Datenskandal

Doppeltes Versagen

Ein Mensch vor einem Laptop, an dessen Monitor der Schriftzug "Passwort akzeptiert" zu lesen ist.
Ein Mensch vor einem Laptop, an dessen Monitor der Schriftzug "Passwort akzeptiert" zu lesen ist. © picture alliance / dpa / Tobias Hase
Von Falk Steiner · 04.04.2014
18 Millionen Passwörter sollen gestohlen worden sein, die Behörden arbeiten an der Aufklärung. Doch die Menschen werden im Dunkeln gelassen und bekommen vermittelt: selbst schuld, wenn ihr immer dasselbe Passwort nehmt. Das stimmt so nicht, meint Falk Steiner.
Um es gleich vorweg zu sagen: Bravo, anders als bei dem im Januar publik gewordenen Fall sind nun keine fünf Monate vergangen, bis nach dem Auffinden Millionen Deutsche informiert wurden, dass Kombinationen ihrer E-Mailadressen und zugehörige Passworte von Kriminellen gehortet und vielleicht auch genutzt wurden. Doch damit endet das Lob auch schon abrupt – leider.
Denn es war wieder nicht die Staatsanwaltschaft, nicht das Bundesamt für Sicherheit in der Informationstechnik oder das Innenministerium, das die Bürger schnell warnte. Journalisten veröffentlichten nun den zweiten Fund im Zuge des selben Ermittlungsverfahrens gegen Kriminelle - Sie warnten die Öffentlichkeit.
Im Dunkeln gelassen
Nun fragen sich viele Bürger: Was soll ich tun? Die Antwort ist keineswegs leicht. Denn sie werden im Dunkeln gelassen – vorsätzlich. Die Staatsanwaltschaft in Verden ermittelt in einem Fall von Kriminalität, in dem sie, offensichtlich selbst davon nicht erfreut, große Datenbestände vorgefunden hat. Millionen Datensätze, die alles Mögliche sein können: Sind es die Passwörter für die E-Mail-Konten? Sind es Passwörter für andere Dienste, bei denen die E-Mail-Adresse als Nutzername verwendet wird?
Darüber schweigen die Beteiligten. Das Bundesamt für Sicherheit in der Informationstechnik schweigt deshalb, weil die Entscheidung darüber bei der Staatsanwaltschaft im niedersächsischen Verden liege. Ausdrücklich will die sich dazu nicht äußern. Die Staatsanwaltschaft sagt, dass sie ihr laufendes Verfahren nicht gefährden will, das mit der Datenpärchen-Sammlung nicht direkt in Verbindung stehe. Und außerdem sei nicht für die Gefahrenabwehr zuständig.
Selbst schuld stimmt so nicht
Wenn sich jetzt Regierungssprecher vor den Mikrofonen äußern, dass es gut wäre, wenn die Bürger regelmäßig ihre Passwörter ändern und auch bitte nicht überall das identische benutzen sollten, ist das nicht falsch. Aber es unterschlägt, dass es ebenso sein kann, dass die Passwörter von Plattformen stammen, bei denen die Nutzer nicht für die Sicherheit zuständig sind – und klingt sehr nach: Selbst schuld. Und das stimmt so nicht.
Die erste und auch die zweite Runde der Datenpärchen-Affäre zeigen eines sehr deutlich: Strafverfolger und Behörden in Deutschland sind noch nicht so weit, mit solchen Fällen umzugehen. Sie wägen ab – zugunsten ihres Hauptinteresses, hier irgendein Ermittlungsverfahren. Wenn tatsächlich drei Millionen E-Mail- und Passwortkombinationen echte Gebrauchsdaten deutscher Bürger sein sollten, und diese nicht nur für irgendwelche Foren im Netz benutzt wurden sondern von Diensten stammen, bei denen es zum Beispiel um Bezahlfunktionen geht, könnte auch der volkswirtschaftliche Schaden enorm sein. Das billigend in Kauf zu nehmen, ist mindestens problematisch.
Nachdem das Problem nun zwei Mal binnen weniger Wochen von den Zuständigen eher schlecht als Recht gehändelt wurde, wäre es nun an der Politik, zu sagen, wie man künftig mit solchen, absehbar wiederkehrenden Vorgängen umgehen will. Doch die vielen Internetminister der Bundesregierung suchen offenbar noch nach ihrem Passwort für den richtigen Zugang zum Thema.
Mehr zum Thema