Bullshit statt Sicherheit in der Informationstechnologie

Sehr geehrte Dame, sehr geehrter Herr,

Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse forum (strich) xxxx (strich) kontakt (at) txxxxxi (punkt) de auf der Webseite www (punkt) sicherheitstest (punkt) bsi (punkt) de eingegeben und überprüft wurde.

Die von Ihnen angegebene E-Mail-Adresse forum (strich) xxxx (strich) kontakt (at) txxxxxi (punkt) de wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.

Um diesen Missbrauch zukünftig zu verhindern, empfiehlt das BSI die folgenden Schritte:

1. Überprüfen Sie Ihren eigenen Rechner sowie weitere Rechner, mit denen Sie ins Internet gehen, mittels eines gängigen Virenschutzprogramms auf Befall mit Schadsoftware.

2. Ändern Sie alle Passwörter, die Sie zur Anmeldung bei Online-Diensten nutzen.

3. Lesen Sie die weiteren Informationen hierzu unter www (punkt) sicherheitstest (punkt) bsi (punkt) de.

Diese E-Mail ist vom BSI signiert. Wie Sie die Signatur überprüfen können erfahren Sie auch unter www (punkt) sicherheitstest (punkt) bsi (punkt) de.

Mit freundlichen Grüßen
Ihr BSI-Sicherheitstest-Team

Vollzitat der E-Mail des Bundesamtes für Sicherheit in der Informationstechnik, wenn man eine E-Mail-Adresse zur Überprüfung eingegeben hat, die kompromittiert ist
Die Mailadresse ist im Zitat unkenntlich gemacht worden

Antwort in Form eines Offenen Briefes

Werte Mitarbeiter und Mitarbeiterinnen im BSI-Sicherheitstest-Team,

ich bin einmal mehr in meinem Leben froh, dass ich für jede erforderliche Registrierung bei einer Website eine Wegwerf-Mailadresse benutze — und dass ich mir angewöhnt habe, diese Wegwerfadressen so zu wählen, dass ich nach einem Datenleck auch weiß, von welcher Website oder welchem Anbieter dieses Datenleck ausgeht. Im Falle der E-Mail-Adresse, die ich euch zur Überprüfung gegeben habe, handelt es sich um eine Adresse, die ich nach einem Forenhack schon vor über einem Jahr wegen der darauf eingehenden Spam stillgelegt habe, und die ich kurz noch einmal aktiviert habe, um meinen Verdacht zu überprüfen, dass eure Datenbasis etwas windig sein könnte.

Hätte ich dieses Quäntchen Vorsicht nicht und hätte eine aktive und für mich persönlich wichtige E-Mail-Adresse angegeben, die sich ebenfalls in eurer windigen Datenbank befindet, dann wüsste ich nach eurer Mail und nach eurer schwafelig-nebulösen (und von etlichen Journalisten nochmals irreführend wiedergegebenen) Informationsarbeit in den Medien nichts. Ich wüsste insbesondere nicht, auf welchem Weg die Mailadresse (zusammen mit irgendwelchen Passwörtern, die irgendwie zu dieser Mailadresse gehören, ohne dass irgendetwas klar wäre) in die Hände der Kriminellen gekommen ist.

Ich würde womöglich sogar glauben, dass mein Computer von Schadsoftware befallen ist.

Ich würde dann jetzt damit beginnen, mich nach einem „gängigen Antivirusprogramm“ für mein verwendetes Linux umzuschauen, das mir bislang derartiges Schlangenöl erspart hat. BTW: Wie viel hat euch die Antivirus-Schlangenöl-Klitsche „Avira“ eigentlich dafür bezahlt, dass ihr Logo in diesem Kontext auf eurer Website aufgenommen wurde? Oder handelt es sich um eine Gefälligkeit auf noch windigerer Grundlage, wie dies in der Bimbesrepublik Deutschland leider auch immer mehr um sich greift?

Wenn ich ganz besonders vorsichtig wäre — das ist bei einem Befall mit Schadsoftware übrigens sehr zu empfehlen — würde ich sogar mein Betriebssystem neu installieren. Bis es wieder so liefe, dass es mir dient, zöge mindestens ein halber Tag ins Land.

Und ich würde damit anfangen, an ungefähr sechzig Stellen im Internet mein jeweils dort verwendetes Passwort zu ändern. Wie mir gesagt wurde, soll dies im Moment teilweise recht schwierig sein, weil populäre Freemail-Anbieter wie GMX unter der plötzlichen Flut derartiger Änderungen überlastet sind. Aber das mit der Überlastung versteht ihr ja selbst, denn eure eigene Website ist ja auch vom Netz gewesen, weil bei euch aus unverständlichen Gründen niemand damit gerechnet hat, dass eine derartige Meldung dazu führt, dass sich ein paar Millionen Menschen innerhalb weniger Stunden näher informieren möchten.

