Rätsel um Diebstahl von 1,2 Milliarden Account-Daten
Ein russischer Hacker-Ring soll 1,2 Milliarden Nutzernamen samt Passwort und mehr als 500 Millionen E-Mail-Adressen erbeutet haben, berichtet die New York Times. Entdeckt wurde die Datenbank von dem Sicherheitsdienstleister Hold Security. Welche Webseiten betroffen sind, will das Unternehmen aber nur gegen Gebühren verraten.
Dementsprechend vage ist der bisherige Informationsstand. Bekannt ist lediglich, dass die Account-Informationen von mehr als 420.000 Webseiten stammen. Dabei hatten es die Hacker offenbar nicht auf bestimmte Webseiten abgesehen. Die Größenordnung umfasst die komplette Spannweite und reicht von „Fortune-500-Unternehmen bis zu sehr kleinen Webseiten“, sagte Holden-Security-Chef Alex Holden.
Die meisten der Webseiten sollen immer noch anfällig für Angriffe sein. Nach den Angaben von Holden haben die Hacker ein Botnet sowie SQL-Injection genutzt, um die Passwörter zu erbeuten. Bislang soll aber nur ein kleiner Teil der Daten auf dem Schwarzmarkt verkauft worden sein. Die Hacker hätten die Informationen in erster Linie genutzt, um Spam über soziale Netzwerke wie Twitter zu versenden.
Viel mehr Details hat Holden Security nicht mitgeteilt. Laut New York Times sollen die Datenbestände aber authentisch sein, ein unabhängiger Experte habe diese überprüft und als echt eingestuft. Ohnehin ist der Sicherheitsdienstleister kein Unbekannter beim Aufdecken von Datenlecks. Im letzten Jahr ist das Unternehmen auf eine Datenbank gestoßen, die mehrere Millionen erbeutete Account-Daten von Adobe-Kunden enthalten hatte.
Gretchenfrage: Datenklau oder Geschäftsmodell
Dennoch wirft die Meldung zahlreiche Fragen auf. So kritisiert etwa Forbes in einem Kommentar, dass keine präzisen Angaben zu den Account-Informationen gemacht werden. So stellt sich die Frage, ob etwa die Passwörter im Klartext vorliegen oder die Hacker nur verschlüsselte Daten abgegriffen haben. Einen seltsamen Eindruck hinterlasse zudem der Hinweis, dass die lukrativen Datensätze von den Hackern nicht in erster Linie auf dem Schwarzmarkt verkauft worden sind, sondern für Spam-Wellen missbraucht wurden.
Das gravierendste Problem sei allerdings, dass die Meldung allein wegen der enormen Anzahl an erbeuteten Nutzer-Accounts sowie dem Ausmaß an betroffenen Webseiten zwar ordentlich Panik verbreite. Will man allerdings nun wirklich wissen, ob sich die eigenen Daten unter den geklauten befinden, muss man bei Holden Security einen kostenpflichtigen Service nutzen. Die Kosten sollen zwischen 10 US-Dollar pro Monat und 120 US-Dollar pro Jahr liegen, erklärte Holden auf Anfrage von Forbes. Demnach handele es sich um einen „symbolischen Beitrag“, mit dem der Sicherheitsanbieter die Kosten decken will, die beim Verifizieren vom Inhaber einer Webseite oder Domain entstehen.
Angesichts dieses Geschäftsmodells kommentiert Spiegel-Online:
„Du bist gehackt worden“, heißt der Blogeintrag auf der Webseite von Hold Security. Ob von angeblich russischen Kriminellen oder vom geschickten Marketing einer Sicherheitsfirma, wird sich erst noch herausstellen.
Der übliche Hinweis: Passwort ändern
Kritik an dem Vorgehen von Holden Security äußert auch der IT-Branchenverband Bitkom. „Jeder Internetnutzer muss umgehend erfahren können, ob seine Daten von dem Diebstahl betroffen sind“, sagt Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Die betroffenen Nutzer müssten informiert werden, nun wären „sowohl das US-Sicherheitsunternehmen, das den Datendiebstahl aufgedeckt hat, als auch die US-Behörden in der Pflicht“.
Ebenso wie viele andere empfiehlt der Bitkom als Sicherheitshinweis für Nutzer, Passwörter regelmäßig zu ändern und vor allem bei den großen Online-Diensten nicht dieselben zu nutzen. Zudem sollten starke Passwörter verwendet werden, die nicht anhand von persönlichen Daten – wie etwa Geburtsdatum oder Name von Haustieren – leicht zu erraten sind. Eine automatische Passwort-Speicherung im Browser sollte ebenfalls vermieden werden. Stattdessen wird der Einsatz von Passwort-Managern und – sofern möglich – einer Zwei-Faktor-Authentifizierung empfohlen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt etwa KeePass als geeignetes Programm für das Verwalten von Passwörtern. Auf der entsprechenden BSI-Webseite finden sich zudem weitere Tipps für den Umgang mit Passwörtern.