Bislang mag vielen Deutschen gar nicht aufgefallen sein, dass es ein Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, überhaupt gibt. Am Dienstag nun hat das Amt mit einer Warnung bei vielen Deutschen Unruhe und Überforderung ausgelöst. Der Grund: 16 Millionen E-Mail-Adressen samt Passwörtern sind von Ermittlern in einem Botnet gefunden worden, also einem Netzwerk aus Rechnern, die mit Schadsoftware infiziert wurden.
Mehr als 12,6 Millionen Internet-Nutzer in Deutschland haben daraufhin das Amt über ein Online-Formular bis Mittwochmittag gebeten zu überprüfen, ob die eigene E-Mail-Adresse in diesem Datensatz auftaucht. Das Amt hat für solche Anfragen die Website sicherheitstest.bsi.de eingerichtet. Bis dato liege die Zahl der betroffenen Adressen bei 884 000, sagte BSI-Präsident Michael Hange am Mittwochmittag bei einer Konferenz zur Cybersicherheit in Berlin.
Das BSI verfügte bereits seit Dezember über die Daten. Die späte Reaktion war auf heftige Kritik gestoßen, sei aber unumgänglich gewesen, sagte Hange. Denn es habe Wochen gedauert, die Test-Website zu programmieren und Datenschutzfragen zu klären. Innenminister Thomas de Maizière sprach von einer "vorzüglichen Aktion" des BSI. Um die laufenden Ermittlungen gegen die Täter nicht zu gefährden, sei die Öffentlichkeit jetzt erst informiert worden.
Die Behörde gab am Mittwoch weitere Details bekannt. Betroffen seien acht Millionen deutsche Benutzerkonten und acht Millionen ausländische. Es handele sich um einen Angriff von Kriminellen, die versuchten, Rechner unter Kontrolle zu bringen, sagte Hange. Bei einer Million Computern sei dies offenbar gelungen.
Die Nachricht des BSI hat zwei Komponenten. Erstens, die Daten wurden in einem Botnet gefunden, also auf Rechnern, die mit Schadsoftware infiziert sind. Das kann passieren, wenn man etwa einen E-Mail-Anhang öffnet - mit dem Klick installiert sich unbemerkt eine kleine Datei auf der Festplatte, und der Rechner kann ferngesteuert werden.
Dabei kann es passieren, dass die Schadsoftware die Tastaturanschläge protokolliert und das Passwort abfängt. Der zweite Teil der Nachricht betrifft die 16 Millionen Adressen. Mit der Kombination aus E-Mail und Passwort kann man sich einloggen - die Frage ist nur, wo. Das dürfte stark variieren: von sozialen Netzwerken über Online-Shops bis hin zu tatsächlichen E-Mail-Accounts.
Die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, sagte in Berlin: "Wir müssen damit rechnen, dass wir in Zukunft öfter solche Vorfälle haben werden." Sie kündigte an, die Regierung wolle die Kapazitäten deutscher Sicherheitsbehörden im Kampf gegen Cyberangriffe ausbauen.