Zahlen mit vielen Nullen sind für Unternehmen meist eine gute Nachricht. Der vergangene Sommer brachte neben Rekordhitze auch Rekordzahlen: 65 Millionen bei Tumblr, 117 Millionen bei Linkedin, schließlich Myspace mit 360 Millionen. Das Problem: Es waren keine Quartalsgewinne, sondern Nutzerkonten, die Kriminelle erbeutet hatten. Jetzt hat Yahoo einen neuen, traurigen Rekord aufgestellt: eine halbe Milliarde gehackter Accounts bedeuten den größten Datendiebstahl, der bislang bekannt geworden ist. Die wichtigsten Antworten zum Hack:
Was genau ist passiert?
Am Donnerstagabend hat Yahoo bestätigt, dass Hacker 2014 Daten von mindestens 500 Millionen Nutzern erbeutet haben. Dabei handelt es sich um Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten, teilweise auch Antworten auf Sicherheitsfragen. Bankverbindungen und Kreditkartendaten sollen nach aktuellem Erkenntnisstand nicht betroffen sein. Außerdem haben die Angreifer Passwörter gestohlen. Nach Angaben von Yahoos Sicherheitschef Bob Lord waren sie nicht im Klartext gespeichert, sondern durch eine sogenannte Hashfunktion geschützt. Dabei verwandelt ein Algorithmus Kennwörter in komplexe Ziffernkombinationen, aus denen man nicht mehr auf den Ausgangswert schließen kann. Angeblich sei die "große Mehrheit" der Passwörter mit einem Verfahren geschützt worden, das als relativ sicher gilt. Allerdings ist unklar, wie viele Login-Daten mit schwächeren Hashfunktionen gesichert waren.
Yahoo glaubt, dass die Hacker im Auftrag eines Staates gehandelt haben. Die USA haben häufig Russland für Cyber-Attacken verantwortlich gemacht.
Wie hat Yahoo reagiert?
Betroffene Nutzer wurden per Mail informiert und aufgefordert, ihre Passwörter zu ändern. Außerdem hat Yahoo hat nicht-verschlüsselte Sicherheitsfragen deaktiviert. Experten untersuchen den Vorfall. Bei der Aufklärung arbeitet Yahoo mit Strafverfolgungsbehörden zusammen.
Was müssen Yahoo-Nutzer beachten?
Theoretisch kann jeder betroffen sein, der 2014 ein Konto bei Yahoo hatte. Das gilt vor allem für Nutzer von Yahoo-Mail, da bei einem E-Mail-Dienst viele sensible Informationen gespeichert sind. Wenn Kriminelle Zugriff auf das Postfach haben, können sie darüber die Zugangsdaten von anderen Seiten erbeuten, die mit dem Account verknüpft sind. Weltweit nutzen weniger als 300 Millionen Menschen Yahoo-Mail. Selbst wenn alle diese Accounts betroffen sein sollten, bleiben mehr als 200 Millionen weitere. Dabei könnte es sich zum Beispiel um Login-Daten für die Foto-Plattform Flickr oder den Blogging-Dienst Tumblr handeln, die beide zu Yahoo gehören. Auch diese Nutzer sollten ihre Passwörter ändern und sicherstellen, dass sie dieselben Kennwörter bei keinem anderen Dienst verwenden.
Außerdem müssen Yahoo-Nutzer ab sofort noch vorsichtiger sein, wenn sie per Mail aufgefordert werden, auf Links zu klicken, Anhänge herunterzuladen oder Passwörter zu ändern. Mit den erbeuteten Daten wie Namen und Geburtsdaten lassen sich täuschend echte Phishing-Mails erstellen, die Nutzer persönlich ansprechen. Obwohl es so wirkt, als kämen die Mails von Google, Amazon oder Ebay, stecken in Wirklichkeit Kriminelle dahinter.
Welche grundlegenden Sicherheitsregeln gelten im Netz?
Ständig werden neue Hacks bekannt, dubiose Webseiten verkaufen mehrere Milliarden gestohlener Zugangsdaten. Dagegen können einzelne Nutzer wenig ausrichten. Ihnen bleibt nur übrig, sich so gut wie möglich zu schützen. Sie sollten lange, komplexe Passwörter verwenden, am besten in Kombination mit einem Passwortmanager. Besonders wichtig ist es, Kennwörter nicht mehrfach zu nutzen. Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit deutlich. Dabei müssen Nutzer zum Passwort einen zweiten Code eingeben, den sie per SMS oder App auf dem Smartphone empfangen.
Was bedeutet der Hack für Yahoo?
Im Juli verkaufte Yahoo sein Kerngeschäft für 4,8 Milliarden Dollar an Verizon. Analysten sind uneins, ob der Vorfall den Deal gefährdet und Verizon versucht, den Preis noch zu drücken. Ein Verizon-Sprecher sagte, man habe nur "eingeschränkte Informationen über die Auswirkungen". Microsoft zahlte 26,2 Milliarden Dollar für Linkedin - kurz, nachdem bekannt wurde, dass Daten von 117 Millionen Nutzern erbeutet wurden. Teure Übernahmen müssen also nicht an großen Datenlecks scheitern.