"Das Bundesamt für Informations­sicherheit wurde nicht gehackt"

Screenshot der BSI-Website
"Hacker könnten versuchen, Ihre Daten von bsi.bund.de zu stehlen, zum Beispiel Passwörter", warnten Browser gestern die Besucher der Website des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI).
 
Nun ist das BSI eine hohe deutsche Bundesbehörde, erarbeitet Security-Mindeststandards für die Wirtschaft, Zertifizierungen und ist für den Schutz der IT-Systeme Deutschlands verantwortlich. Ihre Standards gelten in Security-Kreisen als sehr streng.
 
Die Warnung an die Website-Besucher resultierte daraus, dass das Zertifikat, welches für die https-Verschlüsselung nötig ist, abgelaufen war.
 
"Wir sind nicht gehackt worden", meldete ein BSI-Tweet etwa 30 Minuten nach einer Anfrage von inside-it.ch zum Thema. "Allerdings war unsere Webseite bedauerlicherweise wegen eines abgelaufenen Zertifikats kurzzeitig nicht erreichbar. Das Zertifikat war rechtzeitig beantragt."
 
Auf Nachfrage erklärt Pressesprecher Matthias Gärtner, da man das Zertifikat rechtzeitig beantragt habe, könne man nicht davon sprechen, dass das BSI eigene Richtlinien verletzt habe. "Es wurden alle Prozesse und Massnahmen ordnungsgemäss durchlaufen und alle Prüfmechanismen durchgeführt."
 
Heisst dies, dass keine Massnahmen nötig sind, damit dies nicht wieder vorkommt? "Wir sind auf Fehlersuche. Wir werden gegebenenfalls den Prozess nachjustieren", so Gärtner.
 
Und war dies ein erstmaliges Vorkommnis beim BSI? Er sei seit 2006 beim BSI, so Gärtner, und bei der Website sei dies seines Wissens noch nie vorgekommen.
 
Das alte Zertifikat des BSI war um 15 Uhr 46 abgelaufen, weiss inside-it.ch. 18 Uhr 04 sei das neue Zertifikat aktiviert gewesen, so Gärtner. (Marcel Gamma)