http://www.faz.net/-gqe-7sfem

Netzkriminalität : Gigantischer Passwort-Klau aufgedeckt

  • Aktualisiert am

So gut wie jedes Passwort kann ausgespäht werden. Häufiges Ändern hilft, die Missbrauchsgefahr klein zu halten Bild: dpa

Jetzt ist wohl ein guter Zeitpunkt, um wichtige Passwörter zu ändern: Mehr als eine Milliarde Einwahl-Kombinationen aus Benutzernamen und Passwörtern soll eine Hacker-Gruppe aus Russland erbeutet haben. Jeder kann betroffen sein.

          Es könnte der bisher größte Datendiebstahl im Internet sein: Russische Hacker haben nach Erkenntnissen amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die amerikanische Sicherheitsfirma Hold Security der Zeitung „New York Times“. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen.

          Hold Security habe die Daten in Untergrund-Kanälen im Internet entdeckt und auch mit der Hacker-Gruppe aus Zentralrussland kommuniziert, berichtete die Zeitung am späten Dienstagabend. Die Einwahldaten stammen demnach von rund 420.000 Websites, darunter seien bekannte Firmennamen ebenso wie kleine Seiten. Die Sicherheitsfirma macht keine Angaben dazu, welche Websites betroffen sind. Ein von der Zeitung zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt, schrieb die „New York Times“.

          Jeder kann unter den Opfern sein

          Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau von dem Datenklau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein. Dennoch ist Datendiebstahl dieser Art immer gefährlich: Viele Internet-Nutzer setzen die gleiche Kombination von Benutzernamen oder E-Mail-Adressen und Passwörtern bei verschiedenen Websites ein und sind dann auf breiter Front betroffen.

          Auf jeden Fall wäre es eine erschütternde Dimension für einen Daten-Diebstahl: Das Internet hat nach Schätzungen insgesamt zwischen 2 und 2,5 Milliarden Nutzer.

          "Gehen Sie davon aus, dass auch Ihre Daten gestohlen wurden" warnt die "New York Times“. Hold Security arbeite an einer Abfrage-Möglichkeit, mit der Nutzer herausfinden können, ob sie betroffen sind. Es sei aber nicht sicher, wann es so weit sein könnte. Die meisten der betroffenen Websites seien immer noch angreifbar, sagte Hold-Chef Alex Holden der Zeitung.

          Sicherheit für 120 Dollar im Monat?

          Für Kritik sorgte im Internet, dass die Sicherheitsfirma, die den Passwort-Klau aufdeckte, offenbar zeitgleich auf ihrer Internetseite einen neuen Service anbot: Mit dem solle man für 120 Dollar im Monat rausfinden können, ob die eigene Webseite von der Sicherheitslücke betroffen ist. Von der Nachricht über den Passwort-Klau könnte das Unternehmen also finanziell direkt profitieren.

          Nachdem ein Reporter des „Wall Street Journal“ auf Twitter auf die Seite von Hold Security verlinkte und Fragen zu dem Angebot stellte (englisch) wurde das Angebot laut dem amerikanischen Magazin„Forbes“ wieder entfernt und durch den Hinweis “Coming soon“ (deutsch: “In Kürze“) ersetzt.

          In einer E-Mail, die das Wall Street Journal zitiert, sagte Unternehmenschef Holden, der Service solle 10 Dollar im Monat kosten und 120 Dollar im Jahr. Es handle sich um einen „symbolischen Betrag“, der die Kosten des Unternehmens decken solle.

          Laut Holden haben die Angreifer die erbeuteten Informationen bisher für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie erwägten aber auch, sie zu verkaufen, hieß es.

          Technisch sei ein so breit angelegter Angriff dank eines sogenanntes Botnetzes mit vielen infizierten Computern möglich. Wenn ein nichtsahnender Nutzer mit einem solchen Rechner eine Website ansteuere, prüfe das Botnetz, ob die angreifbar sein.

          Man wisse, dass die Gruppe im Süden Zentralrusslands basiert sei, erklärte Hold Security. Sie bestehe aus weniger als einem Dutzend Männer im Alter unter 30 Jahren, die sich persönlich kennen, hieß es. Auch die Server befänden sich in Russland. In der Gang gebe es eine klare Arbeitsteilung: „Die einen schreiben die Programme, die anderen stehlen die Daten.“ Es gehe zu "wie in einem kleinen Unternehmen".

          Insgesamt habe die Gruppe 4,5 Milliarden Datensätze erbeutet, erklärte Hold Security. Nach Abzug von Doppelungen seien 1,2 Milliarden Kombinationen von Benutzername und Passwort übriggeblieben.

          Wie Sie Ihre persönlichen Daten ganz leicht besser schützen können, erfahren Sie hier.

          Weitere Themen

          Alles besser mit 5G? Video-Seite öffnen

          Highspeed-Internet : Alles besser mit 5G?

          Das Netz soll die nächste Generation des Mobilfunkstandards werden, zehn Mal so schnell wie 4G. 5G soll bis zu einer Million Verknüpfungen pro Quadratkilometer unterstützen. Mehr Schein als Sein?

          Topmeldungen

          Die Wahl von Nahles : Die SPD in der Sackgasse

          Andrea Nahles führt eine unversöhnte Partei mit ersten Anzeichen akuter Selbstzerstörung. Der SPD droht ähnlich wie der Linkspartei eine Zukunft als politische Sekte. Ein Kommentar.
          Der Freiburger Oberbürgermeister Dieter Salomon (Grüne) unterliegt im ersten Wahlgang der OB-Wahl seinem Herausforderer Martin Horn (parteilos).

          Freiburg : Oberbürgermeister Salomon unterliegt in erster Wahlrunde

          Freiburgs amtierender Oberbürgermeister Salomon nennt es einen Denkzettel. In der ersten Runde der OB-Wahl schafft der Grünen-Politiker es nur auf Platz zwei. Sieger ist der erst 33 Jahre alte Martin Horn.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.