Gigantischer Passwort-Diebstahl: Die Hintergründe und was Nutzer nun tun sollten
Gigantischer Passwort-Diebstahl: Die Hintergründe und was Nutzer nun tun sollten
Bild: dpa
Diesmal könnte jeder Internet-Anwender weltweit
betroffen sein: Hacker aus Russland sollen 1,2 Milliarden
Login-Kombinationen aus Benutzernamen und Passwörtern erbeutet haben, teltarif.de berichtete.
Insgesamt fänden sich über 500 Millionen E-Mail-Adressen in dem
Datensatz, schrieb die New York Times. Experten schätzen, dass
das Internet weltweit von über zwei Milliarden Menschen genutzt wird.
Welche Nutzer betroffen sind, ist noch unklar. Hold Security erklärte, die geklauten Datensätze stammten von großen wie auch kleinen Webseiten. Welche Web-Dienste das sind, wollte die Firma gegenüber der US-Zeitung New York Times nicht sagen. Angesichts der riesigen Zahl der Datensätze sollte jeder Internetnutzer davon ausgehen, dass er betroffen ist.
Wie wurde der Datenklau entdeckt?
Gigantischer Passwort-Diebstahl: Die Hintergründe und was Nutzer nun tun sollten
Bild: dpa
Die Firma Hold Security ging dem Fall monatelang nach. Sie hat auch
schon andere größere Datendiebstähle aufgedeckt. Die Firma hat dabei
ein klares Geschäftsinteresse: Sie verdient ihr Geld damit,
Webseiten-Betreiber zu Sicherheitslücken zu beraten. Prompt kündigte
sie einen Hinweisdienst bei Datenklaus an. Die New York Times, die
zuerst über den Fall berichtete, legte die Datensätze jedoch einem
unabhängigen Experten vor, der sie als authentisch einstufte.
Konkrete Informationen über die mutmaßlichen Datendiebe werden derzeit noch unter Verschluss gehalten. Bekannt ist jedoch, dass sich die Hacker in einer kleinen Stadt im "südlichen Zentralrussland" aufhalten und dort auch ihre Server haben sollen. Nach dem Bericht der New York Times handelt es sich um weniger als ein Dutzend Männer im Alter von 20 bis 30 Jahren, die sich untereinander persönlich kennen. Im Jahr 2011 seien die Hacker erstmals als Spammer aufgetreten, seit gut einem Jahr gehe die Gruppe aber aggressiver vor. Da auch russische Firmen und Institutionen zu den Opfern der Attacken gehören, wird eine Verbindung zum russischen Staat nicht vermutet.
Wie kamen die Kriminellen an die Daten?
Nach Darstellung von Hold Security gingen die Hacker in mehreren Schritten vor. Sie nutzten ein so genanntes Botnet, ein Netzwerk von Computern, die mit Schadsoftware infiziert waren, für eine Art Lagebild. Wenn ein Nutzer eines solchen Computers eine Webseite ansteuerte, prüfte die Software, ob die Seite gegen eine bestimmte Angriffstechnik geschützt war. "Das Botnet hat den wahrscheinlich größten Sicherheitscheck durchgeführt", erklärte Hold Security. Entdeckten die Kriminellen eine Sicherheitslücke, drangen sie ein und stahlen Profil-Namen, Mail-Adressen und Passwörter.
Die Kriminellen nutzen die Einwahldaten den Angaben zufolge, um Spam-Nachrichten zu versenden. Gestohlene Passwörter und Account-Daten werden allerdings auf dem Schwarzmarkt verkauft, Fachleute sprechen von einem "täglichen Geschäft". "Es gibt verschiedene Interessen bei den Hackern", sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam. Einige wollten vor allem beweisen, dass sie in Systeme einbrechen können, und prahlen danach mit den gestohlenen Daten auf Online-Foren. Andere nutzen diese Daten, um in die Nutzerprofile einzubrechen und im Namen fremder Menschen Geld zu überweisen oder Einkäufe zu tätigen. Dabei hilft ihnen, dass viele Nutzer dieselbe Mail-Adresse und dasselbe Passwort für mehrere Profile verwenden.
Will Hold Security mit dem Hack Kasse machen?
Es ist kein Zufall, dass der gigantische Datenklau in diesen Tagen enthüllt wurde. In der US-Wüstenstadt Las Vegas versammeln sich derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz "Black Hat". Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen. Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus dem US-Bundesstaat Milwaukee. Die Experten von Hold Security hatten in der Vergangenheit bereits andere große Hacks enttarnt und waren unter anderem an der Aufdeckung des Diebstahls einiger Millionen Daten von Adobe Systems beteiligt.
Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack aus Russland für die eigenen Dienste zu werben und Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind. Den Netz-Nutzern will Hold Security in den kommenden 60 Tagen einen "Identity Protection Service" anbieten. Wer eine Voranmeldung für den Abo-Dienst ausfüllt, soll auch erfahren, ob er persönlich von dem Datenklau betroffen ist.
Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die New York Times ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind. Die Zeitung sieht sich allerdings nun Vorwürfen ausgesetzt, bei dem Bericht nicht auf die kommerzielle Verbindung zu möglichen Produkten von Hold hingewiesen zu haben.
Betroffen? So können Deutsche checken
Ohnehin können sich Internet-User in Deutschland die Ausgaben für einen Check sparen: Zum einen bieten das Hasso-Plattner-Institut (HPI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI [Link entfernt] ) ähnliche Dienste kostenlos an. Außerdem sollten Anwender einfach davon ausgehen, dass Logins inzwischen in die Hände dubioser Hacker gefallen sind - besonders, wenn sie die Kombination seit Jahren verwenden. Sie sollten Konsequenzen ziehen und alte Einfach-Passwörter wie "123456" regelmäßig durch komplexe neue Geheimwörter ersetzen. Das BSI hatte Nutzer erst vor wenigen Monaten aufgefordert, wegen eines größeren Datendiebstahls die Passwörter ihrer E-Mail-Konten zu ändern. Vorsichtsmaßnahmen zum Surfen im Internet sowie einen Kommentar, was von den Abfragemöglichkeiten des HPI und des BSI zu erwarten ist, haben wir in einer weiteren News veröffentlicht.
Für Anwendungen, die mit sensiblen Daten wie Finanzen, Job, Gesundheit und anderen private Dinge zu tun haben, sollte man außerdem versuchen, Alternativen zur Username-Passwort-Kombination zu finden. Banken oder Firmen wie Apple und Google bieten dazu die so genannte Zwei-Wege-Authentifizierung an. Bei diesem Verfahren erhält man zum Login einen Code über ein Mobiltelefon oder eine Chipkarte, der zusätzlich zum Passwort eigegeben werden muss. Diese Verfahren sind deutlich schwerer zu knacken.