Trotz des gigantischen Ausmaßes sind die genauen Auswirkungen des jüngsten Diebstahls von 1,2 Milliarden Einwahldaten für Online-Dienste weiterhin unklar. Die Politik appelliert an Nutzer und Anbieter, mehr für die Sicherheit zu tun.
Bundesjustizminister Heiko Maas rief Verbraucher und Anbieter zu besseren Sicherheitsvorkehrungen auf. "Internet-Anbieter sind in der Pflicht, alles zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun", sagte der SPD-Politiker der "Welt". "Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen mehr finden." Nutzern von Online-Diensten riet er, Passwörter regelmäßig zu ändern. Anbieter, Kunden und Politiker müssten sich gemeinsam für die Bekämpfung von Datenmissbrauch einsetzen, sagte Maas der "Welt".
Der Bundesrat hatte sich im März bereits dafür ausgesprochen, den An- und Verkauf gestohlener Daten unter Strafe zu stellen. Bisher sind nur der Diebstahl von Daten und deren Nutzung strafbar, aber nicht der Handel. Der Verkauf von Einwahldaten oder Kreditkartendaten ist nach Einschätzung von Fachleuten ein "tägliches Geschäft" im Netz. Die hessische Justizministerin Eva Kühne-Hörmann (CDU) rief in der "Welt" zum schnellen Handeln auf. Hessen hatte den Gesetzentwurf im Bundesrat eingebracht.
Dass die Daten aus dem jüngsten Fall auf dem Schwarzmarkt gehandelt werden, erscheint derzeit unwahrscheinlich. Die IT-Sicherheitsfirma Hold Security erklärte, die Hacker hätten die Daten zum Versand vom Spam-Nachrichten genutzt. Hold hatte den Fall aufgedeckt. Das Unternehmen wurde aber kritisiert, weil es gegen Geld einen Dienst anbietet, der Webseiten-Betreiber vor Datendiebstählen warnen soll. Fachleute schätzten den Fall dennoch als "ernstzunehmend" ein. Der Sicherheitsexperte Brian Krebs, der selbst mehrere Hacking-Angriffe öffentlich bekanntmachte, schrieb, die Daten seien "definitv echt".
Nach Erkenntnissen von Hold Security haben Hacker 1,2 Milliarden Einwahldaten für Online-Profile erbeutet. Die bestehen aus E-Mail-Adresse und Passwort. Die Hacker hätten die Informationen abgefischt, indem sie Sicherheitslücken bei Online-Diensten ausgenutzt hätten. Sie hätten gezielt nach Webseiten mit einer bestimmten Sicherheitslücke gesucht und sich darüber Zugriff auf die Inhalte der Datenbanken der Online-Dienste verschafft. Die Daten sollen von mehr als 420.000 Webseiten stammen.
Neun neue Security-Mythen -
Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ...
Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert.
Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll.
Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen.
Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden.
Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht.
Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle.
Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift.
Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!
Auch das Bundesamt für Sicherheit in der Informationstechnik rief Anbieter vor diesem Hintergrund auf, ihre Sicherheitsmechanismen zu verbessern. Nach ersten Erkenntnissen sind Behörden auf Bundesebene nicht Opfer des Datendiebstahls geworden. Das BSI ist für den Schutz der IT-Systeme der Bundesregierung verantwortlich.
Ob deutsche Nutzer betroffen sind, werde geprüft. Angesichts der riesigen Anzahl gestohlener Datensätze sei allerdings anzunehmen, dass auch deutsche Internetnutzer unter den Opfern seien. (dpa/tc/hal)