Simon Szustkowski

Ein Blog über alles, was mir gerade so durch den Kopf geht

Jan 22, 2014

BSI? Ojemine. Ein Kommentar.

Soso. Das Bundesamt für Sicherheit in der Informationstechnik behauptet also, 16 Millionen gestohlene Mailadressen zu besitzen.
User, die nachprüfen wollen, ob sie betroffen sind, müssen ihre Mailadresse beim BSI angeben, und bekommen ggf Bescheid.

Ganz ehrlich? Verarschen kann ich mich selbst, liebes BSI.
Zum einen ist “Has your Credit Card been stolen on the INTERNET? Enter your number and security code here to find out” einer der ältesten und erbärmlichsten Phishing-Versuche die es gibt.
Zum anderen hat der deutsche Behördenapparat in den letzten Jahren immer wieder eindrucksvoll bewiesen, vom Thema “Internet” so gut wie keine Ahnung zu haben. Und ebenjener Behördenapparat möchte nun, dass wir alle schön brav unsere Mailadresse bei ihm abliefern, und ggf eine Unbedenklichkeitsbescheinigung bekommen. Tschuldigung, aber: Nein.

Man könnte ja pro-aktiv die betroffenen Nutzer direkt anschreiben. Man könnte ja verraten, woher die Daten kommen. Sodass die Bürger schon vorher entscheiden können, ob es sie überhaupt betrifft. Vielleicht haben sie ja entsprechende Dienste gar nicht benutzt.
Man sollte sich auch fragen, wieso das BSI erst jetzt damit rauskommt, obwohl die Daten schon länger bekannt waren.
Man sollte sich auch fragen, wieso das BSI einen ähnlichen Service nicht angeboten hat, als ins Playstation Network und bei Adobe eingebrochen wurde, und Daten entwendet wurden.
Man sollte sich auch fragen, ob es wirklich nur “deutsche” Mailadressen waren. Woran machen die das fest? Nur an der .de-Endung des Servers? Haha. Wurden ausländische Nutzer, die ein Konto zB bei GMX haben, auch gewarnt?

Und wann wird eigentlich das Jahresbudget für das BSI neu verhandelt? Ende Januar?
Und hat Hans-Peter Uhl schon propagieren lassen, dass das ganze mit der Vorratsdatenspeicherung DE-Mail nicht passiert wäre?

Nice try, BSI. Aber ich verlass mich weiterhin auf die Logfiles meines Mailservers und nicht auf irgendeine äußerst dubiose Webseite, die ad definitionem sicher ist.

Das Analysieren der SSL-Metadaten der Phishing-Überprüfungs-Webseite überlasse ich dann mal den Krypto-Nerds