Millionen Mail-Konten gehackt - Seite ist derzeit (21.1.14 14 Uhr) überlastet!

Ich glaube es nicht.

 

Ein Cloudanbieter wäre für mich auch eine "einzelne Quelle". Die Sache mit der Datensammlung / wahlweise Ermittlungserfolg halte ich für unwahrscheinlich, da man derlei in der Vergangenheit immer entsprechend kommuniziert hat und es keinen plausiblen Grund gibt, es in dem Fall nicht zu tun.

 

Ja. eine unter mehreren. Deutschlandweit gesehen sind 16 Mio. Accounts nicht viel. Für einen einzelnen Dienstleister allerdings schon. Warum können die 16 Mio. Accountdaten nicht aus MEHREREN Quellen, also von MEHREREN Dienstleistern, Shops usw. von Kriminellen zusammengetragen worden sein und dann als Gesamtpaket irgendwann in die Hände von Ermittlern gelangt sein?

Seit wann benötigt man da plausible Gründe, um etwas zu verschweigen? Nicht plausible Gründe reichen doch auch.

 

Ich habe nicht gesagt, dass es nicht sein kann, sondern dass ich es auf Grund der Informationslage für sehr unwahrscheinlich halte.

 

Sicher ist sowieso nichts. BSI wird die Infos scheibchenweise preis geben, damit sie länger in der Öffentlichkeit als wichtig wahrgenommen werden.

 

Wer weiß, vielleicht ist das nur ein riesen Bluff.
Der "Bund" will einfach wissen, welche Email-Adresse zu welcher IP und somit zu welcher Person gehört. Evtl. gibts ja eine Hintertür zu den Vorratsdatenbanken der Provider.
Würde mich nach dem NSA-Theater auch nicht mehr wundern.

 

Das nennt sich "Covering one's ass".

 

> Der "Bund" will einfach wissen, welche Email-Adresse zu welcher IP und somit zu welcher Person gehört.

ist das Humor oder ein Test?

 

Von welcher "Informationslage" redest du da? Es gibt so gut wie gar keine Informationen seitens des BSI.

Ich zitiere mal von deren Seite:

Das ist die Informationslage.

 

...von den Informationen, die halt zur Verfügung stehen. Wenn wenige Informationen vorhanden sind, ergeben die nichts desto trotz auch ein "Bild". Interessant ist jedoch der Punkt in der FAQ:

Da ich schon das Vergnügen mit dem hiesigen Landesdatenschutzbeauftragten hatte, bin ich mir recht sicher, dass diese Vorgehensweise dem BDSG widerspricht. Was auch seltsam ist, dass hier das BSI in Erscheinung tritt und nicht die zuständige Aufsichtsbehörde - sprich BfDI und dessen Landesbeauftragte.

 

Sehr schön auch dieser Heise-Artikel dazu, der mir aus der Seele spricht...

 

Dass nur die Leute eine Mail kriegen, deren Konto in der Liste ist, ist auch schlecht. Mal angenommen, das Konto ist übernommen worden von einem bösen Hacker dann kann man den BSI dort in die Spamfilter eintragen und wen man sonst noch fern halten will und schon meint der betreffende, sein Konto sie sauber.
Diejenigen, die keinen Eintrag in der Liste haben, kriegen keine Mail, aber sind ihre Adresse auch los.
Gewinnen können nur die, die gehackt wurden, weil sie nichts mehr verlieren können.

 

So kann mans auch sehen

 

schon fast Signatur-tauglich, sollte aber auf jeden Fall für die nächsten "Best of" reichen!


btw: ist es eigentlich Zufall, dass sich "BSI" und "BSE" so ähnlich sind?

 

BSI = Bin sicher, Irrtum! oder Bundesamtlich signierte Inkompetenz

 

Dann aber auch gleich alle benutzten Adressen hintereinander, so bleibt es übersichtlicher für die Agents...

Gruß kingjon

 

>könnte man darin den Hauptzweck vermuten.<

glaub ich nicht - ein deutscher Beamte u. seine Ableger brauchen so ihre Zeit
schnell sind se nur beim Inkasso: Finanzamt, Polizei, Ordnungsamt.......
immer dann, wenn die sich bereichern können :-D

 

Ich halte von Verschwörungstheorien a lá "Datenspende" als Hauptzweck auch eher wenig. Das Problem sehe ich anderswo.

Zum einen ist jede Datenübertragung, selbst verschlüsselt, nicht sicher vor dem "Abhören" durch Kriminelle oder Geheimdienste. Dies sollte eigentlich inzwischen jeder kapiert haben.
Damit nutzt es dem BSI wenig, zu beteuern, dass es die personenbezogenen Daten, also die vom Nutzer übermittelte Mailadresse, sofort wieder löscht. Sie kann bereits bei der Übertragung abgefangen worden sein. Aber das wäre eh nicht schlimm. Mailadressen sind meist leicht zu erraten oder auf anderen kompromittierten Rechnern (von Bekannten) abgreifbar. Eine "Datenspende" wäre also möglich, aber an "Unbekannt" und nicht zielgerichtet ans BSI.

Das nächste und noch größere Problem ist der Kommunikationsweg als solcher.
Es geht doch darum, dass der Nutzer erfährt, ob die Mailadresse, die er prüfen ließ, in der Liste auftaucht. Informiert wird er, wenn dies zutrifft, aber genau über diese KOMPROMITTIERTE Adresse. Da es durchaus sein kann, dass eben nicht irgend ein Foren- oder Shopaccount, sondern der MAILaccount selbst betroffen ist, findet also eine Kommunikation über einen ggf. kompromittierten Kanal statt.

Die Kriminellen, die ggf. Zugriff auf diesen Mailaccount haben, können sich eher einloggen als der eigentliche Besitzer und die Mail des BSI löschen. Sie kommt nie an und der Nutzer glaubt, alles wäre in Ordnung. Und da spreche ich noch nicht von anderen Gründen dafür, dass eine Mail unterwegs verloren gehen kann.

Das ganze Verfahren war suboptimal, die Infos waren ungenau und nicht zielführend für die Zielgruppe, die nämlich am ehesten auf Malwarelinks klickt, auf Phishing hereinfällt und die Problematik nicht durchschaut.