Das Bundesamt für Sicherheit in der Informationstechnik sitzt also auf einem Berg geklauter Zugangsdaten und lässt uns alle daran teilhaben – 16 Millionen "digitale Identitäten" sind betroffen. Freilich kann das BSI den Identitätsklau nicht rückgängig machen, aber immerhin verrät es auf Anfrage, ob sich eine bestimmte unter dem sichergestellten Diebesgut befindet. Auch wenn Bundesinnenminister Thomas de Maizière das für eine "vorzügliche Aktion" hält, bleibt fragwürdig, ob das BSI damit sich und den Opfern einen Gefallen getan hat.

Während sich die Nachricht von dem millionenfachen Datenklau über die Medien wie ein Lauffeuer verbreitete, zeigte sich, dass das BSI das öffentliche Interesse – und die daraus resultierenden Anforderungen an die Infrastruktur – hoffnungslos unterschätzt hatte. Wer, aufgescheucht durch Funk und Fernsehen, die eigens eingerichtete Prüfseite des BSI aufrief, wurde oft nicht bedient, da die Server unter der Last der Anfragen zusammenbrachen.

Wer sich dann schließlich doch durchgekämpft hat, muss einwilligen, dass seine bei der Prüfung anfallenden personenbezogenen Daten "erhoben, verarbeitet und genutzt werden dürfen" – auf den Datenklau folgt die Datenspende. Auch danach ist noch kein Entwarnung in Sicht. Entwarnung stand so nämlich gar nicht im Konzept des BSI. Rückmeldung bekommt nur, wer betroffen ist – und das per Mail.

Ein Kommentar von Ronald Eikenberg Ronald Eikenberg arbeitet seit 2008 bei heise. Er hat sein Hobby zum Beruf gemacht und schreibt als Redakteur für c't und heise Security. Auch der Hardware-Hackerei ist er nicht abgeneigt.

Auf die Eingabe der zur prüfenden Mail-Adresse folgt also das große Warten. Wenn keine Mail kommt, gibt es zwei Möglichkeiten: Entweder ist der Nutzer nicht betroffen oder die Mail ist irgendwo auf der Strecke geblieben. Allein das Ausbleiben einer Mail ist nicht geeignet, Entwarnung zu geben, weil es sehr viele Gründe geben kann, warum eine Mail nicht ankommt.

Wer die Pferde scheu macht, der muss sie auch wieder beruhigen. Angemessen wäre, dem Nutzer in jedem Fall eine Rückmeldung zu geben. Vor allem auch dann, wenn alles im grünen Bereich ist. Soll sichergestellt werden, dass nur der Inhaber einer Mail-Adresse diese auch überprüfen kann, dann wird ein zweistufiges System gewählt. Im ersten Schritt schickt der Nutzer einen Verifizierungs-Code an die eingetippte Adresse, die er dann im zweiten Schritt eingeben muss. So einfach kann das sein.

Wer den heise-Ticker verfolgt, der weiß, dass solche Datenmengen immer mal wieder irgendwo kopiert werden oder auftauchen. Ich bin gespannt, wie das BSI mit dem nächsten Fall umgeht. Werden wir jetzt jeden Monat zum Selbsttest geladen? Nach Aussage der IT-Beauftragten der Bundesregierung, Cornelia Rogall-Grothe, müssen wir "damit rechnen, dass wir in Zukunft öfter solche Vorfälle haben werden". Die Kapazitäten des BSI sollen immerhin ausgebaut werden. (rei)