Daten schützen

Schutz vor Diebstahl

Internetnutzer sollten ihre Passwörter regelmäßig ändern. Spätestens nach drei Monaten sei es Zeit für ein neues Passwort, rät der IT-Verband Bitkom. Damit Nutzerkonten gut geschützt sind, sollten Passwörter möglichst lang sein und auch Zahlen und Sonderzeichen enthalten, empfiehlt das Hasso-Plattner-Institut in Potsdam (HPI). Generell sollte ein Passwort nicht für mehr als einen Internetdienst genutzt werden.

Datenklau erkennen
Im jüngsten Fall gibt es noch keine Möglichkeit für Nutzer, herauszufinden, ob ihre Daten gestohlen wurden. Für ältere Fälle bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Webseite zur Überprüfung von E-Mail-Adressen an, die weiterhin unter sicherheitstest.bsi.de nutzbar ist. Einen weiteren Sicherheitscheck gibt es beim Hasso-Plattner-Institut unter sec.hpi.de

Folgen von Datenklau
Gestohlene E-Mail-Konten werden oft genutzt, um Bekannte des Opfers anzuschreiben und beispielsweise um Geld zu bitten. Wer Zugang zu fremden E-Mail-Konten hat, kann auch über die "Passwort vergessen?"-Funktion weitere Passwörter etwa für Online-Shops herausfinden. Der Kriminelle kann dann im Namen des Opfers einkaufen und für beträchtliche finanzielle Schäden sorgen.

Magdeburg l Die Geschichte ist abenteuerlich: Ein Dutzend junger Männer, die überwiegend aus dem südlichen Zentralrussland stammen, sollen 1,2 Milliarden Login-Kombinationen aus Benutzernamen und Passwörtern von 420000 Webseiten gestohlen haben. Die meisten Daten bezogen die Internet-Piraten angeblich über den Schwarzmarkt von anderen Hackern.

Wie groß das Ausmaß des Raubzuges sein könnte, wird im Vergleich deutlich: Experten gehen davon aus, dass weltweit zwei Milliarden Menschen das Internet nutzen. Sollten tatsächlich 1,2 Milliarden Login-Daten abgefischt worden sein, wäre etwa jeder dritte Internetnutzer betroffen. Die Zahl der Opfer könnte aber auch etwas geringer ausfallen, da viele Nutzer in der Regel über mehrere Login-Kombinationen verfügen.

Die US-Firma, die den angeblichen Datenklau enthüllt hat, will sich überraschenderweise aber nicht weiter zu ihrem Scoop äußern. Weder gab Hold Security bekannt, um wessen Daten es sich handelt, noch von welchen Firmen die Daten gestohlen wurden. Außerdem verschwieg sie bislang, ob die Hacker im Besitz von verschlüsselten oder unverschlüsselten Passwörtern sind. Stattdessen bietet die US-Firma den Betreibern von Webseiten nun an, gegen eine Jahresgebühr von 120 Dollar prüfen zu lassen, ob sie von den russischen Hackern heimgesucht worden sind.

Nach dem ersten Schock über die Nachricht selbst sah sich Hold Security deshalb schnell der Kritik ausgesetzt, mit dem Datenklau auch noch Geld verdienen zu wollen. Auch gab es Stimmen, bei dem ganzen Scoop handele es sich lediglich um eine PR-Kampagne. Immerhin hat die US-Firma den Termin ihrer Veröffentlichung wohl nicht ganz zufällig in die Woche gelegt, in der sich in Las Vegas Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz "Black Hat" treffen. Bei dem Treffen wollen Sicherheitsfirmen in der Regel immer mit spektakulären Enthüllungen glänzen.

Völlig substanzlos dürfte der vermeintliche Scoop von Hold Security allerdings auch nicht sein. Die IT-Experten der Firma waren in der Vergangenheit auch an der Aufdeckung des Diebstahls einiger Millionen Daten von Adobe Systems beteiligt. Und die "New York Times", die erstmals über den jüngsten Datenklau berichtete, schaltete vor ihrer Berichterstattung einen unabhängigen Fachmann ein, der die Erkenntnisse der Sicherheitsfirma als authentisch einstufte.

Ob nun auch Daten von Internet-Nutzern in Deutschland geklaut wurden, bleibt offen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte am Mittwoch, es prüfe den Datenklau mit den "zuständigen deutschen und amerikanischen Behörden". Sollte sich der Klau bestätigen, sei aber mit hoher Wahrscheinlichkeit davon auszugehen, dass auch deutsche Nutzer betroffen sind. Weiter hieß es, dass die Nutzer derzeit noch nicht prüfen lassen können, ob ihre Daten sicher sind.

Der Magdeburger IT-Experte Tobias Hoppe erklärte, dass er den gigantischen Datenklau technisch für möglich hält. "Ich bin allerdings überrascht, dass die Sicherheitsfirma schon so genaue Angaben zur russischen Hackergruppe machen konnte", sagte der wissenschaftliche Mitarbeiter der Arbeitsgruppe Multimedia und Security an der Uni Magdeburg. Das BSI mahnte derweil die Betreiber von Internetseiten an, mehr für die Sicherheit von Daten zu tun. Datenbanken sollten verschlüsselt vorgehalten werden, Sicherheitslücken in IT-Systemen und in der Software geschlossen werden. Ratgeber

Bilder