Was taugt der Sicherheitstest vom BSI?

Die Medien berichten seit Tagen von gekaperten E-Mail Konten und gehakten Datenbanken, 18 Millionen deutsche Staatsbürger seien betroffen und niemand weiß wen es trifft und wieso. Was haben also diese 18 Millionen Nutzer falsch gemacht? Haben sie den falschen E-Mail Anbieter, den falschen Internetanbieter oder sind sie gar selbst an dem Problem Schuld indem sie sich auf den falschen Webseiten registriert haben? Wenn es diese 18 Millionen Betroffenen wirklich gibt, dann ist der Sicherheitstest vom BSI eine super Einrichtung um die Betroffenen ausfindig zu machen. Der Sicherheitstest braucht nur kurz die E-Mail Adresse des verängstigten Staatsbürgers und schon kann getestet werden ob die Adresse betroffen ist.

Das Verfahren sieht doch sehr nach Phishing aus! „Geben Sie hier ihre E-Mail Adresse ein und wir testen für sie“… und wenn die Adresse nicht befallen ist, was ist dann? Das System hat etwas von der „Selbstanzeige“ á la Steuer-CD, denn jeder verängstigte deutsche Mitbürger tippt ahnungslos seine E-Mail Adresse ein und hofft nicht betroffen zu sein, am anderen Ende der Leitung bekommt das BSI eine bestätigte E-Mail Adresse zu welcher nun nur noch die Person fehlt, allerdings kann man sich sicher sein dass die Adresse genutzt wird, ansonsten wäre sie wohl kaum so wichtig, dass jemand sie testen lässt.

Vor allem das Verfahren ist komplett falsch und macht die Seite verdächtig. Warum muss ich meine E-Mail Adresse überhaupt eingeben? Wenn getestet werden soll wer betroffen ist, muss dem BSI sowieso eine E-Mail Adresse vorliegen, ansonsten kann kein Abgleich stattfinden. Man könnte also genau so gut hergehen und die Betroffenen per E-Mail auf ihr Schicksal aufmerksam machen. Die AGBs zur Seite sind ebenfalls bemerkenswert:

„Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze.“

Im Klartext steht dort quasi, dass mit den Daten die auf der Webseite landen alles angestellt werden darf und dass keine Daten von anderen eingegeben werden dürfen. Wäre auch blöd wenn man seine ganze Freunde, die Familie und Co. an einem Rechner testet, dann könnte das BSI ja nicht mehr verfolgen wer wo wohnt und seinen Anschluss hat, denn zusätzlich zur E-Mail (welche eingegeben werden muss) werden im Hintergrund noch sehr viel mehr Daten „erhoben“, darunter mit Sicherheit auch die IP-Adresse und ein Timestamp, mit welchen ein Amt im Handumdrehen den anfragenden Rechner zurückverfolgen kann. Langsam aber sicher vervollständigt sich so das Bild vom Nutzer der E-Mail Adresse.

Was auch immer der intransparente Test tut, er wird dem BSI vor allem Daten einbringen und das ohne große Mühe. Wer etwas tun möchte um der großen – 18 Millionen Nutzer betreffenden – Hackerattacke zu strotzen, der kann und sollte sein Passwort einfach so ändern, ohne dazu eine E-Mail vom BSI bekommen zu haben.

 

Felix

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.