Und diese ganze Mühe käme über mein Leben, weil ich euren Standardtext ernst nähme, während in Wirklichkeit ein Webserver durch einen Crack kompromittiert wurde, auf dem ein Webforum lief, in dem ich mit einer Mailadresse registriert war. Dieser Angriff auf einen Webserver hat mit meinem Computer ungefähr so viel zu tun wie ein Pfund Mondgestein mit der Mandarine, die ich eben gerade gegessen habe. Er lässt sich auch nicht durch Antivirus-Schlangenöl auf meinem Rechner verhindern. Und ihr beim Bundesamt für Unsicherheiten in der Desinformationstechnik befindet es nicht für nötig, deutlich auf die Quelle dieser Daten hinzuweisen, sondern habt stattdessen so richtig laut tatütata auf den Alarmknopf gedrückt.

Könnt ihr euch vorstellen, wie inkompetent eurer Aufreten wirkt?

Könnt ihr euch vorstellen, was für Eindrücke eurer Auftreten bei anderen Menschen hinterlässt, die trotz eures schrillen Alarms noch ihre fünf Sinne beisammen haben und — lobenswerterweise — kurz nachdenken, bevor sie etwas im Internet machen?

Wenn ihr eine Vorstellung davon bekommen wollt, empfehle ich euch sehr, mal den zugehörigen Kommentarthread im Heise-Forum zu überfliegen. Falls ihr dafür keine Zeit habt, habe ich euch mal ein paar Anmerkungen herausgesucht: klick, klick, klick, klick, klick, klick und klick.

Fällt euch etwas auf?

Ja, eure schrille Aktion zusammen mit der Aufforderung, eine E-Mail-Adresse auf einer Webseite einzugeben — die übrigens wegen akutem Hirnrisses zum Absenden der eingegebenen Mailadresse über eine HTML-<form> nicht auf den guten alten <input type="submit"> setzt, sondern unnötigerweise auf JavaScript, also von Nutzern eine Lockerung von Sicherheitseinstellungen ihres Browsers ohne dafür vorliegenden technischen Grund verlangt — führt dazu, dass Verschwörungstheorien aufkommen, dass es in Wirklichkeit darum gehe, über eine Behörde der Bundesrepublik Deutschland eine Zuordnung von aktiv genutzten E-Mail-Adressen zu temporären IP-Adressen herzustellen, die wenigstens theoretisch in Zusammenarbeit mit den großen Zugangsprovidern eine Deanonymisierung von Mailadressen ermöglichte. Man könnte eure Aktion natürlich auch für unausgegoren, übereilt und gnadenlos dumm halten, aber angesichts der monströs gewordenen staatlichen Überwachung des Internet stellt sich schon die Frage, ob derartigen Verschwörungstheorien eine Verschwörungspraxis auf eurer Seite gegenübersteht. Natürlich könnt ihr das dementieren. Glauben werden es euch viele Menschen nicht mehr. Nach Ronald „Beender“ Pofalla führt ein solches Dementi stattdessen zu spontaner Heiterkeit. Ihr habt… entschuldigt bitte den etwas unsachlichen Tonfall… als eine Behörde der Bundesrepublik Deutschland längst bei vielen Menschen verschissen, wenn es um ihre Privatsphäre geht.

Und ihr verspielt gerade das letzte Vertrauen in der Bevölkerung. Wegen einer für Betroffene objektiv nutzlosen Aktion, die ihr mit einem erschütternden Mangel an wirklicher Information, unzureichend dimensionierter Technik und ausgesprochen schrillen Alarmtönen kombiniert. Eure künftigen Warnungen und Presseerklärungen werden nicht mehr so ernst genommen werden, wie es dann vielleicht angemessen wäre.

Nur, um es euch mal kurz gesagt zu haben.

Euer euren heutigen Bullshit „genießender“
Nachtwächter

PS: Gruß auch an den Bundesdatenautobahnminister Dobrindt!

