Schild vor dem Gebäude des Bundesamtes für Sicherheit in der Informationstechnik (BSI) | Bildquelle: dpa

Nach Datendiebstahl BSI nimmt Aussage zurück

Stand: 05.01.2019 18:04 Uhr

Zuerst hatte das Bundesamt für IT-Sicherheit erklärt, über den am Freitag bekannt gewordenen Datendiebstahl schon seit Dezember informiert gewesen zu sein - und erntete heftige Kritik. Nun nimmt es diese Aussage wieder zurück.

Nach heftiger Kritik an der Informationspolitik des Bundesamts für Sicherheit in der Informationstechnologie (BSI) im Fall der massenweisen Veröffentlichung privater Daten stellt die Behörde ihr Vorgehen nun anders dar.

Die Behörde sei Anfang Dezember nur von einem einzigen Bundestagsmitglied über fragwürdige Bewegungen auf dessen E-Mail- und Social-Media-Accounts informiert worden, erklärte sie am Nachmittag. "Zu diesem Zeitpunkt gingen alle Beteiligten von einem Einzelfall aus." Ein Zusammenhang zur Gesamtheit der gestohlenen Daten sei erst jetzt im Nachhinein festgestellt worden.

Diskussion über Konsequenzen nach Datendiebstahl
tagesschau 20:00 Uhr, 05.01.2019, Volker Schwenck, ARD Berlin

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

"Keine Kenntnis" über Zusammenhänge

Am Donnerstagabend war bekannt geworden, dass ein Unbekannter über ein Twitter-Konto im Dezember massenweise persönliche Daten veröffentlicht hatte, darunter Handynummern und private Chat-Protokolle. BSI-Präsident Arne Schönbohm hatte dazu zunächst gesagt, seine Behörde habe "schon sehr frühzeitig im Dezember auch schon mit einzelnen Abgeordneten, die hiervon betroffen waren, dementsprechend gesprochen". Außerdem seien auch Gegenmaßnahmen eingeleitet worden. Unter anderem sei ein Spezialteam für Hilfestellungen (Mobile Incident Response Team) zu Betroffenen geschickt worden.

Am Tag darauf erklärte das BSI nun aber, von einer geplanten oder erfolgten Veröffentlichung der gestohlenen Daten im Zusammenhang mit dem Twitter-Nutzer Orbit habe es bis zur Nacht zu Freitag "keine Kenntnis" gehabt. Erst durch das Bekanntwerden der Veröffentlichungen habe dann das BSI "am 4. Januar 2019 diesen und vier weitere Fälle, die dem BSI im Verlauf des Jahres 2018 bekannt geworden sind, in diesen Zusammenhang stellen" können.

Nicht zuständig für private Accounts

Das BSI erklärte, nach bisherigen Erkenntnissen handele es sich überwiegend um Angriffe auf private und persönliche Accounts der Betroffenen. Das BSI sei aber nur zuständig für den Schutz der Regierungsnetze: "Für die Absicherung parteilicher oder privater Kommunikation von Mandatsträgern kann das BSI nur beratend und auf Anfrage unterstützend tätig werden."

Der CDU-Innenexperte Armin Schuster forderte deshalb mehr Kompetenzen für das BSI. "Ich halte es für notwendig, dass das BSI künftig aktiv in die IT-Abwehr des Bundestages einbezogen wird und wir auf diesem Weg so sicher werden wie das Regierungsnetz", sagte er der "Welt am Sonntag". In der Vergangenheit hätten sich zu viele Abgeordnete gegen eine Zuständigkeit des BSI gewehrt. "Ich kann die Vorsicht der Behörde daher nachvollziehen."

Kritik an Informationspolitik

Zuvor war das BSI massiv in die Kritik geraten. Kritisiert wurde, dass die Informationen über den Datendiebstahl offenbar nicht an andere Behörden weitergegeben wurden. So erfuhr das Bundeskriminalamt (BKA) nach eigener Darstellung erst in der Nacht zu Freitag von dem Fall.

Die Verärgerung vieler Bundestagsabgeordneter bezieht sich einerseits generell auf die Informationspolitik des Bundesamts, aber auch auf die Regierung. Viele hatten erst aus den Medien erfahren, dass sie betroffen waren. Die Grünen-Fraktion beantragte eine Sondersitzung des Innenausschusses und eine Sitzung der für IT-Fragen zuständigen Bundestagskommission (IuK-Kommission). Die SPD will eine Sondersitzung des Digitalausschusses einberufen.

Bund prüft strengere Vorgaben für Anbieter

Die Bundesregierung prüft nach Angaben von Justizministerin Katarina Barley (SPD) strengere Sicherheitsvorgaben für Software-Hersteller und Betreiber von Internet-Plattformen. "Wir prüfen, inwieweit hier schärfere gesetzliche Vorgaben sinnvoll und erforderlich sind", sagte sie der "Welt am Sonntag". Hersteller und Plattformbetreiber müssten hohe Sicherheitsstandards und regelmäßige Updates gewährleisten.

Innenstaatssekretär Günter Krings (CDU) sagte der "Rheinischen Post": "Wir müssen auch prüfen, ob wir zur Rückverfolgung der Täter technische und gesetzliche Ermittlungsmöglichkeiten stärken müssen." An der Aufklärung sind neben dem BSI auch Bundeskriminalamt, Verfassungsschutz, Bundesnachrichtendienst und Bundespolizei beteiligt.

Justizministerin Katarina Barley | Bildquelle: CLEMENS BILAN/EPA-EFE/REX
galerie

Justizministerin Katarina Barley sagte, die Bundesregierung prüfe, wie sie Software-Hersteller und Betreiber von Internet-Plattformen stärker in die Pflicht nehmen könne.

Umdenken in der Sicherheitspolitik gefordert

Einer der Hauptbetroffenen der Attacke, der Grünen-Fraktionsvizechef Konstantin von Notz, forderte ein Umdenken in der Sicherheitspolitik. "Wir brauchen ein stärkeres Bewusstsein, dass diese Frage der IT-Sicherheit für eine Demokratie im Zeitalter der Digitalisierung konstituierend ist", sagte er. Dafür seien die Nutzer aber auch selbst in der Pflicht.

Der FDP-Abgeordnete Manuel Höferlin sagte, es zeige sich erneut, "dass die Strukturen zur Information der Parlamentarier über Cyber-Gefahren nicht ausreichend sind". Aus Sicht von Unionsfraktionsvize Thorsten Frei zeigt der Vorfall, wie sehr das Thema Datensicherheit unterschätzt wird. Die USA hätten 2017 für Cyber-Sicherheit rund 20 Milliarden Euro ausgegeben, das BSI müsse mit rund 110 Millionen Euro auskommen, sagte er der "Stuttgarter Zeitung". "Das steht in keinem Verhältnis zur tatsächlichen Gefahr."

Über dieses Thema berichtete die tagesschau am 05. Januar 2019 um 16:45 Uhr.

Darstellung: