Größter Datendiebstahl im Netz: Russische Hacker sollen 1,2 Milliarden Profildaten erbeutet haben

Es wäre der größte Datendiebstahl im Internet: Russische Hacker haben nach Erkenntnissen amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Zugangsdaten für Internet-Profile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die amerikanische Sicherheitsfirma Hold Security der „New York Times“. “ Insgesamt habe eine Hackergruppe aus Russland 4,5 Milliarden Datensätze erbeutet. Nach Abzug von Doppelungen seien 1,2 Milliarden Konten übriggeblieben. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen.

Hold Security habe die Daten in Untergrund-Kanälen im Internet entdeckt und auch mit der Hacker-Gruppe aus Zentralrussland kommuniziert, berichtete die Zeitung am späten Dienstag. Die Einwahldaten stammen demnach von rund 420.000 Websites, darunter seien bekannte Firmennamen ebenso wie kleine Seiten. Die Sicherheitsfirma macht keine Angaben dazu, welche Websites betroffen sind. Ein von der Zeitung zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt, schrieb die „New York Times“. Christoph Meinel, Direktor des Potsdamer Hasso-Plattner-Instituts und dort Leiter des Fachgebiets Internet-Technologien und -Systeme, setzt hinter die Erkenntnisse von Hold Security mehrere Fragezeichen. „Bei 1,2 Milliarden Profilkonten wäre theoretisch jeder dritte Internetnutzer auf der Welt betroffen“, sagte der IT-Experte dem Tagesspiegel.

Jeder dritte Internetnutzer wäre betroffen

Das Hasso-Plattner-Institut in Potsdam bietet seit Mai einen kostenlosen „Identity Leak Checker“ an, mit dem man prüfen lassen kann, ob Identitätsdaten wie Namen, Passwörter, Kontodaten oder andere persönliche Daten gestohlen wurden und nun im Internet verbreitet werden. Die Datenbank umfasst 170 Millionen geklaute oder abgefischte Daten. Die Informationen von Hold Security wären für den IT-Experten vertrauenswürdiger, wenn das Unternehmen darauf verzichtet hätte, die Überprüfung als kommerziellen Dienst anzubieten. Für einen Betrag von 120 Dollar jährlich bietet Hold eine Prüfung an, ob eigene Kontodaten betroffen sind. Aber auch hinsichtlich der Quelle ist Meinel skeptisch. „Wenn solche Funde in der Vergangenheit bekannt wurden, hat es sich zumeist nicht um verschiedene Quellen gehandelt“, gibt Meinel zu bedenken.
Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau von dem Datenklau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein. Dennoch ist Datendiebstahl dieser Art immer gefährlich: Viele Internet-Nutzer setzen die gleiche Kombination von Benutzernamen oder E-Mail-Adressen und Passwörtern bei verschiedenen Websites ein und sind dann auf breiter Front betroffen.

„Dass Identitätsdaten im großen Maß gestohlen werden und auf bestimmten Internetseiten angeboten werden, ist seit langem bekannt“, sagt Meinel. Mit dem Sicherheitsthema sei bislang sehr lax umgegangen worden. „In der Masse werden Passwörter sogar noch immer sehr einfach gewählt“, sagt er. Die Forderung nach verbindlichen Sicherheitsstandards sei jedoch wenig realistisch. „Das Internet ist ein globales System, da lässt sich so etwas kaum durchsetzen“, sagt Meinel. Er fordert hingegen, dass die Internetnutzer selbst mehr Verantwortung beispielsweise bei der Wahl sicherer Passwörter übernehmen. Zudem sollten sich die Nutzer die Internet-Dienstleister genauer ansehen. Für den Einsatz des Internets im Firmenumfeld empfiehlt der HPI-Direktor hochsichere Verfahren über Smartcards oder Sicherheitstoken. Auf jeden Fall wäre es eine erschütternde Dimension für einen Daten-Diebstahl: Das Internet hat nach Schätzungen insgesamt zwischen 2 und 2,5 Milliarden Nutzer. Zuletzt war es zwar keine Seltenheit mehr, dass Dutzende oder einige hundert Millionen Login-Datensätze gestohlen wurden. Aber eine so große Beute wie jetzt wurde bisher noch nicht bekannt.

