Gigantischer Datenklau erschüttert das Netz - So kam es zu dem Mega-Hack

Diesmal könnte jeder Internet-Anwender weltweit betroffen sein: Hacker aus Russland sollen 1,2 Milliarden Login-Kombinationen aus Benutzernamen und Passwörtern erbeutet haben. Insgesamt fänden sich über 500 Millionen E-Mail-Adressen in dem Datensatz, berichtete die “New York Times”. Experten schätzen, dass das Internet weltweit von über zwei Milliarden Menschen genutzt wird.

“Black Hat”: Hold Security im Rampenlicht

Es ist kein Zufall, dass der gigantische Datenklau in diesen Tagen enthüllt wurde. In der US-Wüstenstadt Las Vegas versammeln sich derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz “Black Hat”. Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen. Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus dem US-Bundesstaat Milwaukee. Die Experten von Hold Security hatten in der Vergangenheit bereits andere große Hacks enttarnt und waren unter anderem an der Aufdeckung des Diebstahls einiger Millionen Daten von Adobe Systems beteiligt.

Profildaten von 420 000 Websites gestohlen

Nach Angaben von Hold Security stammen die geklauten Daten von 420 000 Websites, die auch von großen Unternehmen betrieben werden. Dort gaben die Nutzer die jetzt erbeuteten E-Mails und Passwörter ein, um ihre Profile aufzurufen. Eine Sicherheitslücke in der Datenbankabfrage soll es den Hackern ermöglicht haben, die sensiblen Informationen abzufischen. Die meisten der betroffenen Webseiten seien noch immer für weitere Attacken anfällig. Dabei hält sich der entstandene Schaden bislang in Grenzen. Der Gründer von Hold Security Alex Holden erklärte, die Angreifer hätten die erbeuteten Informationen lediglich für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie würden allerdings erwägen, die geklauten Daten zu verkaufen. Wie viele der erbeuteten Einwahl-Daten noch aktuell benutzt werden, ist unklar.

Hold Security will Kasse machen

Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack aus Russland für die eigenen Dienste zu werben und Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind.

“Identity Protection Service” für Nutzer

Den Netz-Nutzern will Hold Security in den kommenden 60 Tagen einen “Identity Protection Service” anbieten. Wer eine Voranmeldung für den Abo-Dienst ausfüllt, soll auch erfahren, ob er persönlich von dem Datenklau betroffen ist.

Kein substanzloser PR-Gag

Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die “New York Times” ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind. Die Zeitung sieht sich allerdings nun Vorwürfen ausgesetzt, bei dem Bericht nicht auf die kommerzielle Verbindung zu möglichen Produkten von Hold hingewiesen zu haben.

Hacked? Kostenloser Check

Ohnehin können sich deutsche Internet-User die Ausgaben für einen Check sparen: Zum einen bieten das Hasso-Plattner-Institut sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Dienste kostenlos an.

Alte Einfach-Passwörter durch komplexe ersetzen

Außerdem sollten Anwender einfach davon ausgehen, dass Logins inzwischen in die Hände dubioser Hacker gefallen sind – besonders, wenn sie die Kombination seit Jahren verwenden. Sie sollten Konsequenzen ziehen und alte Einfach-Passwörter wie “123456” regelmäßig durch komplexe neue Geheimwörter ersetzen. Das BSI hatte Nutzer erst vor wenigen Monaten aufgefordert, wegen eines größeren Datendiebstahls die Passwörter ihrer E-Mail-Konten zu ändern.

Für Anwendungen, die mit sensiblen Daten wie Finanzen, Job, Gesundheit und anderen private Dinge zu tun haben, sollte man außerdem versuchen, Alternativen zur Username-Passwort-Kombination zu finden. Banken oder Firmen wie Apple und Google bieten dazu die so genannte Zwei-Wege-Authentifizierung an. Bei diesem Verfahren erhält man zum Login einen Code über ein Mobiltelefon oder ein Chipkarte, der zusätzlich zum Passwort eigegeben werden muss. Diese Verfahren sind deutlich schwerer zu knacken.

Hintergrund: So kam es zu dem Mega-Hack

Wer ist betroffen?

