1,2 Milliarden gestohlene Benutzerdaten

Riesiger Datendiebstahl lässt viele Fragen offen

11.08.14 | Autor / Redakteur: Peter Koller / Peter Schmitz

Das klassische System aus Nutzername und Passwort wird in jüngster Zeit immer öfter kompromittiert. (Bild: Pixabay)

Ein russischer Verbrecherring soll mehr als eine Milliarde digitale Identitäten gestohlen haben, behauptet die US-Sicherheitsfirma Hold Security. Allerdings gibt es Zweifel an den Motiven des Sicherheitsspezialisten.

Laut einem Bericht der New York Times haben russischer Hacker mit Hilfe eines Botnetzes und der Technik SQL-Injection etwa 1,2 Milliarden digitale Identitäten gestohlen, bestehende aus Benutzername und Passwort. Hinter der Enthüllung steht die Security-Firma Hold Security aus Milwaukee. Das Unternehmen ist in der Öffentlichkeit eher unbekannt, soll laut New York Times in der Vergangenheit aber mehrfach an der Aufdeckung großer Datendiebstähle, etwa bei Adobe, beteiligt gewesen sein.

Ein unabhängiger Experte hat der NYT den Datendiebstahl bestätigt. Allerdings will Hold Security unter Berufung auf Vertraulichkeitsvereinbarungen nicht bekanntgeben, von welchen Unternehmen und Websites die Daten gestohlen wurden. Offen ist auch, ob die Daten in Klartext oder in verschlüsselter Form entwendet wurden.

Hacker-Angriffe auf Behörden und Ministerien

Fotostrecke starten: Klicken Sie auf ein Bild (141 Bilder)

Nach einem Bericht von „Forbes“ bietet Hold Security aber Website-Betreibern für eine Gebühr ab 120 US-$ pro Jahr eine Überprüfung an, ob deren Nutzerdaten von dem Hack betroffen sind...

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft derzeit mit Hochdruck zusammen mit den zuständigen deutschen und amerikanischen Behörden, ob deutsche Internetnutzer und Online-Anbieter von dem Vorfall betroffen sind. Sollte die Zahl von 1,2 Milliarden gestohlener digitaler Identitäten zutreffen, so ist mit hoher Wahrscheinlichkeit davon auszugehen, dass sich auch deutsche Internetnutzer darunter befinden. Derzeit gibt es für Privatanwender keine Möglichkeit festzustellen, ob sie von dem Vorfall betroffen sind.

Das Potsdamer Hasso-Plattner-Institut und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatten nach früheren Datendiebstählen Web-Dienste entwickelt, bei dem Nutzer überprüfen können, ob ihre digitale Identität gestohlen wurde und im Internet kursiert.

Der Hightech-Verband Bitkom forderte angesichts der Berichte über den Diebstahl von 1,2 Milliarden Kennwörtern und Nutzerdaten durch russische Hacker sofortige Aufklärung. „Jeder Internetnutzer muss umgehend erfahren können, ob seine Daten von dem Diebstahl betroffen sind“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. Hier seien sowohl das US-Sicherheitsunternehmen, das den Datendiebstahl aufgedeckt hat, als auch die US-Behörden in der Pflicht. „Dieser Fall zeigt: Die Politik muss den Kampf gegen die Organisierte Kriminalität im Internet deutlich verstärken“, so Rohleder.

Ergänzendes zum Thema

Bitkom: Acht Tipps für sichere Passwörter

Der Hightech-Verband Bitkom hat acht Tipps zum richtigen Umgang mit Passwörtern aufgestellt:

1. Benutzen Sie bei wichtigen Online-Diensten nicht das gleiche Passwort

Für Dienste mit besonders sensiblen Daten wie eMail, sozialen Netzwerken oder Online-Banking sollten nie Passwörter genutzt werden, die auch anderswo eingesetzt werden. Das ist zwar bequem, aber wenn dieses eine Passwort aufgedeckt wird, sind sämtliche dadurch abgesicherten Zugänge ohne Schutz.

2. Ändern Sie Ihre Passwörter regelmäßig

Wenn Sie Ihr Passwort nicht selbst wählen können, sondern zugewiesen bekommen, ändern Sie es umgehend. Generell sollten Sie Ihre wichtigsten Passwörter spätestens alle drei Monate ändern. Stellen Sie am besten Ihren Computer so ein, dass er Sie an den Wechsel erinnert.

3. Wählen Sie starke Passwörter

Ein Passwort wird nach heutiger Bewertung dann als stark eingestuft, wenn es mindestens 8 Zeichen lang ist und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht. Grundsätzlich gilt: Je länger das Passwort ist, desto schwerer ist es zu knacken.

4. Verwenden Sie keine Passwörter mit persönlichem Bezug

Namen von Ehegatte, Kindern und Haustieren, Geburtstage oder Kfz-Kennzeichen lassen sich leicht erraten.

5. Schreiben Sie keine Passwörter auf

Der beste Schutz eines Passworts besteht darin, es sich nur zu merken.

6. Vermeiden Sie im Regelfall eine automatische Speicherung von Passwörtern

In den meisten Internet-Browser-Programmen besteht die Möglichkeit, Passwörter für bestimmte Webseiten speichern zu lassen. Diese Passwörter werden jedoch im Regelfall unverschlüsselt im Computer gespeichert. Daher sollten Sie diese Möglichkeit niemals auf Computern nutzen, die für Dritte frei zugänglich sind!

7. Sollte die Anzahl der zu merkenden Passwörter zu groß werden, benutzen Sie sichere Hilfsmittel

Ohne technische Hilfen lassen sich die obigen Hinweise für die sichere Passwort-Generierung und -Verwaltung kaum umsetzen. Doch so genannte „Passwortsafes“ können Sie unterstützen. Die Programme werden entweder auf einem verschlüsselten Bereich der Festplatte gespeichert oder mit externen Speichermedien wie USB-Sticks mit Ihrem Rechner verbunden. Sie erstellen erstens starke Passwörter nach den oben genannten Kriterien. Zweitens weisen sie bei Bedarf ein neues Passwort einer speziellen Web-Seite zu und nutzen beim Abruf dieser Web-Seite auch automatisch das richtige Passwort. Der Nutzer muss dabei das Passwort selbst gar nicht im Klartext kennen. Drittens werden alle Passwörter verschlüsselt gespeichert. Der Nutzer muss sich auf diese Weise nur noch ein möglichst sicheres Master-Passwort merken. Sollte er allerdings dieses vergessen oder offenbaren, können die anderen nicht mehr genutzt werden.

8. Benutzen Sie Zwei-Faktor-Authentifizierung

Wo möglich, sollten Sie eine Zwei-Faktor-Authentifizierung nutzen. Dabei wird nach der Eingabe des Passworts ein Sicherheitscode auf das Handy des Nutzers geschickt, der zusätzlich eingegeben werden muss. Ähnliche Verfahren werden seit langem beim Online-Banking eingesetzt. Wenn Dritte in den Besitz von Benutzernamen und Passwort kommen, können sie diese ohne das entsprechende Handy, auf das die Sicherheitscodes gesendet werden, nicht verwenden.