Superbehörde BSI Das war der Crashtest für den Ernstfall

Welche Medizin hilft gegen einen Cyberangriff. Der Umgang mit dem Diebstahl von 16 Millionen Mail-Adressen und Passwörtern zeigt, dass die Behörde auf den Ernstfall noch nicht vorbereitet ist.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa
Abhörskandal Quelle: dpa
iOS-Kundendaten geklaut Quelle: dpa
Hacker mit Staatsauftrag Quelle: dpa
Hacker Quelle: dpa
Der Sony-Hack Quelle: dpa
Mastercard und Visa Quelle: dpa
Estlands Computer außer Gefecht Quelle: dpa
ILOVEYOU-Virus Quelle: REUTERS
Der berühmteste Hacker des 20. Jahrhunderts Quelle: dpa

Für Avira, dem im schwäbischen Tettnang ansässigen Hersteller von Virenschutzprogrammen, war es wie ein Ritterschlag. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt nach dem Diebstahl von 16 Millionen Mail-Adressen und Passwörtern alle Deutschen, einen Sicherheitscheck ihres PCs vorzunehmen. Und das beste Produkt für einen Schnelltest, suggeriert die Behörde in den Sicherheitsempfehlungen auf ihrer Web-Seite, ist der kostenlose PC-Cleaner von Avira. 12,6 Millionen Bürger schafften es bis gestern Abend trotz zwischenzeitlicher Überlastung der Server, den Sicherheitstest zu starten. Bei 884.000 eingegebenen Mailadressen schlug der Sicherheitstest tatsächlich Alarm. Die Internet-Konten wurden geknackt. Die Nutzer müssen jetzt alle Passwörter ändern.


Avira, einer der erfolgreichsten Anbieter von Security-Programmen in den vergangenen Jahren, kann sich über so viel kostenlose Promotion richtig freuen. So prominent auf einer Web-Seite des BSI platziert, das hat selten ein Anbieter geschafft. Erst ein paar Klicks weiter erfährt der besorgte Bürger, dass es auch zwei weitere Anbieter von Virenschutzprogrammen gibt, die das BSI empfiehlt – die in Prag ansässige Firma avast! und die US-amerikanische AVG. Warum diese Produkte besser sind als andere, das erfährt der Bürger allerdings nicht.

Fest steht aber: Das BSI wächst zunehmend in die Rolle des Marktmachers. Erst gestern kündige die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, an, dass das Bonner Bundesamt bei der Aufklärung von Cyberangriffen und –gefahren noch mehr Kompetenzen bekommen soll. Das Budget wird erhöht und das Personal aufgestockt, damit das BSI Cyberangriffe abblocken und die Privatsphäre der Bürger besser schützen kann. „Ich rechne damit, dass wir künftig öfter solche Vorfälle erleben“, sagte Rogall-Grothe auf einer Veranstaltung der Bundesakademie für Sicherheitspolitik in Berlin. Das BSI soll deshalb nicht nur warnen, sondern auch praktische Hilfe an die Hand geben. „Wir dürfen die Bürger bei Straftaten und Vorfällen nicht im Stich lassen.“ Er soll alle erforderlichen Informationen bekommen, um sich selbst schützen zu können.


Für die Behörde deutet sich damit ein Paradigmenwechsel an. Bisher konzentrierte sich das BSI darauf, Schwachstellen in Hard- und Software zu veröffentlichen und Zertifikate für besonders sichere Produkte auszustellen. Wer den teuren und zum Teil recht mühseligen Zertifizierungsprozess übersteht, der kann auf zusätzliche Aufträge aus dem In- und Ausland hoffen. Der internationale Ruf der Behörde ist so gut, dass auch die privaten und öffentlichen Auftraggeber in anderen Ländern dem Urteil des BSI vertrauen. Doch für den Bürger sind die meist recht kryptisch anmutenden Zertifizierungsklassen schwer durchschaubar. Eine übersichtliche Einstufung für sichere und hochsichere, aber leicht zu installierende und bedienende Hard- und Softwarelösungen, kann die Behörde nicht liefern.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Verständliche Aufklärung über die Vor- und Nachteile aller empfehlenswerten Sicherheitsprodukte - das wäre der nächste Schritt auf dem Weg zu einer bürgernahen Sicherheitsbehörde, deren Urteil immer wichtiger wird.
Auch die Zusammenarbeit mit der Internetwirtschaft ist längst noch nicht optimal. Der Verband der deutschen Internetwirtschaft (Eco) wundert sich jedenfalls, dass ihre zusammen mit dem BSI ins Leben gerufene Initiative „botfrei“ bei der Aufklärung des Datendiebstahls nicht einbezogen wurde. „Wir sind zur Kooperation bereit“, heißt es beim Eco. Einen abgestimmten Alarm, wer welche Aufgaben im Ernstfall übernimmt, scheint es bis dato nicht zu geben.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%