Millionen Bürger stürmen seitdem die Webseite des BSI, um herauszufinden, ob sie selbst betroffen sind. Die Homepage brach unter der Last der Anfragen mehrfach zusammen. Nun bleiben viele Fragen: Warum kam die Warnung so spät? Und vor allem: Ist Deutschland nicht genug gewappnet gegen Cyberangriffe und Kriminalität im Netz?

Ermittlungsbehördegab BSI den Tipp

BSI-Präsident Michael Hange hat an diesem Mittwoch entsprechend viel zu tun. Seine Behörde hat gemeinsam mit der Bundesakademie für Sicherheitspolitik zu einer Konferenz nach Berlin geladen. Thema: Cybersicherheit. Hange hatte einen allgemeinen Vortrag vorbereitet zum Schutz vor Angriffen aus dem Internet und IT-Ausspähung. Nun wird er von Journalisten mit Fragen zu dem aktuellen Fall belagert.

Ja, das Bundesamt habe schon vor Dezember von dem groß angelegten Identitätsdiebstahl gewusst, sagt Hange. Die Daten tauchten bei der Analyse von Botnetzen auf. Das sind Netzwerke gekaperter Computer, die oft ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle können über solche Zombie-Rechner massenhaft E-Mails mit Werbung oder Schadprogrammen versenden. Die Rechnernetze können auch zu Angriffen auf andere Webseiten genutzt werden.

Eine Ermittlungsbehörde gab dem BSI den Hinweis auf die Millionen Datensätze. Kurz vor Weihnachten kam dann die Freigabe, eine Warnung dazu herauszugeben. "Eine solche Aktion muss aber extrem gut vorbereitet sein", sagt Hange. Den Sicherheitscheck programmieren, Technik- und Datenschutzfragen klären - all das habe Zeit gebraucht. "Wir haben schon sehr schnell gemacht. Schneller geht es nicht."

Viele Fragen sind noch offen

Wer steckt hinter dem großen Diebstahl? Wozu wurden die Daten benutzt? Wie groß ist der Schaden? Hange zuckt mit den Schultern, verweist auf die laufenden Ermittlungen. Einiges sei noch nicht klar. Zu einigen anderen Dingen dürfe er nichts sagen.

Kriminelle können mit einer Mailadresse und dem dazugehörigen Passwort jede Menge anstellen. Über ein Mailkonto ist viel über den Nutzer zu erfahren: mit wem er kommuniziert, wo er einkauft, seine Rechnungen bezahlt. Manch einer nutzt die Mailadresse und dasselbe Passwort aus Bequemlichkeit noch dazu zum Einloggen bei anderen Online-Diensten, sozialen Netzwerken oder Shopping-Seiten. Dort haben die Datenräuber dann auch Zutritt, können im schlimmsten Fall im Namen ihrer Opfer online auf Einkaufstour gehen.

Der Handel mit solchen Daten und digitalen Identitäten ist rege. Nach Einschätzung von Experten hat sich im Netz eine kriminelle Industrie entwickelt, zum Teil mit "IT-mafiösen Strukturen". Trojaner lassen sich bestellen. Botnetze lassen sich mieten. "Sie brauchen nicht selbst IT-Intelligenz, um Cyberangriffe zu veranlassen", sagt ein Fachmann des BSI.

Welches Ausmaß die Kriminalität im Netz hat, können auch Fachleute nur schätzen. Viele Bürger merken es nicht einmal, wenn ihr Rechner ferngesteuert wird. Viele Firmen verschweigen, wenn Angreifer ihre Sicherheitsvorkehrungen durchbrochen haben - aus Angst um ihren Ruf. So bleiben nur Schätzungen: Nach Angaben der EU werden weltweit jeden Tag eine Millionen Menschen Opfer von Internetkriminalität. Der Schaden beläuft sich demnach pro Jahr auf rund 290 Milliarden Euro. In Deutschland zählte das Bundeskriminalamt 2012 rund 64 000 Fälle von Cyberkriminalität. Viele davon bleiben unaufgeklärt.

Denn nicht nur die Ermittler lernen dazu, sondern auch die Kriminellen. Experten sprechen von einem Wettlauf. Die Schutzvorkehrungen müssten dringend ausgebaut und das Bewusstsein für die Gefahren geschärft werden, mahnen die Fachleute bei der Cyberkonferenz in Berlin.

Währenddessen erledigen immer mehr Menschen immer mehr Aufgaben online. Der millionenfache Datenklau dürfte somit nicht der letzte gewesen sein. Die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, meint: "Wir müssen damit rechnen, dass wir in Zukunft öfter solche Vorfälle haben werden."