Gigantischer Passwort-Diebstahl erschüttert das Netz
New York (dpa) - Diesmal könnte jeder Internet-Anwender weltweit betroffen sein: Hacker aus Russland sollen 1,2 Milliarden Login-Kombinationen aus Benutzernamen und Passwörtern erbeutet haben.
Insgesamt fänden sich über 500 Millionen E-Mail-Adressen in dem Datensatz, berichtete die „New York Times“. Experten schätzen, dass das Internet weltweit von über zwei Milliarden Menschen genutzt wird.
Es ist kein Zufall, dass der gigantische Datenklau in diesen Tagen enthüllt wurde. In der US-Wüstenstadt Las Vegas versammeln sich derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz „Black Hat“. Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen.
Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus Milwaukee im US-Bundesstaat Wisconsin. Die Experten von Hold Security hatten in der Vergangenheit bereits andere große Hacks enttarnt und waren unter anderem an der Aufdeckung des Diebstahls einiger Millionen Daten von Adobe Systems beteiligt.
Nach Angaben von Hold Security stammen die geklauten Daten von 420 000 Websites, die auch von großen Unternehmen betrieben werden. Dort gaben die Nutzer die jetzt erbeuteten E-Mails und Passwörter ein, um ihre Profile aufzurufen. Eine Sicherheitslücke in der Datenbankabfrage soll es den Hackern ermöglicht haben, die sensiblen Informationen abzufischen. Die meisten der betroffenen Webseiten seien noch immer für weitere Attacken anfällig.
Dabei hält sich der entstandene Schaden bislang in Grenzen. Der Gründer von Hold Security Alex Holden erklärte, die Angreifer hätten die erbeuteten Informationen lediglich für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie würden allerdings erwägen, die geklauten Daten zu verkaufen. Wie viele der erbeuteten Einwahl-Daten noch aktuell benutzt werden, ist unklar.
Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack aus Russland für die eigenen Dienste zu werben und Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind.
Den Netz-Nutzern will Hold Security in den kommenden 60 Tagen einen „Identity Protection Service“ anbieten. Wer eine Voranmeldung für den Abo-Dienst ausfüllt, soll auch erfahren, ob er persönlich von dem Datenklau betroffen ist.
Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die „New York Times“ ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind. Die Zeitung sieht sich allerdings nun Vorwürfen ausgesetzt, bei dem Bericht nicht auf die kommerzielle Verbindung zu möglichen Produkten von Hold hingewiesen zu haben.
Ohnehin können sich Internet-User in Deutschland die Ausgaben für einen Check sparen: Zum einen bieten das Hasso-Plattner-Institut sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Dienste kostenlos an. Außerdem sollten Anwender einfach davon ausgehen, dass Logins inzwischen in die Hände dubioser Hacker gefallen sind - besonders, wenn sie die Kombination seit Jahren verwenden.
Sie sollten Konsequenzen ziehen und alte Einfach-Passwörter wie „123456“ regelmäßig durch komplexe neue Geheimwörter ersetzen. Das BSI hatte Nutzer erst vor wenigen Monaten aufgefordert, wegen eines größeren Datendiebstahls die Passwörter ihrer E-Mail-Konten zu ändern.
Für Anwendungen, die mit sensiblen Daten wie Finanzen, Job, Gesundheit und anderen private Dinge zu tun haben, sollte man außerdem versuchen, Alternativen zur Username-Passwort-Kombination zu finden. Banken oder Firmen wie Apple und Google bieten dazu die so genannte Zwei-Wege-Authentifizierung an. Bei diesem Verfahren erhält man zum Login einen Code über ein Mobiltelefon oder eine Chipkarte, der zusätzlich zum Passwort eigegeben werden muss. Diese Verfahren sind deutlich schwerer zu knacken.