Hacker erbeuten 1,2 Milliarden Nutzerdaten
INTERNET Russische Kriminelle nutzen sie für Spam und Werbung. Doch auch wer so eine Tat aufdeckt, hat eigene Interessen
VON SVENJA BERGT
BERLIN taz | Es soll der größte Fall von gestohlenen Daten sein: Russische Hacker haben einer US-Securityfirma zufolge 1,2 Milliarden Kombinationen von Nutzernamen und Passwörtern erbeutet, dazu mehr als 500 Millionen E-Mail-Adressen. Die Daten stammten demnach von 420.000 Webseiten, darunter sowohl großer US-Firmen als auch kleiner Anbieter. Die Firma Hold Security, die den Hack am Dienstagabend bekannt machte, verdient ihr Geld damit, Unternehmen vor Angriffen auf ihre IT-Systeme zu schützen.
Die New York Times hat Einblick in die Datenbank erhalten und sie durch einen unabhängigen Experten analysieren lassen. Der sei zu dem Ergebnis gekommen, dass es sich tatsächlich um gestohlene Profildaten handele. Ein anderer Experte für Computerkriminalität, der ebenfalls Einblick in die Daten hatte, sagte der Zeitung, dass einige der angegriffenen Unternehmen sich durchaus über den Diebstahl im Klaren seien. Laut dem Bericht sind bislang wenige Datensätze an andere Kriminelle weiterverkauft worden. Vielmehr würden die Informationen dazu genutzt, um betrügerische Anzeigen und Spam an Profile in sozialen Netzwerken zu senden.
Offen blieb gestern, welche Websites und damit welche Firmen und Nutzer betroffen sind. Es zeichnet sich ab, dass das Sicherheitsunternehmen dieses Wissen zu Kapital machen will. So bietet es auf seiner Website sowohl für Firmen als auch für Privatnutzer eine Vorregistrierung für neue Sicherheitsdienste an. Gleichzeitig sagte Alex Holden, Unternehmensgründer und Firmenchef, der New York Times, man habe bereits begonnen, von dem Hack betroffene Firmen zu informieren, allerdings noch nicht jeden Seitenbetreiber erreicht.
Die Täter hatten sich nach Angaben der Sicherheitsfirma zunächst auf dem Schwarzmarkt mit bereits kursierenden Nutzerdaten eingedeckt – und über diese Schadsoftware verbreitet. Dann änderten sie ihre Taktik und verwendeten ein großes Botnetz – viele mit Schadsoftware infizierte Rechner, die sich fremdsteuern lassen. Damit hätten sie eine Sicherheitslücke in einer Software, die mit Datenbanken kommuniziert, ausnutzen und so an zahlreiche Nutzerdaten gelangen können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht „mit hoher Wahrscheinlichkeit“ davon aus, dass auch Nutzer in Deutschland unter den Betroffenen sind – zumindest wenn die Zahl von 1,2 Milliarden betroffenen Accounts stimmt. Es forderte Unternehmen auf, es Angreifern schwerer zu machen und so die Nutzer besser zu schützen. Dafür müssten Daten durchgängig verschlüsselt gespeichert und bekannt gewordene Sicherheitslücken schnell geschlossen werden.
In Deutschland hatte das BSI zuletzt im April über einem großflächigen Identitätsdiebstahl informiert. Damals ging es um 21 Millionen E-Mail-Adressen und Passwörter. Damals wie heute bleibt unklar, wie viele Nutzer betroffen sind. Schließlich verwenden viele Nutzer mehrere Accounts und löschen alte, unbenutzte Konten nur selten.
Um Unbefugten Zugriffe auf Accounts zu erschweren, bieten mittlerweile nicht mehr nur Banken, sondern auch erste Onlineläden und E-Mail-Provider eine sogenannte Zwei-Faktor-Authentifizierung an. Dabei loggt sich der Nutzer nicht nur mit seinem Passwort ein, sondern benötigt eine zweite Komponente. Bei Banken ist das häufig ein Code, der auf ein zuvor registriertes zweites Endgerät geschickt wird – bei einem Login am Computer müsste also der Code etwa an das Mobiltelefon gehen. Es kann aber auch eine Art USB-Stick sein, der ein Einmal-Passwort erzeugt. Auch biometrische Merkmale wie der Fingerabdruck werden zunehmend genutzt, etwa für das Entsperren von Smartphones. Doch hier entsteht ein neues Problem: Schließlich lässt sich ein Fingerabdruck, falls er in falsche Hände gerät, nicht so einfach wechseln wie ein Passwort.
Meinung + Diskussion SEITE 12
