IT-Sicherheitsbehörde BSI 16 Millionen Schlüssel, unbekanntes Schloss

16 Millionen Anmeldeinformationen sind laut BSI in einem Botnetz aufgetaucht.

Vorsicht, Datendiebe: Hacker haben laut BSI 16 Millionen Mail-Adressen samt Passwörtern gestohlen. Unklar ist, wozu die Anmelde-Informationen gehören und woher die Kriminellen die Daten haben. Das BSI wusste einem Bericht zufolge aber offenbar schon seit Dezember von dem Klau.

Von Matthias Huber

123456. Einfach zu merken. Das haben sich im Jahr 2013 offenbar besonders viele Internetnutzer gedacht und deshalb diese Zahlenkombination zum geheimen Kennwort für ihren E-Mail-Zugang oder ihr Facebook-Konto gemacht. Ein amerikanisches Unternehmen, das Programme zur Passwortverwaltung entwickelt, veröffentlichte jetzt eine Liste mit häufig verwendeten - und besonders ungeeigneten - Kennwörtern. "123456" führt die Rangliste in diesem Jahr an, gefolgt vom Vorjahressieger "password". Was sie so besonders ungeeignet macht? Für Kriminelle und Hacker sind solche Passwörter ebenso einfach zu knacken, wie sie für den Nutzer zu merken sind.

Wie oft solche Passwörter auf der Liste stehen, die jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten hat, ist nicht bekannt. Auch nicht dem BSI selbst. "Uns liegen nur E-Mail-Adressen vor", sagte ein Sprecher der Behörde, "die zugehörigen Passwörter wurden uns nicht übermittelt." Einem Bericht der Mitteldeutschen Zeitung zufolge weiß das BSI allerdings schon seit Dezember von dem Datenklau bei deutschen E-Mail-Konten - unter Verweis auf laufende Ermittlungen wollte sich die Behörde damals aber nicht äußern.

16 Millionen solcher Begriffspaare aus E-Mail-Adresse und Passwort wurden von Ermittlern in einem sogenannten Botnetz gefunden. Ein Botnetz ist ein Netzwerk privater Computer, die ohne das Wissen der Nutzer mit Schadsoftware infiziert wurden. Kriminelle benutzen die betroffenen Rechner beispielsweise, um massenhaft ungewollte E-Mails zu versenden. Mehr als die Hälfte der Mailadressen endeten auf ".de" und gehörten daher wahrscheinlich Internetnutzern aus Deutschland, teilte das BSI mit.

Es ist aber nicht bekannt, wofür diese Zugangsdaten gelten. Wahrscheinlich ist, dass ein Teil der Einträge den Zugriff auf die jeweiligen E-Mail-Konten ermöglicht sowie möglicherweise auch auf andere Accounts, etwa in sozialen Netzwerken oder bei Online-Shops, falls dort die gleichen Anmeldedaten benutzt werden. Womöglich sollte die geballte Rechenleistung des Botnetzes dazu genutzt werden, um genau das herauszufinden: Die infizierten Computer würden dann besonders gängige Online-Dienste - beispielsweise Google, Facebook oder Amazon - automatisch aufrufen und die in der Liste enthaltenen E-Mail-Passwort-Kombinationen nacheinander für die Anmeldung ausprobieren.

Eine derart umfangreiche Liste speist sich wohl aus verschiedenen Quellen

Die 16 Millionen Datensätze sind jedoch kaum mit 16 Millionen betroffenen Internetnutzern gleichzusetzen. Einzelne E-Mail-Adressen könnten mehrmals mit unterschiedlichen Passwörtern auftauchen, also verschiedene Konten eines Nutzers beschreiben. Außerdem wisse man nicht, wie alt die Datensätze sind, sagte der BSI-Sprecher. "Gut möglich, dass manche Adressen seit Monaten oder Jahren nicht mehr genutzt werden oder bereits gelöscht sind, und dass die zugehörigen Passwörter längst nicht mehr funktionieren."

Ebenfalls unbekannt ist, wie die Botnetz-Betreiber überhaupt an die Datensätze gelangt sind. Weil noch ermittelt werde, wollte das BSI keine weiteren Angaben zur Quelle der Daten machen. Denkbar ist, dass ein Teil der betroffenen Nutzer auf Phishing-Mails hereingefallen ist oder Schadsoftware auf ihre Rechner eingeschleust wurde. "Der PC des Anwenders ist immer eine potenzielle Quelle für solche Datenlecks", heißt es von Seiten der Behörde. Das BSI empfiehlt daher allen Betroffenen, den eigenen Computer auf Schadsoftware zu überprüfen.

Allerdings liegt nahe, dass eine derart umfangreiche Liste mit Zugangsdaten sich aus verschiedenen Quellen speist. So könnte ein Teil der Passwörter von einer Datenbank eines kleineren Online-Dienstes - etwa eines Internet-Diskussionsforums - stammen, die nicht ausreichend gegen Hacker-Angriffe geschützt war. Solche kleinen Listen aus E-Mail-Adressen und zugehörigen Passwörtern tauchen täglich im Netz auf - unverschlüsselt und für jeden auf anonymen Text-Veröffentlichungs-Plattformen wie Pastebin auffindbar. Diese Listen umfassen in der Regel nur einige Hundert bis mehrere Tausend Einträge. Beobachtet man jedoch solche Quellen dauerhaft, lässt sich in relativ kurzer Zeit eine Liste mit mehreren Millionen Einträgen zusammenstellen.