Meine Gedanken zur Meldung des BSI, es habe in einem Bot-Netz die Benutzerdaten von 16 Millionen Konten gefunden, sind nur kurz. Aber sie machen keinen Spaß.
Erstens: wo kommen 16 Millionen Benutzerkonten her? Hier gibt es 2 Möglichkeiten:
- Eine Seite im Internet hat mindestens so viele Benutzer
- Auf 16 Millionen Rechnern gibt es Keylogger, die das mitschrieben
Bei der ersten Möglichkeit lautet die Frage: welche Seite hat so viele Mitglieder? Da dürfte die Auswahl überschaubar sein. Mir fallen da ein: ein großer Buchhändler, eine Auktionsplattform und deren Bezahldienst, drei große Smartphonehersteller, die ein Benutzerkonto verlangen, damit man ihre Geräte überhaupt in Betrieb nehmen kann, ein paar Hersteller von Onlinespielen und Bildbearbeitungssoftware, und das eine oder andere Klamottenversandhaus.
Wenn jetzt rauskommt, das jemand von denen seine Daten nicht vor Hackern schützen konnte, dann ist er bankrott. Warum sollten sie meine Kreditkartendaten besser schützen als meine Login-Information? Eben. Also, wenn bei jemandem von denen eingebrochen wurde, dann knien die jetzt vor dem Portier beim BSI und flehen ihn an, das niemandem zu sagen.
Ich glaube das aber nicht. Warum sollte das BSI sich die Mühe mit der Webseite zum Überprüfen der Konten machen - nur für eine Firma, die geschlampt hat? Unwahrscheinlich.
Und das ist auch der Schlüssel zu meiner Vermutung. Hier hat eine höchstoffizielle Stelle Dreck am Stecken, und jemand dort fühlt sich verpflichtet, den Schaden zu begrenzen.
Es könnte also sein, dass irgendein Geheimdienst, oder, viel einfacher, irgendeine Strafverfolgungsbehörde mit gerichtlichem Beschluss zu einem der oben genannten Internetseitenbetreiber gegangen ist und gesagt hat: „Gefahr im Verzug! Alle Benutzerdaten hergeben!“ und dann die Daten so gespeichert hat, dass die Hacker darauf Zugriff hatten.
Während ich dieses Ausmaß an Inkompetenz durchaus für wahrscheinlich halte, stellt sich die Frage: Wieso werden diese Daten ausgerechnet in einem Bot-Netz gefunden? Also in einer dezentralisierten, sich verbreitenden Struktur? Welchen Sinn soll es haben, die Daten dort vorzuhalten?
Eine Antwort wäre, dass Admins der kompromittierten Seite natürlich misstrauisch werden müssen, wenn sich plötzlich 16 Millionen Nutzer aus demselben IP-Bereich anmelden. So ein Angriff kann ein Bot-Netz gut streuen und damit unauffällig machen. Andererseits: Bei welcher Seite wäre nicht aufgefallen, dass plötzlich 16 Millionen Benutzer sich beim Admin beschweren und sagen: „Das hab ich aber gar nicht bestellt!“?
Da sowas nicht eingetraten ist, ist das Bot-Netz offensichtlich für einen anderen Grund da: nämlich, um die Kennungen zu beschaffen, und dann nicht auffällig alle an denselben identifizierbaren Server zu schicken, sondern dezentral vorzuhalten.
Sprich, es gibt da einen auf der Hälfte der Rechner im Bundesgebiet verbreiteten Keylogger, den KEINER der Virenscanner auf dem Radar hat und der Texte mitschreibt und nach Hause verschickt. KEINER. Es gibt nur eine Art von Virus, der ich das zutraue: einen von staatlicher Stelle, für den ein paar Schlapphüte bei den großen Antivirenherstellern vorstellig geworden sind, so mit den Worten: „Schönes Unternehmen haben Sie da. Wäre doch schade, wenn Ihnen was zustieße. Hier ist die Signatur, die Sie unter gar keinen Umständen erkennen dürfen!“.
Wie ich's auch drehe und wende: Als Schuldiger kommt bei der bisherigen Großwetterlage nur einer in Frage. Und deshalb wage ich zu prophezeien, dass wir nie erfahren werden, wo es das Datenleck nun gegeben hat. Irgendeine Syrienkonferenz, das Weltklima, oder der DAX im Sinkflug werden schon dafür sorgen, dass das Thema vergessen ist, ehe unangenehme Fragen beantwortet werden müssen.