BSI - E-Mailaktion
Warum ist die BSI-Aktion in jeder Hinsicht schwachsinnig?
Das BSI hat nicht Kenntnis über kompromitierte E-Mailaccounts. Es hat lediglich Informationen über kompromitierte Accounts bei irgendwelchen gehackten Onlinedienstleistern, bei denen auch E-Mailadressen hinterlegt sind.
Meint: Wer seine E-Mail als Zugang zu einem mittlerweile gehackten Dienst angegeben hat, der findet seine E-Mail u.U. in der Liste des BSI wieder.
Der E-Mailaccount selbst ist in dem Fall nicht betroffen!
Doch was macht das BSI: Es rät dem "betroffenen" Nutzer daraufhin, seinen Rechner plattzumachen(!) und sämtliche Passwörter aller(!) Accounts, die der Nutzer jemals im Netz angelegt hat zu ändern. Alles klar, Mr. Best of the Best of the Best!
Das ist genau die Realitätsferne unserer Staatsverwalter, wie man sie nicht anders kennt.
Falls diese Aktion des BSI irgendeiner Intention folgt, dann wohl am ehesten der (politischen), dass das Volk wieder auf irgendetwas "eingestimmt" werden muss. Oder schlicht in Panik gebracht.
Selbst wenn man den ganzen Schwachfug ernstnimmt, bleibt noch die technische Hirnrissigkeit:
Eingabeseite: Wozu braucht das BSI meine E-Mail im Klartext? Ist das nicht datenschutzrechtlich sogar verboten, derlei persönliche Daten zu sammeln, wenn diese für die Ausführung der Dienstleistung hnicht benötigt werden? Es würde zur Prüfung durchaus reichen, wenn dem BSI ein Hash der E-Mailadresse zuginge. Dieser Hash könnte per Javascript im Browser des Nutzers erzeugt werden, ohne das der Nutzer Komforteinbußen hinnehmen müsste.
Ausgabeseite: Im Falle, daß das BSI meint, die geprüfte E-Mail sei kompromittiert, schickt das BSI an diese E-Mailadresse (z.T. auch mehrfach, wie man hört!) Handlungsanweisungen. Das ist natürlich sehr sinnvoll, wenn der Account bereits durch Dritte (wie häufig dargestellt) manipulierbar ist! Dieser könnte die "höchstoffizielle" Handlungsanweisung z.B. schlicht durch eine eigene ersetzen.
Das BSI hat nicht Kenntnis über kompromitierte E-Mailaccounts. Es hat lediglich Informationen über kompromitierte Accounts bei irgendwelchen gehackten Onlinedienstleistern, bei denen auch E-Mailadressen hinterlegt sind.
Meint: Wer seine E-Mail als Zugang zu einem mittlerweile gehackten Dienst angegeben hat, der findet seine E-Mail u.U. in der Liste des BSI wieder.
Der E-Mailaccount selbst ist in dem Fall nicht betroffen!
Doch was macht das BSI: Es rät dem "betroffenen" Nutzer daraufhin, seinen Rechner plattzumachen(!) und sämtliche Passwörter aller(!) Accounts, die der Nutzer jemals im Netz angelegt hat zu ändern. Alles klar, Mr. Best of the Best of the Best!
Das ist genau die Realitätsferne unserer Staatsverwalter, wie man sie nicht anders kennt.
Falls diese Aktion des BSI irgendeiner Intention folgt, dann wohl am ehesten der (politischen), dass das Volk wieder auf irgendetwas "eingestimmt" werden muss. Oder schlicht in Panik gebracht.
Selbst wenn man den ganzen Schwachfug ernstnimmt, bleibt noch die technische Hirnrissigkeit:
Eingabeseite: Wozu braucht das BSI meine E-Mail im Klartext? Ist das nicht datenschutzrechtlich sogar verboten, derlei persönliche Daten zu sammeln, wenn diese für die Ausführung der Dienstleistung hnicht benötigt werden? Es würde zur Prüfung durchaus reichen, wenn dem BSI ein Hash der E-Mailadresse zuginge. Dieser Hash könnte per Javascript im Browser des Nutzers erzeugt werden, ohne das der Nutzer Komforteinbußen hinnehmen müsste.
Ausgabeseite: Im Falle, daß das BSI meint, die geprüfte E-Mail sei kompromittiert, schickt das BSI an diese E-Mailadresse (z.T. auch mehrfach, wie man hört!) Handlungsanweisungen. Das ist natürlich sehr sinnvoll, wenn der Account bereits durch Dritte (wie häufig dargestellt) manipulierbar ist! Dieser könnte die "höchstoffizielle" Handlungsanweisung z.B. schlicht durch eine eigene ersetzen.
techomatic - 2014-01-22 14:23