18 Millionen Zugangsdaten und drei Monate später. Auch im zweiten Anlauf sorgt der Passwort-Test des BSI vor allem für zwei Dinge: Verwirrung und Raum für Verbesserungen.
Als hätte ich es geahnt, lädt das BSI die Bürger der Bundesrepublik Deutschland erneut zum Passwort-Selbsttest. Okay, es ist nicht nur ein Monat vergangen, sondern drei. Man sollte meinen, dass diese Zeit ausreicht, um das viel kritisierte Verfahren zu verbessern. Und ja, tatsächlich hat sich etwas getan. Allerdings hat das BSI die Kritikpunkte nicht aus dem Weg geräumt, sondern neue geschaffen.
So hat sich das Bundesamt etwa dazu herabgelassen, die Mail-Adressen in einigen Fällen an die entsprechenden Provider durch zu reichen, damit diese ihre Kunden informieren können. Angeblich können so bereits 70 Prozent der Betroffenen informiert werden – allerdings nicht 70 Prozent von den 18 Millionen, sondern von drei Millionen, die eine Mail-Adresse bei den eindeutig aus Deutschland stammenden, kooperierenden Providern wie etwa der Deutschen Telekom, GMX oder Vodafone haben.
Informieren ja, aber nicht alle
Während einige Provider in ihren Pressemitteilungen stolz verkünden, dass sie mit "nur" 80.000 Opfern eigentlich ja fast gar nicht betroffen sind, regen sich Mitbewerber, deren Opferzahlen noch kleiner sind, mit Recht auf: Die dürfen nämlich gar nicht mitspielen. Wer mit weniger als 20.000 Mail-Adressen in den entdeckten Datenhaufen vertreten ist, dem händigt das BSI keine Adressen aus. Die betroffenen Provider, insbesondere kleine Anbieter, haben derzeit keine Möglichkeit, ihre Kunden gezielt zu warnen oder zu schützen.
Unklar ist auch noch, was mit den – wahrscheinlich zahlreichen – Gmail-Kunden ist. Das BSI erklärte lediglich, dass man auch "andere Provider kontaktiert und um Mitwirkung gebeten" habe, aber "unterschiedliche verfahrenstechnische Vorstellungen" und "abweichende Auffassungen" in puncto Datenschutz ein Zusammenkommen verhindert haben. Ja, das klingt ganz nach Google. Der Suchmaschinenriese hat sich hierzu bislang nicht geäußert.
Bei den teilnehmenden Providern sind die durchgeführten Maßnahmen indes fragwürdig: Die betroffenen Kunden werden informiert – und zwar per Mail. Das ist insofern ungeschickt, als dass man derzeit davon ausgehen muss, dass der Mail-Account des Betroffenen kompromittiert wurde. Ein Angreifer, der Zugriff auf das Konto hat, kann die Warn-Mail also löschen, noch bevor das Opfer sie liest und in heller Aufregung alle Passwörter ändert. GMX und Web.de gehen sogar so weit, die Konten zu sperren – ohne so ganz genau zu wissen, ob sie überhaupt betroffen sind.
Sicherheitstipps für Gedächtniskünstler
Und diejenigen, die informiert werden, können mit dieser Information eigentlich nichts anfangen. Denn welches ihrer Passwörter betroffen ist, verrät ihnen das BSI nicht. Und es macht ja durchaus einen Unterschied, ob der Login für irgendein Chat-Forum betroffen ist oder der Paypal-Account. Der zentrale Ratschlag des BSI lautet, sämtliche Passwörter zu ändern, wenn man betroffen ist. Erinnern Sie sich noch an alle Dienste, bei denen Sie sich mit einer bestimmten Mail-Adresse im Laufe der vergangenen Jahre registriert haben? Ich nicht.
Und wenn man die zum Ändern der Passwörter nötige Zeit einmal überschlägt, kommt man auf ungefähr auf 100.000 Mannjahre, die draufgehen, wenn alle potenziellen Opfer dem Ratschlag folgen. Man könnte meinen, dass das BSI deshalb wenigstens ein paar Tage investiert, um die Daten zuzuordnen und den betroffenen Bürgern diesen Passwort-GAU zu ersparen. Fehlanzeige, denn "das BSI ist keine Ermittlungs- oder Strafverfolgungsbehörde", erklärte das Bundesamt gegenüber heise Security. "Zudem sieht man einer E-Mail-Adresse nicht an, für welche Dienste sie benutzt wird", so das BSI weiter. Dass man solche Datensätze mit öffentlichen Leaks vergleichen kann und sich Domain-Besitzer darüber hinaus gerne mal mit dienstname@domain.de registrieren, hat sich offenbar noch nicht rumgesprochen.
Betroffenen kann man derzeit nur raten, in den gelben Seiten Ausschau nach einem guten Hypnotiseur zu halten. Neben Rückführungen in frühere Leben dürften diese schon bald anbieten, Erinnerungen an vergessen geglaubte Foren-Registrierungen zu aktivieren. Mit dem Rabattcode "BSI" ist die erste Stunde kostenlos.
(rei)