In Deutschland gab es bereits zwei große Fälle in diesem Jahr

In Deutschland sind in diesem Jahr bereits zwei Fälle von millionenfachem Diebstahl von Internet-Zugangsdaten bekannt geworden. Im Mai hatte die Staatsanwaltschaft Verden bekannt gegeben, dass 18 Millionen Mail-Adressen mit entsprechenden Zugangsdaten gestohlen und von den Ermittlungsbehörden sichergestellt wurden. Betroffen waren zahlreiche deutsche und internationale Provider und Mail-Anbieter. Bereits im Januar hatte es einen ähnlichen Fall gegeben, in dem es um 16 Millionen Zugangsdaten ging. Damals hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Online-Plattform eingerichtet, auf der man herausfinden konnte, ob das eigene Mail-Konto betroffen war oder nicht. 30 Millionen Mail-Konten wurden dabei überprüft und 1,6 Millionen waren betroffen.  
Beim aktuellen Fall sind die meisten der betroffenen Websites nach Angaben von Hold Security immer noch angreifbar. Sein Team habe damit angefangen, die Website-Betreiber zu benachrichtigen, habe aber nicht alle erreichen können, sagte Hold-Chef Alex Holden. Die Angreifer hätten die erbeuteten Informationen bisher für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie erwägten aber auch, sie zu verkaufen, hieß es.
Holden erklärte, er wolle keine Namen nennen, um Ermittlungen nicht zu gefährden. Das Geschäftsmodell seiner Firma ist es, Websites auf Einbrüche von Datendieben zu prüfen. Hold hatte in der Vergangenheit bereits den Diebstahl einige hundert Millionen Login-Datensätze aufgedeckt.  Technisch sei ein so breit angelegter Angriff dank eines sogenanntes Botnetzes mit vielen infizierten Computern möglich. Wenn ein nichtsahnender Nutzer mit einem solchen Rechner eine Website ansteuere, prüfe das Botnetz, ob die angreifbar sein. Man wisse, dass die Gruppe im Süden Zentralrusslands basiert sei, erklärte Hold Security. Sie bestehe aus weniger als einem Dutzend Männer im Alter unter 30 Jahren, die sich persönlich kennen, hieß es. Die Server befänden sich in Russland. In der Gang gebe es eine klare Arbeitsteilung: „Die einen schreiben die Programme, die anderen stehlen die Daten.

Für den Herbst kündigt das Hasso-Plattner-Institut einen kostenlosen offenen Onlinekurs für mehr Sicherheit im Internet an. Auf der interaktiven Bildungsplattform www.open.HPI.de können sich Interessierte dann in die Grundbegriffe der Internetsicherheit einführen lassen. Der Massive Open Online Course (MOOC) wird von Prof. Christoph Meinel geleitet. Für den sechswöchigen Kurs gibt es keine formalen Vorbedingungen oder Zulassungsbeschränkungen. (mit dpa).

Tipps für sichere Passwörter

Das weltweit am meisten verwendete Passwort ist die Ziffernfolge „123456“. Auf den Plätzen zwei und drei rangieren „12345“ und „123456789“. Das hat das Hasso-Plattner-Institut herausgefunden. Hacker können einen solch schwachen Zugangsschutz mit automatisierten Methoden innerhalb einer Sekunde knacken und brauchen dafür im Durchschnitt nur gut 100 Versuche. In nur 17 Minuten kann ein Hacker 1000 derartig schwach geschützte Zugänge knacken.

„Leider zeigen internationale Untersuchungen, dass die Passwort-Praxis sich in den vergangenen beiden Jahrzehnten kaum verbessert hat“, sagt HPI-Direktor Meinel. Nach wie vor wähle rund die Hälfte der Internetnutzer dasselbe oder ein ähnliches Passwort für sämtliche Seiten, die ein Log-in erfordern. „Beliebt sind leider kurze und einfache Begriffe – selbst für Zugänge zu sehr privaten Daten und Informationen“, kritisierte Meinel.

Den Studenten des HPI werden fünf Grundregeln für sichere, starke Passwörter nahe gelegt:

Niemals den Nutzernamen, den tatsächlichen Namen, das Geburtsdatum oder andere Informationen, die mit der eigenen Person oder dem genutzten Konto zusammenhängen, als Passwort verwenden

Begriffe vermeiden, die aus einem Wörterbuch stammen (könnten)

Mindestens vier Arten von Schreibweisen verwenden, also groß/klein, Buchstaben, Nummern und Sonderzeichen wie !@#%$*~;.

Dem Passwort eine Länge von mindestens acht Zeichen geben

Niemals dasselbe Passwort für alle Konten verwenden.

Um ein Passwort zu finden, dass man sich leicht merken kann, rät Internetexperte Meinel, sich einen Satz auszudenken, der Wörter, Zahlen und Zeichensetzung enthält. Als Beispiel wählt er den Satz „Mein zweites Auto war ein VW Golf!“ Nehme man den ersten Buchstaben eines jeden Worts, die Zahl und das Satzzeichen und schreibe dies hintereinander auf, ergebe sich aus diesem Merksatz das Passwort „M2.AweVWG!“ Für die Vielzahl der Internet-Konten, die ein Nutzer heute verwendet, benötigt man allerdings einen großen Fuhrpark.