Hacker-Angriff: 1,2 Milliarden Passwörter gestohlen

    06.08.2014, 14:34 Uhr

    Nachdem in den vergangenen Monaten immer wieder Daten-Diebstähle im Netz bekannt wurden, hat ein neuer Fall aus Russland nun ganz neue Dimensionen erreicht. Ganze 1,2 Milliarden Daten sollen gestohlen worden sein. Und der Entdecker des Hacks versucht nun, mit dem Vorfall Kasse zu machen.

    Diesmal könnte jeder Internet-Anwender weltweit betroffen sein: Hacker aus Russland sollen 1,2 Milliarden Login-Kombinationen aus Benutzernamen und Passwörtern erbeutet haben. Insgesamt fänden sich über 500 Millionen E-Mail-Adressen in dem Datensatz, berichtete die "New York Times". Experten schätzen, dass das Internet weltweit von über zwei Milliarden Menschen genutzt wird.

    Es ist kein Zufall, dass der gigantische Datenklau in diesen Tagen enthüllt wurde. In der US-Wüstenstadt Las Vegas versammeln sich derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz "Black Hat". Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen. Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus dem US-Bundesstaat Milwaukee. Die Experten von Hold Security hatten in der Vergangenheit bereits andere große Hacks enttarnt und waren unter anderem an der Aufdeckung des Diebstahls einiger Millionen Daten von Adobe Systems beteiligt.

    Nach Angaben von Hold Security stammen die geklauten Daten von 420 000 Websites, die auch von großen Unternehmen betrieben werden. Dort gaben die Nutzer die jetzt erbeuteten E-Mails und Passwörter ein, um ihre Profile aufzurufen. Eine Sicherheitslücke in der Datenbankabfrage soll es den Hackern ermöglicht haben, die sensiblen Informationen abzufischen. Die meisten der betroffenen Webseiten seien noch immer für weitere Attacken anfällig. Dabei hält sich der entstandene Schaden bislang in Grenzen. Der Gründer von Hold Security Alex Holden erklärte, die Angreifer hätten die erbeuteten Informationen lediglich für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie würden allerdings erwägen, die geklauten Daten zu verkaufen. Wie viele der erbeuteten Einwahl-Daten noch aktuell benutzt werden, ist unklar.

    Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack aus Russland für die eigenen Dienste zu werben und Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind. Den Netz-Nutzern will Hold Security in den kommenden 60 Tagen einen "Identity Protection Service" anbieten. Wer eine Voranmeldung für den Abo-Dienst ausfüllt, soll auch erfahren, ob er persönlich von dem Datenklau betroffen ist.

    Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die "New York Times" ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind. Die Zeitung sieht sich allerdings nun Vorwürfen ausgesetzt, bei dem Bericht nicht auf die kommerzielle Verbindung zu möglichen Produkten von Hold hingewiesen zu haben.

    Ohnehin können sich Internet-User in Deutschland die Ausgaben für einen Check sparen: Zum einen bieten das Hasso-Plattner-Institut sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Dienste kostenlos an. Außerdem sollten Anwender einfach davon ausgehen, dass Logins inzwischen in die Hände dubioser Hacker gefallen sind - besonders, wenn sie die Kombination seit Jahren verwenden. Sie sollten Konsequenzen ziehen und alte Einfach-Passwörter wie "123456" regelmäßig durch komplexe neue Geheimwörter ersetzen. Das BSI hatte Nutzer erst vor wenigen Monaten aufgefordert, wegen eines größeren Datendiebstahls die Passwörter ihrer E-Mail-Konten zu ändern.

    Für Anwendungen, die mit sensiblen Daten wie Finanzen, Job, Gesundheit und anderen private Dinge zu tun haben, sollte man außerdem versuchen, Alternativen zur Username-Passwort-Kombination zu finden. Banken oder Firmen wie Apple und Google bieten dazu die so genannte Zwei-Wege-Authentifizierung an. Bei diesem Verfahren erhält man zum Login einen Code über ein Mobiltelefon oder eine Chipkarte, der zusätzlich zum Passwort eigegeben werden muss. Diese Verfahren sind deutlich schwerer zu knacken.


    Das führende Portal für Digital-TV, Entertainment und Heimkino - DIGITAL FERNSEHEN

    06.08.14

    Hold Security : Das fragwürdige Angebot der Hacker-Jäger

    Die IT-Firma Hold Security enthüllte den milliardenfachen Datenklau – doch schweigt sie über entscheidende Details. Sie hat ein Interesse daran, den Hack möglichst bedrohlich wirken zu lassen.

    Hold Security heißt die IT-Sicherheitsberatung, die den jüngsten Milliarden-Datenraub im Internet aufgedeckt hat: Die Firma des Sicherheitsexperten Alex Holden aus Milwaukee im US-Bundesstaat Wisconsin hatte bereits in der Vergangenheit spektakuläre Hacks aufgedeckt, zuletzt den Diebstahl von Millionen Nutzerdatensätzen bei der US-Softwarefirma Adobe Ende 2013.

