Es hat etwas vom Häuten einer Zwiebel: Schicht um Schicht werden die unbrauchbaren Schalen abgelöst, bis schließlich das saftige Innere freiliegt. Das Innere, im Falle von Datenbanken sind das Datensätze, zum Beispiel Benutzernamen und die dazugehörigen Passwörter.
Exakt darauf haben es die Mitglieder einer Bande von Kriminellen abgesehen, die vom südlichen Zentralrussland aus operieren und sich mit einer virtuellen Zwiebelschalentaktik über schlecht gesicherte Datenbanken hermachen. Dies vermutet zumindest die amerikanische Firma Hold Security, die entdeckt hat, was sie als "womöglich größten Datendiebstahl der Internetgeschichte" titulierte: Die Hackergruppe - weniger als ein Dutzend Männer in ihren Zwanzigern - soll mit Angriffen auf Datenbanken von 420 000 Websites 1,2 Milliarden Kombinationen aus Benutzernamen und Passwörtern erbeutet haben.
Jeder, der schon einmal bei einem Internet-Versender bestellt hat, kennt das: Man meldet sich mit Nutzername und Passwort an, und schon begrüßt einen die Webseite mit Namen, hat auch bereits Konto- oder Kreditkartennummer gespeichert. Internet-Anbieter müssten sich eigentlich darüber im Klaren sein, dass sie diese Informationen hüten sollten wie ihre Augäpfel. Doch die Erfahrung zeigt: Aus Unwissenheit und Schlamperei werden Sicherheitslecks bei Server- und Datenbank-Software oftmals zu spät oder gar nicht gestopft. Diese Gelegenheit lassen sich Kriminelle nicht entgehen, zumal die Wahrscheinlichkeit, bei digitalen Raubzügen erwischt zu werden, eher gering ist.
Man braucht dazu nicht einmal mehr besondere Computerkenntnisse. Nahezu jeder, der gewöhnliche PC-Programme bedienen kann, ist mit ein bisschen Übung in der Lage, solche Angriffe über das Netz auszuführen. In den dunklen Kanälen des Internets ist entsprechende Software leicht zu bekommen. Wer es alleine nicht schafft, kann sogar eine Hotline kontaktieren.
Die Bande aus Russland hat sich ein eigenes System ausgedacht
Die Bande hat sich, so berichtet es Hold Security, ein eigenes System ausgedacht, um an die Informationen zu kommen. Sie nutzen Rechner, die mittels Viren gekapert wurden - sogenannte Bots. Über diese Bots greifen sie dann ferngesteuert auf Webseiten zu. Stellt ein Bot fest, dass eine Webseite über eine Datenbank verfügt und dass diese angreifbar ist, startet automatisch das entsprechende Programm und saugt die Daten ab. Insgesamt, so die US-Sicherheitsfirma aus Milwaukee, hätten die Kriminellen 4,5 Milliarden Datensätze erbeutet, darunter aber viele Doubletten, sodass schließlich 1,2 Milliarden Datensätze übrig blieben - trotzdem Rekord.
Muss man also davon ausgehen, dass bei etwa zwei bis zweieinhalb Milliarden Internetnutzern jeder zweite betroffen ist? Das zwar nicht, denn viele verwenden mehrere E-Mail-Adressen oder haben für jeden Dienst andere Zugangsinformationen angegeben. Auch wenn man die gigantische Zahl um eine Größenordnung reduziert, bleibt die Dimension doch gewaltig und zeigt, wie intensiv inzwischen das Internet als Tatmittel genutzt wird.
Sicherheitsfirmen profitieren von gestohlenen Daten
Das ist auch gut für das Geschäft von Firmen, die Sicherheit im Netz versprechen. Es ist daher bestimmt kein Zufall, dass Hold Security ausgerechnet jetzt mit einer Exklusiv-Geschichte in der New York Times herauskommt, da in Las Vegas Tausende Sicherheitsexperten auf dem Fachtreffen Black Hat zusammenkommen- da macht sich ein solcher Knüller eben besonders gut. Die Firma offerierte außerdem auch gleich einen Service, mit dem Firmen für 120 Dollar im Jahr prüfen lassen können, ob ihre Systeme angreifbar sind.
Ernst zu nehmen sei die Entdeckung dennoch, sagt Christoph Meinel, Direktor des Potsdamer Hasso-Plattner-Instituts. Hold hatte in der Vergangenheit bereits den Diebstahl einiger Hundert Millionen Login-Datensätze aufgedeckt, darunter die Attacke auf den Software-Hersteller Adobe. Dass alle jetzt gefundenen Daten alleine von der russischen Gruppe kommen, hält Meinel aber für unwahrscheinlich. Er vermutet eher, dass die Daten aus verschiedenen internationalen Quellen stammen.
Auch andere Fragen sind nach der Veröffentlichung des Fundes unbeantwortet. Am wichtigsten diese: Liegen die Passwörter im Klartext vor oder verschlüsselt? Zwar gibt es leistungsfähige Software zum Knacken von Passwörtern. Doch wenn diese lang und komplex genug sind, dann steigen die Chancen, dass die Kriminellen irgendwann aufgeben und sich mit dem zufriedengeben, was die Passwort-Knacker schon nach wenigen Minuten ausspucken: Passwörter wie 123456 und ähnliche. Aber auch, welche Webseiten betroffen sind, wurde bisher nicht veröffentlicht.
Bei Hold, wo man bei der Recherche auch Kontakt zu der Bande aufgenommen hat, heißt es, die Kriminellen nutzten die erbeuteten Zugangsdaten, um über gekaperte E-Mail-Postfächer oder Profile sozialer Medien wie Facebook massenhaft Spam-Mails mit gefährlicher Fracht zu verschicken. Das Ziel: neue Rechner für die Netze aus infizierten Bots zu rekrutieren. Die Hacker erwögen aber auch, die Daten zu verkaufen. Ihren Wert schätzt die deutsche Sicherheitsfirma Gdata auf mindestens zwölf Millionen Euro.
Ein gutes Geschäft also für die Internet-Kriminellen - aber auch für die Verteidiger.