Offenbar ließ der Vorgang die Behörden damals weitgehend kalt. Als im Rahmen eines Strafverfahrens im August 2013 die auf IT-Straftaten spezialisierte zuständige Staatsanwaltschaft Verden/ Niedersachsen zufällig auf eine Datenbank mit insgesamt ca. 16 Millionen E-Mailadressen von E-Mailaccounts samt dazugehörigen Passwörtern stieß, informierte diese umgehend die zuständigen Behörden. Mindestens das Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden daraufhin informiert. Denn Staatsanwaltschaften sind ausschließlich mit der Durchführung der Strafverfolgung betraut. Sie haben weder Aufgaben noch Befugnisse, um zur Abwehr von Gefahren für die öffentliche Sicherheit tätig zu werden.
Dass es sich bei der sichergestellten Datenbank um eine entsprechende Gefahr für die öffentliche Sicherheit handelte, dürfte allen Beteiligten sofort klar gewesen sein. Denn für die einzelnen Betroffenen bedeuten die E-Mailzugangsdaten in den Händen unbefugter Dritter schlicht den Verlust ihrer Schlüssel für ihre Online-Beziehungen: mit den Accountdaten können sogar Einkäufe getätigt, Kommunikationen manipuliert und intimste Informationen und Kommunikationen zugänglich werden. Und die schiere Quantität der Datensätze dürfte zudem allen deutlich gemacht haben, dass womöglich auch kritische Infrastrukturen sowie die Regierungskommunikation betreffende Accounts betroffen waren.
Statt einer umgehenden Warnung der Betroffenen zur Ermöglichung von Selbstschutzmaßnahmen passierte schlicht…nichts. Dies ist damit der größte IT-Sicherheitsskandal bundesdeutscher Stellen seit dem Bekanntwerden der Snowden-Papiere. Noch ist unklar, ob und in welchem Umfang die Daten in den Monaten der Nichtbenachrichtigung der Betroffenen für konkrete Straftaten genutzt wurden.
Die Bemühungen des Parlaments, diesem Vorgang im Sinne des Gemeinwohls und auch der IT-Sicherheit auf den Grund zu gehen, wurden und werden massiv behindert: die bundesdeutsche Öffentlichkeit erfuhr überhaupt erst im Januar dieses Jahres (!) erstmalig vom Gesamtvorgang. Das BSI suggerierte, erst im Dezember im Wege der Amtshilfe mit dem Vorgang beauftragt worden zu sein. Es habe daraufhin Zeit gebraucht, um eine entsprechende Webdatenbankabfrage für die Betroffenen zu erstellen und mit dem Bundesbeauftragten für den Datenschutz abzustimmen.
Hier meine schriftliche Frage an die Bundesregierung vom 24. Januar 2014 im Wortlaut:
Zu welchem Zeitpunkt hatten welche Strafverfolgungsbehörden bzw. das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmalig Kenntnis von der Tatsache, dass offenbar mehrere Millionen E-Mail-Adressen und Passwörter von Nutzern deutscher Anbieter (Quellen) kompromittiert wurden, und aus welchen Gründen hat es die Bundesregierung angesichts der Dimension des Datendiebstahls nicht für angemessen gehalten, umgehend und nicht erst nach mehr als drei Wochen die Öffentlichkeit über den Vorgang zu informieren, auch um das Kompromittieren, weiterer Nutzerprofile zu unterbinden?
Die damalige Antwort der Bundesregierung lautete:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützte gemäß § 3 Absatz 1 Satz 2 Nummer 13 des Gesetzes über das Bundesamt für die Sicherheit in der Informationstechnik eine Landes-Strafverfolgungsbehörde in einem Ermittlungsverfahren. Die zuständige Staatsanwaltschaft übermittelte im August 2013 einen Datensatz mit ca. 600 Adressen aus der Bundesverwaltung
und 17 Adressen aus dem Bundestag über das Bundeskriminalamt an das BSI zur Analyse. Es handelte sich dabei um einen Ausschnitt aus dem Gesamtbestand. Das BSI informierte die zuständigen IT-Sicherheitsbeauftragten, die Kontakt zu den Betroffenen aufgenommen haben. In der Folge verdichteten sich für das BSI die Hinweise, dass es sich um eine größere Datenmenge handelt. Als das feststand, wurden Mitte September deshalb erste Gespräche zwischen dem BSI und den Ermittlungsbehörden über die Unterrichtung der Betroffenen geführt, die letztlich zur Freigabe der Daten durch die zuständige Staatsanwaltschaft am 19. Dezember 2013 führte. Um die laufenden Ermittlungen nicht zu gefährden, war hierüber Stillschweigen zu wahren.
Der Sicherheitstest des BSI wurde am 21. Januar 2014 veröffentlicht. Da die Daten aus einem laufenden Strafverfolgungsverfahren stammen, liegen sowohl Daten als auch Verfahren weiterhin in der Obhut der zuständigen Staatsanwaltschaft.
Um das laufende Verfahren zu schützen und auch der Sensibilität der gestohlenen digitalen Identitäten gerecht zu werden, war eine vertrauliche und sorgfältige Prüfung und Abstimmung mit der zuständigen Staatsanwaltschaft, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesministerium des Innern erforderlich.
