Russische Hacker erbeuten 1,2 Milliarden Profildaten

New York (dpa) - Eine amerikanische IT-Sicherheitsfirma hat einen Datendiebstahl bisher ungekannten Ausmaßes aufgedeckt. Russische Hacker haben nach Erkenntnissen der Firma Hold Security rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile erbeutet.

Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte Hold Security der „New York Times“. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen. Von welchen Nutzern und Online-Diensten die Daten gestohlen worden, ist unklar. Fachleute rieten Privatnutzern, Passwörter zu wechseln, und ermahnten Anbieter, ihre Sicherheitsvorkehrungen zu verbessern.

Die Sicherheitsfirma warnte vor dem Ausmaß des Datenklaus: „Solange Ihre Daten irgendwo im World Wide Web sind, könnten Sie betroffen sein“. Hold Security habe die Daten in Untergrund-Kanälen im Internet entdeckt und auch mit der Hacker-Gruppe aus Zentralrussland kommuniziert, berichtete die „New York Times“ am späten Dienstag.

Noch ist unklar, wie viele Deutsche betroffen sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte am Mittwoch mit, es prüfe mit Hochdruck, ob deutsche Internetnutzer und Online-Anbieter betroffen seien. Dabei arbeite das Bonner Amt mit Behörden in Deutschland und den USA zusammen. Allein die Zahl von 1,2 Milliarden angeblich gestohlenen Daten lege nahe, dass auch Nutzer aus Deutschland unter den Opfern seien.

Die Login-Daten stammen nach Angaben der Sicherheitsfirma von rund 420 000 Websites. Darunter seien bekannte Firmennamen ebenso wie kleine Seiten. Ein von der „New York Times“ zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt.

„Das ist schon ernstzunehmen“, sagte Christoph Meinel, Direktor des Potsdamer Hasso-Plattner-Instituts. Hold Security hatte in der Vergangenheit bereits den Diebstahl einiger hundert Millionen Login-Datensätze aufgedeckt. Allerdings äußerte Meinel Zweifel an der Darstellung, der aktuelle Fall gehe auf russische Hacker zurück. Die Datensätze stammen den Angaben zufolge aus verschiedenen Quellen. „Ich denke mal, da sind internationale Cyberkriminelle am Werk.“

Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein. Dennoch ist Datendiebstahl dieser Art immer gefährlich: Viele Internet-Nutzer setzen die gleiche Kombination von Benutzernamen oder E-Mail-Adressen und Passwörtern bei verschiedenen Websites ein und sind dann auf breiter Front betroffen.

Die meisten der Websites, von denen die Daten gestohlen wurden, seien zudem immer noch angreifbar, sagte Hold-Chef Alex Holden der „New York Times“. Sein Team habe begonnen, die Website-Betreiber zu benachrichtigen. Die deutsche Behörde für IT-Sicherheit BSI appellierte an Anbieter, ihre Sicherheitsvorkehrungen zu verbessern. „Online-Anbieter müssen mehr für die IT-Sicherheit ihrer Systeme tun“.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff empfahl Nutzern, sichere Passwörter zu wählen und regelmäßig auszutauschen. Es brauche auch politische Initiativen zur Stärkung der Cybersicherheit, erklärte Voßhoff.

Sollten die Zahlen von Hold Security zutreffen, hätten es die Strafverfolgungsbehörden mit dem weltgrößten Fall von Datenklau zu tun: Das Internet hat nach Schätzungen insgesamt zwischen 2 und 2,5 Milliarden Nutzer. 500 Millionen verschiedene E-Mail-Adressen mit Passwörtern sollen die Hacker erbeutet haben. Nach Angaben von Hold Security stammt die Gruppe aus dem Süden Zentralrusslands. Sie bestehe aus weniger als einem Dutzend Männern unter 30 Jahren, die sich persönlich kennen, hieß es.

Die Angreifer hätten die erbeuteten Informationen bisher für den Versand von Spam-E-Mails mit Werbung oder Schad-Programmen benutzt. Sie erwägten aber auch, sie zu verkaufen, hieß es.

Die Firma Hold Security nutzte die Entdeckung prompt, um das eigene Geschäft anzukurbeln: Sie kündigte auf ihrer Webseite einen Warndienst für Unternehmen an, der sie für eine Jahresgebühr von 120 Dollar auf eine Sicherheitslücke aufmerksam machen soll. Über einen weiteren Dienst sollen Privatpersonen auf Identitätsdiebstahl hingewiesen werden. Das Hasso-Plattner-Institut bietet einen ähnlichen Dienst kostenfrei an.

Insgesamt habe die Gruppe 4,5 Milliarden Datensätze erbeutet. Nach Abzug von Doppelungen seien 1,2 Milliarden Kombinationen von Benutzername und Passwort übriggeblieben. Darunter seien mehr als 500 Millionen unterschiedliche E-Mail-Adressen.