Dentaku

Gestern wurde bekannt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) an eine Liste mit 16000000 kompromittierten Nutzerkonten gelangt ist. Die Informationen enthalten jeweils Mailadresse und Passwort. Statt das offensichtliche zu tun (also die Mailadressen automatisch anzuschreiben), richtete das BSI unter www.sicherheitstest.bsi.de eine Seite ein, auf der jeder Internetbenutzer alle seine (bzw jede Internetbenutzerin all ihre) Mailadressen nacheinander eingeben und dann eine Mail bekommen soll, wenn die Adresse betroffen ist.

Das ist aus mehreren Gründen unglücklich:

Zum einen halte ich es im Moment für eine extrem schlechte Idee, einer staatlichen Behörde beim Aufbau der größten Liste aktiv genutzter Mailadressen Deutscher Bürger zu helfen.

Und dann wurde der Server über allen großen Nachrichtenseiten „beworben“, sogar in den Fernsehnachrichten angekündigt. Was wird da wohl passieren? Richtig: der Server wurde überrannt und war gestern nur sporadisch erreichbar. Einen DDoS-Angriff dieser Größenordnung hätte wahrscheinlich auch Anonymous nur schwer anzetteln können. (vgl.)

Netzpolitik.org berichtet ganz treffend, und genau unter dem Artikel tauchen jetzt massenhaft „Bitte überprüfen sie meine E-Mail Adresse und geben mir dann bescheid!“-Kommentare auf. Entweder habe ich da ein Mem nicht verstanden, oder die Leute können wirklich die Sicherheitsseite nicht von Berichterstattung über die Sicherheitsseite unterscheiden…

Update: Ihr solltet unbedingt auch bei fefe darüber lesen.