Da es sich um die bisher umfangreichste Bürgerwarnung des BSI im Bereich der Internetsicherheit handelte, bedurfte die konzeptionelle Implementierung noch Sicherheits- und Funktionstests, wie sie auch in der Prüf- und Testkonzeption bei anderen sensiblen Softwareverfahren üblich sind. Auch eine entsprechende „Härtung“ gegen mögliche Cyberangriffe musste sichergestellt sein. Die hohe Anzahl an den ersten beiden Tagen nach der Veröffentlichung im Januar 2014 rechtfertigt das Vorgehen und die sorgfältige Vorbereitung.
Das Bundeskriminalamt (BKA) war seit August 2013 in allgemeiner Form über ein laufendes Ermittlungsverfahren auf Landesebene informiert. Die zuständige Strafverfolgungsbehörde setzte das BKA abstrakt und ohne Angaben zur Datenmenge über die erfolgte Sicherstellung von Daten und deren laufende Aufbereitung in Kenntnis. Im Januar 2014 unterrichtete die Strafverfolgungsbehörde das BKA über die geplante Warnung der Betroffenen durch das BSI. Kenntnis über den Umfang der betroffenen Daten erhielt das BKA am 17. Januar 2014. Die Bundespolizei und das Zollkriminalamt wurden erst durch die Veröffentlichung in den Medien informiert.
Nach einer Antwort der Bundesregierung auf eine weitere schriftliche Frage vom 3. Februar stellt sich jedoch heraus, dass sowohl das BSI als auch das BKA spätestens im September, wahrscheinlich jedoch sogar noch früher über den Gesamtumfang des Datenfundes informiert waren. Die Antwort versucht gezielt zu verschleiern, welche Behörden konkret über welchen Zeitraum offenbar gemeinsam versucht haben, sich auf eine Lösung im Umgang mit dem brisanten Datenfund zu verständigen.
Hier meine schriftliche Frage an die Bundesregierung vom 5. Februar 2014 im Wortlaut:
Zu welchen Zeitpunkt informierte das spätestens seit September 2013 (vgl. Antwort der Bundesregierung auf meine Schriftliche Frage 1/205) über die Gesamtsumme der von Millionen von Bundesbürgern kompromittierten Adressen vollständig informierte Bundesamt für Sicherheit in der Informationstechnik das federführende Bundesinnenministerium als zuständige Aufsichtsbehörde über diesen Vorgang und weshalb hat die Bundesregierung daraufhin nicht sogleich die Information der Öffentlichkeit über die kompromittierten E-Mail-Adressen von 16 Millionen Bundesbürgern veranlasst?
Die Antwort der Bundesregierung lautete:
Mit schriftlichem Bericht vom 9. Januar 2014 informierte das Bundesamt für Sicherheit in der Informationstechnik das Bundesministerium des Innern über das Vorhaben „E-Mail Warndienst“.
Klar ist nun also, dass die beteiligten Behörden mindestens vier Monate gebraucht haben, um sich auf eine Lösung im Umgang mit dem brisanten Datenfund zu verständigen. Eine solche Zeitdauer erscheint mit Blick auf die Interessen der Betroffenen mit nichts zu rechtfertigen. Vielmehr entsteht hier der Eindruck einer beispiellosen Behördenschlamperei.
Wenn es aber um die Gefahrenabwehr in einem Fall dieser einmaligen Dimension geht, und wenn mehrere Bundesbehörden beteiligt waren, die als nachgeordnete Fachbehörden der Fachaufsicht des Bundesinnenministeriums unterstehen, erscheint es gänzlich ausgeschlossen, dass die Hausleitung des Ministeriums nicht informiert wurde. Ein Unterlassen der Weitergabe der Information durch entweder das Bundeskriminalamt oder das Bundesamt für Sicherheit in der Informationstechnik an das Bundesinnenministerium würde vielmehr grundlegende Zweifel an der Einsatzfähigkeit beider Häuser als auch der Aufsicht durch den Bund begründen. Vielmehr halten wir es sogar für sehr wahrscheinlich, dass nicht nur umgehend der Bundesinnenminister, sondern auch das Gemeinsame Cyberabwehrzentrum sowie, im Wege der nachrichtendienstlichen Unterrichtung, auch das Bundeskanzleramt informiert wurde. Alles andere wäre der ungeheuren Dimension des Fundes keinesfalls gerecht geworden.
Es ist nicht nachvollziehbar, wie vor diesem Hintergrund dies Bundesregierung mit Taschenspielertricks weiterhin versucht, unserer eindeutig formulierten Frage nach der erstmaligen Kenntnisnahme und Befassung auszuweichen und bis heute keine schlüssige Chronologie dieses Vorganges vorgelegt hat. Wir verlangen deshalb die sofortige und vollständige Aufklärung der Hintergründe des Gesamtvorfalls. Auch Bauernoper reichen dafür nicht aus.
Der Vorfall wirft dringend zu klärende Fragen über Meldewege, Verantwortlichkeiten und verbesserungswürdige Prozesse auf. Es kann und darf nicht sein, dass in der Öffentlichkeit der Eindruck entsteht, dass ausgerechnet diejenigen staatlichen Stellen, die zur Gewährleistung der Sicherheit der Bürgerinnen und Bürger tätig sind, gemeinschaftlich und gezielt daran arbeiten könnten, die Aufklärung des Herganges zum Zweck der Verhinderung eines erneuten, vergleichbaren Zwischenfalles, zu verhindern.
Comments are closed