Das ist noch unklar. Hold Security erklärte, die geklauten Datensätze stammten von großen wie auch kleinen Webseiten. Welche Web-Dienste das sind, wollte die Firma gegenüber der US-Zeitung “New York Times” nicht sagen. Angesichts der riesigen Zahl der Datensätze sollte jeder Internetnutzer davon ausgehen, dass er betroffen ist.

Wie wurde der Datenklau entdeckt?

Die Firma Hold Security ging dem Fall monatelang nach. Sie hat auch schon andere größere Datendiebstähle aufgedeckt. Die Firma hat dabei ein klares Geschäftsinteresse: Sie verdient ihr Geld damit, Webseiten-Betreiber zu Sicherheitslücken zu beraten. Prompt kündigte sie einen Hinweisdienst bei Datenklaus an. Die “New York Times”, die zuerst über den Fall berichtete, legte die Datensätze jedoch einem unabhängigen Experten vor, der sie als authentisch einstufte.

Was ist über die mutmaßlichen Datendiebe bekannt?

Die Hacker sollen in einer kleinen Stadt im “südlichen Zentralrussland” sitzen und dort auch ihre Server haben. Nach dem Bericht der “New York Times” handelt es sich weniger als ein Dutzend Männer im Alter von 20 bis 30 Jahren, die sich untereinander persönlich kennen. Im Jahr 2011 seien die Hacker erstmals als Spammer aufgetreten, seit gut einem Jahr gehe die Gruppe aber aggressiver vor. Da auch russische Firmen und Institutionen zu den Opfern der Attacken gehören, wird eine Verbindung zum russischen Staat nicht vermutet.

Wie kamen die Kriminellen an die Daten?

Nach Darstellung von Hold Security gingen die Hacker in mehreren Schritten vor. Sie nutzten ein so genanntes Botnet, ein Netzwerk von Computern, die mit Schadsoftware infiziert waren, für eine Art Lagebild. Wenn ein Nutzer eines solchen Computers eine Webseite ansteuerte, prüfte die Software, ob die Seite gegen eine bestimmte Angriffstechnik geschützt war. “Das Botnet hat den wahrscheinlich größten Sicherheitscheck durchgeführt”, erklärte Hold Security. Entdeckten die Kriminellen eine Sicherheitslücke, drangen sie ein und stahlen Profil-Namen, Mail-Adressen und Passwörter.

Was machen Kriminelle mit gestohlenen Daten?

In diesem Fall nutzten die Kriminellen die Einwahldaten den Angaben zufolge, um Spam-Nachrichten zu versenden. Gestohlene Passwörter und Account-Daten werden allerdings auf dem Schwarzkmarkt verkauft, Fachleute sprechen von einem “täglichen Geschäft”. “Es gibt verschiedene Interessen bei den Hackern”, sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam. Einige wollten vor allem beweisen, dass sie in Systeme einbrechen können, und prahlen danach mit den gestohlenen Daten auf Online-Foren. Andere nutzen diese Daten, um in die Nutzerprofile einzubrechen und im Namen fremder Menschen Geld zu überweisen oder Einkäufe zu tätigen. Dabei hilft ihnen, dass viele Nutzer dieselbe Mail-Adresse und dasselbe Passwort für mehrere Profile verwenden.

Was hilft gegen solchen Datendiebstahl?

Immer wieder gibt es solche spektakulären Fälle von Datenklau. Für HPI-Leiter Meinel gibt das einen Anstoß “für Diensteanbieter, über ihre Sicherheitsmechanismen nachzudenken”. Denn die Kombination aus Mail-Adresse und Passwort kann sensible Daten wie Bankverbindungen oder Adresse schützen. Bekannte Fälle führten dazu, dass Anbieter ihr Sicherheitsniveau erhöhten, sagt Meinel. Für Nutzer gilt, dass sie schwer zu knackende Passwörter und unterschiedliche Einwahldaten für ihre Profile verwenden sollten. Das HPI bietet einen kostenlosen Check an, ob eigene Daten Kriminellen in die Hände gefallen seien. Dort werden die eingegebenen Daten mit Datensätzen abgeglichen, die Kriminelle online verbreiten. Aktuell seien die mutmaßlich gestohlenen Daten noch nicht frei im Internet aufgetaucht, sagte Meinel. (dpa/red)