Berlin - Wer ist vom Datenklau betroffen?

Alle, die im Internet unterwegs sind und dort Datenspuren hinterlassen, können mit einiger Wahrscheinlichkeit davon ausgehen, betroffen zu sein. Denn sollte es stimmen, wie die US-Sicherheitsfirma Hold Security behauptet, dass zu den 1,2 Milliarden gestohlener Login-Kombinationen aus Benutzernamen und Passwörtern etwa 500 Millionen E-Mail-Adressen gehören, dann erstreckt sich der Daten-Superklau bei weltweit rund vier Milliarden E-Mail-Konten und zwei Milliarden Internet-Nutzern auf ein Achtel aller Konten beziehungsweise ein Viertel aller Nutzer. Das ist, salopp gesagt, gigantisch viel.

Wie wurde der Diebstahl entdeckt?

Die Firma Hold Security verfolgte den Fall nach eigenen Angaben sieben Monate lang. Die Firma ist bekannt für ihre Sicherheitschecks und deckte schon andere größere Hacks auf, im vergangenen Jahr etwa den Diebstahl einiger Millionen Nutzer-Daten von Adobe Systems. Die New York Times, die zuerst über den neuen Milliardenklau berichtete, legte die Datensätze einem unabhängigen Experten vor, der sie als authentisch einstufte.

Wie gingen die Kriminellen vor?

Nach Darstellung von Hold Security gingen die Hacker in mehreren Schritten vor. Sie nutzten ein Botnet, ein Netzwerk von Computern, die mit Schadsoftware infiziert waren, für eine Art Lagebild. Wenn der Nutzer eines solchen Computers eine Webseite ansteuerte, prüfte die Software, ob die Seite gegen eine bestimmte Angriffstechnik geschützt war. Entdeckten die Kriminellen eine Sicherheitslücke, drangen sie ein und stahlen Profil-Namen, Mail-Adressen und Passwörter.

Was passiert mit den Daten?

Die russischen Cyber-Kriminellen benutzten die Einwahldaten bislang, um Spam-Nachrichten zu versenden. Damit lässt sich Geld verdienen, aber auch damit, dass ein Botnet für erhöhten Traffic auf Websites sorgt, was entweder deren „Beliebtheit“ steigert und damit zu einem besseren – geldwerten – Ranking führt oder bei einem massiven Angriff zu einem Zusammenbruch (Distributed Denial of Service Attacks). Solche Dienstleistung werden auf Schwarzmärkten angeboten. Wie übrigens auch komplette Datensätze, also Passwort- und Nutzernamen-Kombinationen sowie die dazugehörigen E-Mail-Adressen. Damit lässt sich unter Umständen in Nutzerprofile einbrechen und im Namen fremder Menschen Geld überweisen.

Warum werden wir erst jetzt informiert?

Auch wenn die Gefahr durch den Datendiebstahl groß ist und sehr viele Menschen betroffen sind, dauern seriöse Untersuchungen einfach ihre Zeit. Im vorliegenden Fall wurden die Befunde sogar noch einmal durch einen Experten geprüft. Dennoch verfolgt die Firma Hold Security auch klare Geschäftsinteressen: Sie verdient ihr Geld damit, Webseiten-Betreiber über Sicherheitslücken zu beraten.

Dass sie ihren Fund in Kooperation mit der New York Times veröffentlichte, ist somit auch eine geschickte Marketingmaßnahme, umso mehr, als sich in Las Vegas derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz „Black Hat“ treffen. Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen. Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus dem US-Bundesstaat Milwaukee.

Was kann ich jetzt tun?

Privatanwender können derzeit nicht feststellen, ob sie selbst Opfer geworden sind. Unter den E-Mail-Anbietern teilten sowohl die Telekom als auch Googlemail, Web.de und Gmx mit, derzeit keine Erkenntnisse über mögliche betroffene Kunden zu haben. Allgemein gilt: Zum Schutz vor Diebstahl von Profildaten sollten Internetnutzer ihre Passwörter regelmäßig ändern. Spätestens nach drei Monaten sei es Zeit für ein neues Passwort, rät der IT-Verband Bitkom. Damit Nutzerkonten gut geschützt sind, sollten Passwörter möglichst lang sein und auch Zahlen und Sonderzeichen enthalten.

Und sonst noch?

Die oberste Behörde für die IT-Sicherheit in Deutschland, das Bundesamt für Sicherheit in der Informationstechnik, appelliert an die Anbieter von Online-Diensten, ihre Sicherheitsvorkehrungen zu verbessern. Sie sollten Daten und Datenbanken durchgängig verschlüsseln und Schwachstellen schließen, aber auch Nutzern sicherere Authentisierungsmöglichkeiten anbieten, die über die Standard-Anmeldung per Benutzername und Passwort hinausgingen. Das ist eine gute Forderung, sie scheitert allerdings nicht nur an der Fahrlässigkeit vieler Internetbenutzer, die mit ein und demselben Passwort eine Vielzahl von Anwendungen bedienen.

Mehr Verschlüsselung auf den Websites bedeutete nämlich auch, dort weniger Skripte laufen zu lassen, womit die Seiten nicht mehr so schön bunt-animiert und multimedial daherkämen. Zudem wären besser geschützte Nutzer von Websites nicht mehr so gut verfolgbar. Anders gesagt: Mehr Sicherheit ist nicht unbedingt im Sinne kommerzieller Seitenbetreiber.