Fragen und Antworten: So kam es zu dem Mega-Hack
New York/Berlin (dpa) - Die Dimensionen des jüngsten Datenklaus einer russischen Hackergruppe sind gigantisch: Nach Angaben der Sicherheitsfirma Hold Security wurden mehr als 1,2 Milliarden Login-Daten gestohlen.
Wer ist betroffen?
Das ist noch unklar. Hold Security erklärte, die geklauten Datensätze stammten von großen wie auch kleinen Webseiten. Welche Web-Dienste das sind, wollte die Firma gegenüber der US-Zeitung „New York Times“ nicht sagen. Angesichts der riesigen Zahl der Datensätze sollte jeder Internetnutzer davon ausgehen, dass er betroffen ist.
Wie wurde der Datenklau entdeckt?
Die Firma Hold Security ging dem Fall monatelang nach. Sie hat auch schon andere größere Datendiebstähle aufgedeckt. Die Firma hat dabei ein klares Geschäftsinteresse: Sie verdient ihr Geld damit, Webseiten-Betreiber zu Sicherheitslücken zu beraten. Prompt kündigte sie einen Hinweisdienst bei Datenklaus an. Die „New York Times“, die zuerst über den Fall berichtete, legte die Datensätze jedoch einem unabhängigen Experten vor, der sie als authentisch einstufte.
Was ist über die mutmaßlichen Datendiebe bekannt?
Die Hacker sollen in einer kleinen Stadt im „südlichen Zentralrussland“ sitzen und dort auch ihre Server haben. Nach dem Bericht der „New York Times“ handelt es sich weniger als ein Dutzend Männer im Alter von 20 bis 30 Jahren, die sich untereinander persönlich kennen. Im Jahr 2011 seien die Hacker erstmals als Spammer aufgetreten, seit gut einem Jahr gehe die Gruppe aber aggressiver vor. Da auch russische Firmen und Institutionen zu den Opfern der Attacken gehören, wird eine Verbindung zum russischen Staat nicht vermutet.
Wie kamen die Kriminellen an die Daten?
Nach Darstellung von Hold Security gingen die Hacker in mehreren Schritten vor. Sie nutzten ein so genanntes Botnet, ein Netzwerk von Computern, die mit Schadsoftware infiziert waren, für eine Art Lagebild. Wenn ein Nutzer eines solchen Computers eine Webseite ansteuerte, prüfte die Software, ob die Seite gegen eine bestimmte Angriffstechnik geschützt war. „Das Botnet hat den wahrscheinlich größten Sicherheitscheck durchgeführt“, erklärte Hold Security. Entdeckten die Kriminellen eine Sicherheitslücke, drangen sie ein und stahlen Profil-Namen, Mail-Adressen und Passwörter.
Was machen Kriminelle mit gestohlenen Daten?
In diesem Fall nutzten die Kriminellen die Einwahldaten den Angaben zufolge, um Spam-Nachrichten zu versenden. Gestohlene Passwörter und Account-Daten werden allerdings auf dem Schwarzkmarkt verkauft, Fachleute sprechen von einem „täglichen Geschäft“. „Es gibt verschiedene Interessen bei den Hackern“, sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam. Einige wollten vor allem beweisen, dass sie in Systeme einbrechen können, und prahlen danach mit den gestohlenen Daten auf Online-Foren. Andere nutzen diese Daten, um in die Nutzerprofile einzubrechen und im Namen fremder Menschen Geld zu überweisen oder Einkäufe zu tätigen. Dabei hilft ihnen, dass viele Nutzer dieselbe Mail-Adresse und dasselbe Passwort für mehrere Profile verwenden.
Was hilft gegen solchen Datendiebstahl?
Immer wieder gibt es solche spektakulären Fälle von Datenklau. Für HPI-Leiter Meinel gibt das einen Anstoß „für Diensteanbieter, über ihre Sicherheitsmechanismen nachzudenken“. Denn die Kombination aus Mail-Adresse und Passwort kann sensible Daten wie Bankverbindungen oder Adresse schützen. Bekannte Fälle führten dazu, dass Anbieter ihr Sicherheitsniveau erhöhten, sagt Meinel. Für Nutzer gilt, dass sie schwer zu knackende Passwörter und unterschiedliche Einwahldaten für ihre Profile verwenden sollten. Das HPI bietet einen kostenlosen Check an, ob eigene Daten Kriminellen in die Hände gefallen seien. Dort werden die eingegebenen Daten mit Datensätzen abgeglichen, die Kriminelle online verbreiten. Aktuell seien die mutmaßlich gestohlenen Daten noch nicht frei im Internet aufgetaucht, sagte Meinel.