Bisher war das BSI in meinen Augen eher unaufällig. Doch heute änderte sich das schlagartig:

Auf allen Kanälen dröhnt, dass das BSI eine riesige Identitätsklauwelle bemerkt habe und man möge ganz schnell prüfen, ob auch die eigene eMail-Adresse sammt Passwort von einem ominösen Bot-Netz geklaut wurden.

Dem Bundesamt für Sicherheit in der Informationstechnik wurden von Forschern und Strafverfolgern Daten übergeben, die auf millionenfachen Identitätsdiebstahl hinweisen. Insgesamt sollen 16 Millionen digitale Identitäten betroffen sein. Nutzer können auf einer vom BSI eingerichteten Webseite überprüfen, ob sie betroffen sind.

Ich kann den Wert von gültigen Postfächern einschätzen. Und dabei geht es keineswegs um Spam, denn wer Zugriff auf Mails hat, hat mehr Möglichkeiten als eine SPAM-Schleuder zu bauen. Und trotzdem stinkt hier irgendwas:

Wenn es ein solches Botnetz gibt, müsste man den Menschen mitteilen, welche Betriebssysteme und Geräte betroffen sind: mein Windows-PC, Linux, MacOS oder doch Android / iOS auf meinem Smartphone? Weiß ich das nicht, weiß ich nicht wo ich Gegenmaßnahmen ansetzen soll.

Woher kommt die Datenbank im Klartext? In der Presse liest man von „Sicherheitsbehörden und Forschern“. Aber haben die ernsthaft einen Klartext-Dump gefunden? Ist das Botnetz noch aktiv?

Die Aufforderung, seine Mailadresse zu prüfen greift viel zu kurz. Denn nur das Ändern des Mailpassworts hilft kaum weiter. Es müssen mehr Infos her. Zum Beispiel auch, welche Virenscanner-Signaturdateien den Schädling schon finden können. Oder ob die Kommunikation über bestimmte (blockbare) Ports läuft. Oder oder oder.

Mit den spärlichen Infos durch das BSI wird eine große Unsicherheit geschürt und einer Panik Vorschub geleistet wie sie entsteht, wenn Menschen Angst vor abstrakter Bedrohung haben.

Damit erweist das BSI sich und uns einen Bärendienst.