    Dieses Mal gibt sich Hold Security alle Mühe, den ohnehin aufsehenerregenden Datendiebstahl von insgesamt 4,5 Milliarden Datensätzen aus den Datenbanken von über 400.000 Web-Seiten so spektakulär wie möglich darzustellen: "You have been hacked" (Sie wurden gehackt), titelt der Enthüllungs-Blogpost in Großbuchstaben, darunter schüren die Enthüller gezielt die Angst potenzieller Opfer: Das Dutzend anonymer Hacker in Sibirien wird von Hold Security eigens mit dem Namen "Cybervor" getauft, die "New York Times" wird zur unabhängigen Bestätigung und maximal öffentlichkeitswirksamer Berichterstattung herangezogen, die Veröffentlichung zeitlich genau abgestimmt mit der Hackerkonferenz "Black Hat" in Las Vegas.

    Das Spektrum betroffener Seiten wird als so breit wie nur irgend denkbar beschrieben: "Hunderttausende Seiten sind betroffen, die Liste umfasst viele Marktführer in allen Branchen der Welt sowie eine Vielzahl von kleinen oder sogar privaten Homepages." Kurz gesagt: Jeder kann betroffen sein, jeder sollte überprüfen, ob er betroffen ist, sagt zumindest Hold Security.

    Firma lässt Details bewusst weg

    Doch welche Web-Seiten genau betroffen sind, verrät Hold Security eben nicht. Entscheidende Details zur Beurteilung der Auswirkungen und Dimension des Datendiebstahls lässt die Firma bewusst weg: Weder verrät sie, welche "Marktführer" welcher Branchen denn eigentlich beklaut wurden, noch geht sie genauer auf die Sicherheitslücken ein, die die Hacker ausnutzten.

    Die von Hold Security angeführte SQL-Injection-Technik (SQLI) beschreibt eine ganze Familie von Angriffen gegen Datenbanken, die völlig unterschiedliche Auswirkungen haben können. Auch wird nicht angeführt, ob die Hacker eine neue SQLI-Variante gefunden haben oder ob sie nur bereits bekannte SQLI-Methoden ausprobiert haben. Und das von den Angreifern verwendete Botnetz wird nicht genauer spezifiziert.

    Nicht zuletzt fehlen genauere Angaben zu den gestohlenen Daten: Wurden lediglich verschlüsselte Daten geklaut, oder Passwörter und Login-Daten im Klartext? Vermutlich konnten die Hacker je nach betroffener Web-Seite einen Mix aus verschlüsselten – und damit zunächst wertlosen – und unverschlüsselten Daten erbeuten, in diesem Falle wäre eine Aufklärung über die Zahl der nicht verschlüsselten Daten hilfreich.

    Doch natürlich erscheint der Hack ohne diese Information umso bedrohlicher. Deswegen versteckt sich Hold hinter angeblichen Schweige-Abkommen und Sicherheitsbedenken und verrät den besorgten Nutzern nicht, ob sie oder ihre Web-Seiten betroffen sind.

    Kostenpflichtiger Sicherheitscheck

    Warum die Firma ein Interesse daran hat, den Hack bedrohlich wirken zu lassen, wird unter der Überschrift "Was können wir nun tun" im Blogpost zum Hack deutlich: Anstatt offen Details zu dem Hack zu nennen, bietet Hold Security einen kostenpflichtigen Sicherheitscheck für Web-Seiten-Betreiber an: Wer wissen will, ob die eigene Seite beklaut wurde, kann sich für den "neuen" Dienst "Breach Notification Service" (BNS) registrieren.

    Für 120 Dollar pro Monat bietet Hold Security an, die Web-Seite auf Schwächen zu überprüfen. Nach erster Kritik etwa von Forbes, stellte die Firma die Seite für das Service-Abonnement schnell wieder offline, zudem kommentierte Axel Holden, seine Firma hätte die größten betroffenen Seiten bereits alarmiert, könne jedoch nicht jeden Web-Seiten-Betreiber individuell aufklären.

    Auch Nutzer sollen sich für einen Abgleich ihrer Mailadressen und Passwörter mit der Datenbank der russischen Hacker bei Hold Security registrieren: Der "Hold Identity"-Dienst wird als "kostenlos in den ersten dreißig Tagen" angepriesen – ob die Nutzer danach zahlen müssen oder gar mit der Eingabe ihrer Mailadressen ein längerfristiges Abonnement abschließen, wird nicht genauer erklärt.

    Offen bleibt zudem, wie genau die russische Hacker-Datenbank mit insgesamt 4,5 Milliarden Datensätzen in die Hände von Hold Security gelangt ist. Die "New York Times" beschreibt, dass die Sicherheitsexperten seit Längerem in persönlichem Kontakt mit den Tätern stehen – angesichts der Kommunikationsstrategie von Hold Security wird deutlich, dass es für die Sicherheitsexperten lohnend sein könnte, den Tätern ihre gestohlenen Daten schlicht abzukaufen.

    Nachrichten und aktuelle Informationen aus Politik, Wirtschaft, Sport und Kultur - DIE WELT

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden