Gründen auch immer – nicht ankam.

Das Verfahren hat einige Kritik auf sich gezogen, beginnend damit, dass die angeblich bei einem privaten Provider eingerichtete Webseite über einige Tage nur schwer zu erreichen war, weil sie unter der unerwartet hohen Anzahl von Anfragen immer wieder zusammen brach. Andere Autoren haben sich bereits kritisch zu diesem Aspekt geäußert. Ebenfalls kritisiert wird die auffällige Geheimniskrämerei des BSI, das nicht mitteilt, woher diese Liste eigentlich stammt, wie alt bzw. aktuell sie (noch) ist und wie sie in den Besitz des BSI gelangt ist. [3] [4]

Wo ist der Schaden?

Erstaunlich ist auch, dass es keinerlei Fragen des BSI an die Öffentlichkeit gibt, ob Konteninhaber bereits missbräuchliche Verwendungen bemerkt haben, sei es durch ein Kapern der Email-Adressen oder durch die missbräuchliche Verwendung ihrer Kennung/Passwort-Kombination bei Online-Händlern oder in sozialen Netzwerken. Es fehlt die bei Juristen doch immer sehr rasch gestellte Frage „Wo ist der Schaden?“, sodass man sich fragt, ob die Bedrohungslage wirklich so groß ist, wie es das mediale Getöse vermuten lässt.

Gedrechselte Ausdrücke – verborgene Absichten?!

Daneben fallen die gedrechselten Ausdrücke und die Wortwahl des BSI bei der Anleitung zu seinem Sicherheitstest auf: Besonders, wenn man berücksichtigt, dass das Bundesministerium des Innern [BMI] die aufsichtsführende Behörde über das BSI ist. Und dieses BMI ist Meister in spitzfindiger Ausdrucksweise, was sich an den Antworten des BMI auf Anfragen im Deutschen Bundestag leider immer wieder feststellen lässt. Wir haben schon in mehreren Beiträgen darauf hingewiesen [6] [7], dass verbale Kunstgebilde dazu verwendet werden, Antworten zu vermeiden und Fakten zu verschleiern. Diesen Kniff hat anscheinend auch das BSI angewandt bei der Formulierung der Anleitung für den Sicherheitstest, sowie der darauf folgenden, so genannten ‚Datenschutzerklärung‘:

Einverständniserklärung und “personenbezogene Daten“?!

Auf der Webseite für den Sicherheitstest gibt es einen kleinen Kasten. Dort soll der Anfrager die zu überprüfende Email-Adresse eintragen und dann die Überprüfung starten. Zuvor ist allerdings noch eine Einverständniserklärung abzugeben, indem man eine Box anklickt. Dort heißt es:

„Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen …. zur Durchführung des Tests und zur Missbrauchserkennung … erhoben, verarbeitet und genutzt werden …“

[Hervorhebungen/d. Verf.] Schon der erste Teilsatz irritiert: Denn (erstens) gibt der Anfrager dort lediglich eine Email-Adresse ein und nicht etwa seinen Namen. Diese Email-Adresse kann z.B. info@deutscher_buerger.de heißen. Eine solche Email-Adresse ist jedoch kein ‚personenbezogenes Datum‘, jedenfalls solange sie nicht mit einer konkret bestimmten Person verbunden ist. Seinen Namen muss man jedoch nicht eingeben.

Das BSI gibt im Begleittext zu seinem Sicherheitstest den interessanten Hinweis auf „gekaperte Rechner von Privatanwendern“. Man kann daraus schlussfolgern, dass Adressen der Form mark.mustermann@t-online.de besonders häufig in der Liste vorkommen. Die heute üblichen Kombination aus (vorname) und (nachname) sind natürlich ein starker Hinweis auf den Namen des Inhabers. Allerdings ist mit der Email-Adresse allein noch nicht bestimmbar, welche der u.U. diversen Personen namens Mark Mustermanns der tatsächliche Inhaber ist. Denn nach §3 BDSG handelt es sich bei personenbezogenen Daten um „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ . Was Juristen etwas ausführlicher zu diesem Thema sagen, ist hier [5] nachzulesen.

Nutzen des Sicherheitstests für das BSI

Nötig zur Bestimmbarkeit der Person des Inhabers einer Email-Adresse wäre also ein weiteres Datum und geeignet dafür ist die IP-Adresse. Sie fällt auch an im Rahmen der Durchführung des BSI-Sicherheitstests, wie es das BSI so bezeichnend formuliert. Mit Hilfe der IP-Adresse und deren Abfrage beim entsprechenden Provider wäre eine konkrete Person durchaus bestimmbar. Es ergäbe sich damit eine Zuordenbarkeit von der Email-Adresse zur IP-Adresse und von dort zur Person des Inhabers.

Ob das BSI einen Abgleich der IP-Adresse durchführt, ist unbekannt und wäre auch rechtlich ein erhebliches Problem, um es ganz zurückhaltend zu formulieren. Ebenso ist unbekannt, ob die BSI-Liste, u.U. auch nur in Teilen von Providern stammt, die über die Zuordnung von Email-Adresse zu konkreter Person ohnehin verfügen.

Dennoch liefert der Sicherheitstest für das BSI eine wertvolle Daten-Anreicherung: Denn für jede Email-Adresse, für die der Test durchgeführt wird, kommen zwei Informationen hinzu:

  1. Die Tatsache, dass die angefragte Email-Adresse aktuell verwendet wird und
  2. die IP-Adresse, von der aus die Anfrage erfolgte.

Keine personenbezogenen Daten – Datenschutzerklärung weckt den falschen Eindruck

Ohne die Zuordnung zu einer konkret bestimmten Person handelt es sich weder bei der Email-Adresse, noch bei der IP-Adresse um ein ‚personenbezogenes Datum‘. Auch beide zusammen erfüllen dieses Kriterium noch nicht, solange sie einer konkreten Person nicht zugeordnet sind. Das BSI kann durch den Sicherheitstest jedoch jede abgefragte Email-Adresse auf seiner Liste „abhaken“ als aktuell und ergänzen um die verwendete IP-Adresse. Und das alles, ohne in Konflikt mit dem Datenschutzgesetz zu kommen und indem man – dank geschickter Ausdrucksweise – den Eindruck erweckt, dass personenbezogene Daten nicht gespeichert werden bzw. bleiben.

Das BSI hat durch den Test auf jeden Fall gewonnen: Nämlich eine Liste von (nach aktuellem Stand) 22 Mio abgefragten Email-Adressen und den aktuell zugeordneten IP-Adressen. Man könnte dies als Beitrag zur Aktualisierung der Datenbasis zur Bestandsdatenauskunft auffassen. Überfällig ist allerdings die Frage, was das BSI mit diesen Email-/IP-Adress-Zuordnungen anfängt und an welche in- und ausländischen Organisationen diese Daten weitergegeben werden.

Nutzen für den Anfrager?!

Was der BSI-Sicherheitstest tatsächlich für den Anfrager bringt, ist nicht festzustellen: Denn ein Hinweis darauf, dass eine genutzte Email-Adresse auftaucht in einer Adressliste unbekannter Herkunft, die sich aktuell im Besitz des BSI befindet, erhöht die Sicherheit für den Anfrager nicht. Dass eine Email-Adresse gerne mal von Spammern missbraucht wird, weiß ohnehin jedermann und ist an Spam-Rückläufern im eigenen Postfach auch leicht zu erkennen. Dazu braucht man keinen BSI-Sicherheitstests. Mehr Sicherheit erreicht man, indem man verwendete Passwörter ändert: Auch dazu muss man nicht zuvor den BSI-Sicherheitstest nutzen. Die Zeit läßt sich sinnvoller verwenden, indem man für Online-Shops und soziale Netzwerke weitere Email-Konten anlegt, die nur diesen zugeordnet sind, wie dies z.B. der IT-Sicherheitsexperte Felix von Leitner alias Fefe auf seinem Blog [4] empfiehlt.

Ob der eigene Rechner von Malware infiziert ist, erfährt man durch Nutzung eines entsprechenden Schadsoftware-Scanprogramms. Auch dabei hilft einem also der BSI-Sicherheitstest nicht weiter.

Fazit?!

Aus meiner Sicht bleibt die erschreckende Erkenntnis, wie leicht es einem BSI gelingt, die Presse, egal wie groß oder klein die Redaktion ist, zu unreflektierter Wiedergabe wenig plausibler Sachverhalte zu bringen und wie leichtgläubig Millionen von Menschen in diesem Land dem Aufruf zu einem behördlichen ‚Test‘ folgen und dort ihre Daten abliefern, obwohl dieser Test augenscheinlich in keiner Weise geeignet ist zu halten, was er scheinbar verspricht: Sicherheit für den, der ihn nutzt.

Dringend geboten ist es, dass von einer vom BMI unabhängigen Instanz objektiv kontrolliert wird, wie das BSI mit den so erhobenen Daten verfährt, vom wem diese Daten genutzt bzw. an wen diese Daten weitergegeben werden. Und nicht zuletzt sollte das BSI endlich transparent darüber informieren, woher diese Daten eigentlich stammen, wie alt sie sind und wie sie erhoben wurden. Und worin das konkrete Risiko bzw. der Schaden tatsächlich bestehen.

Aktualisiert am 26.01.2014 um 07.43

__________________________________________________________________________________________________________________________________

Hinweis

Vor der letzten Änderung des BSI-Gesetzes im Jahr 2009 erhielt ich, im Rahmen einer Anhörung mehrere Sachverständiger durch den Innenausschuss des Deutschen Bundestages, die Gelegenheit, eine Stelllungnahme zum Gesetzentwurf abzugeben. Diese findet sich hier auf der Seite des Deutschen Bundestages, genauso wie die überwiegend ebenfalls kritischen Stellungnahmen anderer Gutachter, wie auch des damaligen Bundesdatenschutzbeauftragten, Peter Schaar. Die Kritik wandte sich gegen die umfassenden (und in der Öffentlichkeit weitgehend unbekannten) Befugnisse des BSI. Dessen ungeachtet wurde der Gesetzentwurf weitgehend unverändert verabschiedet.

Weitere Beiträge auf diesem Blog zum gleichen oder verwandten Thema

Die Rolle des BSI in der PRISM-Ausspähaffäre
Wirtschaftskrimi beim BND – ein Staatsgeheimnis? Praktische Beispiele für den Umgang der Bundesregierung mit Anfragen im Bundestag
Staatswohl oder Wohl der Regierung?! Über den Umgang der Bundesregierung mit Anfragen im Bundestag

Quellen zu diesem Beitrag

[1] Herbsttagung 2013 des Bundeskriminalamts
[2] Bundeslagebild Cybercrime 2012, Bundeskriminalamt
[3] BSI-Warnung, Fragen und Antworten zum Identitätsdiebstahl, Golem.de – IT-News für Profis vom 23.01.2014
[4] Fefes Blog vom 22.01.2014
[5] IT-Recht-Kanzlei: Was sind personenbezogene Daten u.a.
[6] Neues vom PIAV (4): Wieder mal viel heiße Luft, 12.01.2014
[7] Wirtschaftskrimi beim BND – ein Staatsgeheimnis?! Praktische Beispiele für den Umgang der Bundesregierung mit Anfragen im Deutschen Bundestag, 04.11.2013

Schlagworte: , , , , , , ,

Schreibe einen Kommentar