Cyber-Kriminalität: Deutschlands großer Datenklau

(c) APA/EPA/ARMIN WEIGEL (ARMIN WEIGEL)
  • Drucken

16 Millionen Zugangsdaten wurden gestohlen. Was kann damit angestellt werden? Wie kann man sich besser schützen? „Die Presse“ beantwortet die wichtigsten Fragen.

Wien. Am Dienstag brach mehrmals die Internetseite des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) zusammen. Schuld war eine Art unabsichtlicher Cyber-Angriff: Nachdem das BSI bekannt gegeben hatte, dass 16 Millionen E-Mail-Adressen/Passwortkombinationen gestohlen wurden – und man über die Seite des Amtes prüfen könne, ob man betroffen sei –, ist diese wegen des Ansturms schlicht kollabiert. Viele Menschen sind verunsichert, da sich derartige Meldungen häufen und immer mehr Aktivitäten sich ins Netz verlagern, oft unter Verwendung sensibler Daten etwa von Kreditkarten.

1. Was ist überhaupt passiert? Welche Daten wurden gestohlen?

Deutsche Online-Fahnder entdeckten in einem sogenannten Bot-Netz die Daten von 16 Millionen Onlinekonten, d.h. Kombinationen von E-Mail-Adressen und Passwörtern. Dies ist nicht, wie mitunter berichtet, mit 16 Millionen E-Mail-Konten gleichzusetzen. Ein Bot-Netz ist ein Netzwerk von Computern, die von Cyber-Kriminellen gekapert wurden.

Die Hälfte der E-Mail-Adressen hat laut BSI die deutsche Endung „de“, die österreichische, „at“, tauche nicht auf. Das heißt freilich wenig, denn viele Anbieter hatten lange gar keine solche Endung im Programm. Heimische Nutzer können also dennoch betroffen sein.

2. Welcher Schaden kann mit diesen Daten angerichtet werden?

Das wahrscheinlichste Szenario ist eine Verwendung der Mail-Adresse zum Versenden von Spam. Diese ungeliebten Nachrichten mit meist betrügerischem Inhalt werden zu hunderten Millionen versandt, was nicht nur Server schnell überlastet, sondern auch den Absender rasch als nicht vertrauenswürdig bekannt macht. Versender solcher Massenmails benötigen daher möglichst viele „unbelastete“ E-Mail-Konten. Der Preis für eine Mio. Spam-Mails auf dem Schwarzmarkt wird auf etwa zehn Dollar geschätzt. Vermutlich ist die größte Gefahr für die 16 Mio. betroffenen Nutzer, dass sie nicht mehr auf ihre E-Mail-Konten zugreifen können und/oder in ihrem Namen Spam verschickt wird. Das Risiko eines Missbrauchs steigt, wenn für verschiedene Online-Accounts dieselbe E-Mail/Passwort-Kombination gewählt wird. Brisant wird das, wenn es sich dabei um Onlineshops wie etwa Amazon handelt. Meist haben haben derartige Seiten aber zusätzliche Sicherheitsmechanismen eingebaut.

3. Wie kann ich feststellen, ob ich selbst betroffen bin?

Das BSI bietet unter www.sicherheitstest.bsi.de eine Möglichkeit zur Überprüfung an. Genau dies sorgte aber sofort für massive Kritik: In Foren und sozialen Netzwerken werden dem BSI unlautere Absichten unterstellt und darauf hingewiesen, dass es mit dem US-Geheimdienst NSA zusammenarbeitet. Das Amt versichert freilich, die Daten sofort wieder zu löschen. Österreichs Bundeskriminalamt empfiehlt, das Angebot des BSI zu nutzen.

4. Wie kann man sich künftig besser schützen?

Die schlechte Nachricht: In der Regel muss ein Hacker gar keine Kundendatenbanken knacken, um an das Passwort eines Nutzers zu gelangen. Er probiert einfach zahllose Begriffe und Ziffernfolgen aus. Forscher schätzen, dass ein Profi binnen Minuten ein durchschnittliches Passwort knackt. Als relativ sicher gelten komplexe Zeichenketten, Kombinationen aus mehr als acht Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen in unlogischer Abfolge. Die Daten, die das BSI entdeckt hat, sind allerdings über klassische Schadprogramme in die Hände von Hackern gelangt. Davor schützt man sich am besten, wenn man seine Software mit Updates aktuell hält und einen Virenscanner verwendet.

5. Welche besonderen Unsicherheitsfaktoren gibt es?

Am besten geschützt sind in der Regel Stand-PCs und Laptops. Viel schlechter ist es um die Sicherheit von Smartphones bestellt. Im Oktober 2013 kam eine Untersuchung von Juniper Research zum Ergebnis, dass mehr als 80 Prozent davon keinen ausreichenden Schutz vor Cyber-Angriffen bieten. Und schon taucht ein neues Sicherheitsrisiko am Horizont auf: Das „Internet der Dinge“, also Haushalts- und Unterhaltungsgeräte mit Internetanschluss (etwa Smart-TV). Erst vergangene Woche wurde laut „Spiegel“ die erste groß angelegte Spam-Welle entdeckt, für die auch solche Geräte missbraucht wurden.

Das größte Sicherheitsrisiko ist der Mensch selbst: Die meisten Nutzer entscheiden sich für eines der 100 beliebtesten Passwörter. Diese Listen sind leicht zu bekommen, und für Programmierer ist es keine Kunst, binnen Sekunden hunderte Begriffe auszuprobieren.

("Die Presse", Print-Ausgabe, 23.01.2014)

Lesen Sie mehr zu diesen Themen:

Mehr erfahren

A hand is silhouetted in front of a computer screen in this picture illustration taken in Berlin
Internet

Datenraub in Deutschland: Spur führt nach Osteuropa

16 Mio. E-Mail-Adressen und Passwörter wurden von einer deutschen Behörde entdeckt. Der Server steht im Ausland, was die Ermittlungen erschwert.
A magnifying glass is held in front of a computer screen in this picture illustration taken in Berlin
Internet

Hackerangriff: Deutsches Bundesamt gerät selbst in Kritik

16 Millionen Online-Konten sind in die Hände von Hackern geraten. Eine deutsche Behörde versucht zu helfen und gerät selbst in die Kritik.
Internet

Millionen deutscher E-mail-Konten gestohlen

Die Datensätze enthalten E-Mail-Adresse und Passwörter. Der Großteil davon hat die Endung .de.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.