News

BSI versagt bei Umgang mit E-Mail-Botnet

Das BSI weiß bereits seit Dezember vergangenen Jahres von einem Botnet, das rund 16 Millionen E-Mail-Konten infiltriert hat, warnt die Bevölkerung jedoch erst jetzt. Außerdem kritisieren IT-Experten das Verfahren, mit dem Bürger ihre E-Mail-Konten kontrollieren können als nicht besonders aussagekräftig.

Am Montag gab das Bundesamt für Sicherheit und Informationstechnik (BSI) bekannt, dass ein Botnet rund 16 Millionen E-Mail-Konten infiltriert hatte. Das vom BSI gewählte Verfahren zur Kontrolle, ob die eigene E-Mail-Adressen infiziert ist, wurde von IT-Experten jedoch heftig kritisiert.

Gibt man seine E-Mail-Adresse auf der Webseite des BSI an, erhält man einen Code. Ist das Konto vom Botnet infiziert, versendet das BSI eine signierte E-Mail an diese Adresse, bei der der Code in der Betreffzeile steht. Die Signatur bestätigt, dass diese E-Mail definitiv vom BSI verschickt wurde. Ist das Konto nicht infiziert, verschickt das Bundesamt keine E-Mail.

Linktipp – De-Mail: BSI wählt unsichere Methode zum Verschicken von Passfotos

Allerdings ist nur die positive Bestätigung via E-Mail, dass diese E-Mail-Adresse im Datensatz des Botnets auftaucht, aussagekräftig. Der Umkehrschluss gilt nicht. Denn durch die Kontaminierung des E-Mail-Kontos könnte die BSI-Mail nicht im Posteingang auftauchen, sondern direkt bei Eingang gelöscht werden. Sollte man keine E-Mail erhalten bedeutet das also nicht, dass das Konto sauber ist.

BSI verschleppt Warnung um einen Monat

Wie am Dienstag bekannt wurde, besitzt das BSI den Datensatz mit allen 16 Millionen von einem Botnet kontaminierten E-Mail-Konten schon seit Dezember 2013. Nach Aussage des Bundesamtes hat es jedoch rund einen Monat benötigt, um die Webseite aufzubauen, über die Bürger ihre E-Mail-Adresse kontrollieren können.

Die Webseite sollte in erster Linie zwei Anforderungen entsprechen: Die E-Mail-Adressen sollten nicht öffentlich werden und die Seite durfte von einem Ansturm nicht überlastet werden. Letzteres ist dem BSI nicht gelungen. Bereits am Montag Nachmittag, nur wenige Stunden nach der Veröffentlichung der Webseite, brach sie aufgrund zu vieler Anfragen zusammen.

Mehr zum Thema
zur Startseite