Nachtrag, 23. Januar 2014, 14:00 Uhr

Zu welchen Überreaktionen die Fehl- und Desinformationskampagne des BSI bezüglich der Herkunft der vorliegenden Mailadressen führen kann, ist recht anschaulich von einer Redakteurin der Berliner Zeitung beschrieben worden, der vermutlich ein ganzer Tag von… sorry, BSI, aber was ihr macht, verdient die Deftigkeit des Wortes… dieser Scheiße versaut wurde — und am Ende bleibt doch nur die Frucht des Nichtwissens:

Aber das Gefühl, nicht zu wissen, wofür meine Daten vielleicht verwendet werden sollen, lässt mich hilflos zurück und wird mich auch noch in Zukunft sorgen

Derartiges geschah gestern und geschieht heute hunderttausendfach. Weil bei Forenhacks und Datenlecks kommerzieller Webanbieter Kombinationen aus Mailadresse und möglicherweise Passwort (das wird bislang nur vom BSI behauptet, und das BSI behauptet so einiges, wie sich weiter oben lesen lässt) eingesammelt wurden und in einer Botnetz-Software für verteilte Angriffe auf irgendwas benutzt wurden — also mutmaßlich auf Twitter, Facebook, Ebay, in diversen Shops etc. einfach als Login-Daten durchprobiert wurden. Oder auch einfach nur ungenutzt herumliegen. Die unfassbar schlechte Informationspolitik des BSI verursachte gestern, verursacht heute und wird morgen einen recht erheblichen wirtschaftlichen Schaden verursachen. Für nichts. Nicht einmal für einen nennenswerten Zuwachs an Computersicherheit. Die durch das mediale Interesse äußerst günstige Gelegenheit, an dieser Stelle deutlich und unmissverständlich darauf hinzuweisen, dass für jeden Dienst im Internet ein anderes Passwort verwendet werden sollte, um die Folgen eines „Hacks“ zu minimieren, hat das BSI genau so verstreichen lassen wie es die eigentliche Aktion verpatzt hat.

Da ich in den Kommentaren zu diesem Text wegen dieses Textes schon aus mir nicht weiter nachvollziehbaren Gründen ein „Fefe-Jünger“ gerufen werde, verlinke ich auch gern den standesgemäß Popcorn-trächtigen Eintrag in Fefes Blog — mit einem kleinen Teller magentafarbener Buchstabensuppe. Guten Appetit! 😀

Nachtrag 25. Januar, 0:15 Uhr:

Nicht jede E-Mail-Warnung des Bundesamts für Sicherheit in der Informationstechnik lässt auf einen geknackten Online-Zugang schließen. Laut BSI könnte der Datenberg „fiktive“ Adressen enthalten, und die sogar mehrfach […]

Die behördliche E-Mail mit der entsprechenden Warnung ist bei diversen von der iX-Redaktion eingerichteten Freemailer-Adressen eingegangen, die lediglich dem Einsammeln von Spam dienen, darunter bei web.de und freenet […] Von einem Identitätsdiebstahl kann in diesen Fällen keine Rede sein, denn die iX setzt die Spamfallen rein passiv ein und niemals als Benutzernamen für Online-Dienste

Heise Online — Millionenfacher Identitätsklau: „Fiktive“ Mail-Adressen in BSI-Sammlung

Bitte dort weiterlesen. Und keine harten Gegenstände in Kopfnähe, wegen der Verletzungsgefahr.

Nachtrag 2. Februar 2014: Niemand sage, dass Bundesamt für Blah im Blah hätte nicht genügend Zeit gehabt, diese Aktion vorzubereiten! Die saßen seit August 2013 auf den Daten, und sie haben es die ganzen Monate nicht für nötig befunden, jemanden über die „Gefahren“ zu informieren. Dass es den Spezialexperten nicht gelungen ist, binnen eines halben Jahres eine skalierbare und an dem nach Presseerklärung und Tagesschau-Meldung erwartungsgemäßen Andrang angepasste Prüfseite zu bauen, spricht Bände! Diese Prüfseite hätte ja — anders, als sagen wir einmal: die Website von Heise Online — nur einen einzigen Anwendungsfall gehabt: Überprüfen, ob eine eingebene Mailadresse in einer Datenbank enthalten ist.

Nachdem jetzt mit konstantem Tatütata-Ton heraustrompetet wird, dass sogar Mailadressen von Bundesbehörden in dieser ominösen Liste (siehe oben) aufscheinen, erwarte ich den reflexhaften Speichelfluss der pawlowschen Hunde bei Polizeien, Geheimdiensten und Innenministerien, dass jetzt ja unbedingt stärker anlasslos überwacht werden muss und eine so genannte „Vorratsdatenspeicherung“ unerlässlich geworden ist. Der naheliegende Verdacht, dass es sich um eine gezielte Inszenierung handelt, wird dabei natürlich zu den „Verschwörungstheorien“ gerechnet werden.

22. Januar 2014 | Kategorien: Offener Brief, Sonstige Organisationen | Tags: BSI | 15 Kommentare