BSI-Chef Michael Hange sprach selbst von einer "echten Bedrohung" für die Bürger. Das belegen auch die ersten Zahlen. Unter 12,6 Millionen Computer-Nutzern, die eine Testseite der Behörde aufsuchten, waren bereits 884.000 "Treffer", das heißt vom Datendiebstahl betroffene Rechner. Diese sind nach Angaben Hanges nicht nur infiziert. Es bestehe zudem der Verdacht, dass die komplette digitale Identität gestohlen wurde. Deshalb sei es mit einer Säuberung des Computers nicht getan. Es müssten auch sämtliche Nutzerkennungen und Passwörter neu vergeben werden.

Genau darauf hatten es Kriminelle abgesehen und mit bis zu 16 Millionen Computern im In- und Ausland ein so genanntes Botnetz aufgebaut. Dabei werden von den Besitzern unbemerkt deren Rechner ferngesteuert, um über unverdächtige Adressen Werbemails zu verschicken oder weitere brisante Daten auszukundschaften.

Von dem riesigen Datendiebstahl hatte das BSI durch Ermittlungsergebnisse von Strafverfolgungsbehörden erfahren. Bereits vor Weihnachten gab es vom Ministerium grünes Licht für eine offizielle Warnung. Doch erst am 21. Januar ging diese an die Öffentlichkeit.

Hange verteidigte die lange Zeit damit, dass ein erheblicher Programmieraufwand nötig gewesen sei, um den zu erwartenden Ansturm von Anfragen bewältigen zu können. Sorgfalt habe hier vor Schnelligkeit gehen müssen. Gleichwohl war die Testseite des BSI nach Bekanntgabe zusammengebrochen. Daraufhin bemühte sich die Behörde um zusätzliche Rechner-Kapazitäten.

Das BSI habe unter anderem vermeiden wollen, dass Trittbrettfahrer die Gelegenheit zu weiteren Angriffen nutzen. Tatsächlich seien inzwischen Mails im Umlauf, die fälschlicherweise den Eindruck erweckten, vom Bundesamt zu stammen. Deshalb sollten nur Mails geöffnet werden, in deren Betreffzeile bereits der individuell bei der Anfrage auf der Testseite vergebene Code enthalten ist.

Innenminister Thomas de Maizière nahm das Vorgehen in Schutz. Die BSI-Aktion sei "wohlvorbereitet" und "vorzüglich" gewesen. "Dieser Angriff auf Millionen von Bürgern zeigt, dass wir uns nicht nur um die NSA kümmern müssen, sondern dass Datendiebstahl und Ausspähung auch von anderen ausgehen", sagte der CDU-Politiker am Rande der Regierungsklausur in Meseberg. Aufgabe des Staates sei es, mehr Sicherheit im Internet zu schaffen.

Für den CDU-Internetexperten Ansgar Heveling belegt der gigantische Datenklau, dass das lange diskutierte IT-Sicherheitsgesetz jetzt rasch kommen muss. "Wir brauchen verbindliche Regeln für die Betreiber kritischer Infrastrukturen und für die Kooperation mit den Behörden", betont Heveling.

Unternehmen seien in der Regel besser geschützt als Privatleute, könnten aber auch Teil von Botnetzen werden, erläuterte IT-Expertin Katrin Sobania vom Deutschen Industrie- und Handelskammertag. Dabei könne dies gravierende Auswirkungen haben, wenn Daten verloren gingen, Firmengeheimnisse ausspioniert würden und das alles wertvolle Arbeitszeit koste. "Leider betreiben viele deutsche Unternehmen eher Schadensbegrenzung als dass sie vorbeugende Maßnahmen ergreifen", bedauerte Sobania. Eine für jeden Betrieb andere Lösung für "gelebte" Sicherheit müsse von der Unternehmensleitung ausgehen.