Gestohlene Passwörter: Der zähe Kampf gegen digitale Einbrecher

Es ist eine der größten Cyberattacken der Geschichte: Kriminelle haben 18 Millionen Zugangsdaten gesammelt, betroffen sind auch bis zu drei Millionen Deutsche. Was müssen Nutzer beachten? Wie können sie sich schützen?

Zum zweiten Mal binnen weniger Monate haben Hacker Millionen Zugangsdaten für Internetkonten abgegriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass auch drei Millionen Deutsche betroffen sind. Wie ernst muss man das nehmen, was kann man gegen den Datenklau tun? Antworten auf die wichtigsten Fragen. Um welchen Daten geht es?

Die Liste enthält 18 Millionen Datensätze: Dabei handelt es sich jeweils um eine E-Mail-Adresse und einen zweiten Begriff - sehr wahrscheinlich ein zugehöriges Passwort. Die Staatsanwaltschaft in Verden an der Aller hat den Datensatz bei aktuellen Ermittlungsarbeiten entdeckt und dann an das BSI weitergereicht. "Man darf sich das allerdings nicht als eine geordnete Liste vorstellen", sagte ein Sprecher des BSI. Deshalb seien die unsortierten Daten erst mal bereinigt worden. Zu welchen Online-Konten diese Informationen Zugriff gewähren, ist unklar. Das BSI nimmt aber an, dass sich unter den gestohlenen Daten auch solche befinden, die Zugriff auf die E-Mail-Postfächer der Nutzer ermöglichen. Sie könnten aber auch für andere Online-Dienste angelegt worden sein.

Woher stammen die Daten?

Es ist nach Ansicht des BSI "sehr unwahrscheinlich", dass die Daten bei einem einzigen Online-Dienst gestohlen wurden. Vermutlich handelt es sich bei dem Datensatz um eine Sammlung, die aus vielen verschiedenen Quellen stammt. Dafür spreche auch die ungeordnete Struktur. Wahrscheinlich sei ein Großteil auf den Rechnern der Betroffenen abgegriffen worden, etwa durch eine Schadsoftware, mit der die Computer der Nutzer gekapert wurde. Solch eine Software kann mitlesen, wenn Zugangsdaten auf der Tastatur eingegeben werden. Ein Teil der Passwörter könnte auch von einer Datenbank eines kleineren Online-Dienstes stammen, die nicht ausreichend gegen Angriffe geschützt war.

Wer ist betroffen?

Die großen deutschen E-Mail-Anbieter Telekom, Freenet, GMX, Kabel Deutschland, Vodafone und web.de haben vom BSI die E-Mail-Adressen bekommen und wollten Betroffene bis Montagabend per E-Mail informieren. Kunden anderer Anbieter können ihre E-Mail-Adresse auf der Website des BSI überprüfen lassen. Dazu muss man die E-Mail-Adresse eingeben und erhält dann einen vierstelligen Code. An Betroffene, deren Daten geklaut wurden, schickt das BSI anschließend eine Mail mit dem Code in der Betreffzeile. Der Code soll sicherstellen, dass die E-Mail tatsächlich vom BSI stammt. Das eigene Passwort muss man bei der Prüfung nicht angeben. Mails, die dazu auffordern, stammen von Betrügern.

Was sollten Datenklau-Opfer tun?

Bei Betroffenen ist der eigene Rechner mit einiger Wahrscheinlichkeit von Schadsoftware befallen. Anders als früher bemerkt man davon heute oft nichts. Deshalb sollte man also seinen Computer umgehend auf Schädlinge testen. Das lässt sich auch mit kostenloser Software erledigen, zum Beispiel mit dem PC-Cleaner von Avira. Die Software steht zum Herunterladen bereit auf der Seite http://www.bsi-fuer-buerger.de. Außerdem wichtig: Damit abgeschöpfte Zugangsdaten nicht weiter missbraucht werden können, sollten alle Passwörter geändert werden.

Informiert das BSI richtig?

Auch wenn man darüber streiten kann: Wichtig ist, dass überhaupt informiert wird. Denn im Netz kursieren viele Listen mit Zugangsdaten, ohne dass irgendein Betroffener je informiert worden wäre. Gleichwohl gibt es teilweise auch Kritik an dem BSI, so zum Beispiel daran, dass die Information an jene E-Mail-Adressen der Betroffenen versendet wird, deren Zugangsdaten gehackt wurden. Die Datenräuber könnten die Mail theoretisch also abfangen. Da solche großen Datensätze meist aus einer Vielzahl von Quellen zusammengefügt werden, ist aber nicht zu erwarten, dass die Benachrichtigungen systematisch geblockt werden. Zudem ist es relativ einfach und günstig, die Betroffenen per Mail zu informieren. Das BSI hat die Internetnutzer zudem diesmal erheblich schneller als beim ersten Fall informiert.

Wie wehrt man Datendiebe ab?

Die wichtigste Regel: Kein Passwort zwei Mal verwenden! Geraten dann Kriminelle an die Zugangsinformationen, ist nur ein einzelnes, womöglich harmloses, Konto betroffen. Außerdem sollte man sichere Passwörter auswählen. Ein solches setzt sich aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen zusammen. Experten raten davon ab, echte Wörter oder gar Bestandteile der damit verbundenen E-Mail-Adresse zu verwenden. Ein gängiger Trick für ein sicheres und trotzdem gut zu merkendes Passwort ist, sich einen Satz auszudenken und aus den Anfangsbuchstaben der einzelnen Wörter das Kennwort zu bilden. Ein solches Passwort kann von Programmen, die verschiedene gängige Kombinationen automatisch ausprobieren, kaum geknackt werden. Damit ein sicheres Passwort nicht in falsche Hände gerät, sollte man seinen Computer und andere Geräte wie Smartphones oder Tablets regelmäßig mit aktueller Anti-Virus-Software auf Schadsoftware überprüfen. Außerdem sollte man in verdächtigen E-Mails keine Links anklicken.