Wie buchstabiert man Yahoo Ende 2016? D-e-b-a-k-e-l. Das ist der Eindruck, der sich inzwischen aufdrängt: Bereits zum zweiten Mal in diesem Jahr muss die Firma von Marissa Mayer einen Datendiebstahl im großen Stil einräumen: Datensätze von einer Milliarde Nutzern sollen unbekannte Angreifer im August 2013 erbeutet haben. Das wäre der größte bekannte Datenklau in der Geschichte. Was es damit auf sich hat - die wichtigsten Fragen und Antworten.
Datenklau bei Yahoo ... war da nicht schon einmal etwas?
Richtig - bereits im September dieses Jahres gab Yahoo bekannt, dass Daten von 500 Millionen Nutzern gestohlen worden waren. Der damals enthüllte Angriff stammte aus dem Jahr 2014, der jetzt bekannt gewordene fand bereits ein Jahr zuvor statt. Man gehe davon aus, dass es sich um zwei unterschiedliche Attacken handele, heißt es. Allerdings bestünden in bestimmten Aspekten Verbindungen zum Daten-Einbruch von 2014, den Yahoo mit einem "staatlich unterstützten Akteur" in Verbindung bringt.
Der Sicherheitsanalyst Andrew Komarow hat erklärt, dass eine osteuropäische Hackergruppe die Daten angeboten habe. Unklar ist, wie groß die Schnittmenge zwischen beiden Datensätzen ist - also wie viele Kunden zwei Mal Opfer von Datendiebstahl wurden.
Was genau konnten die Hacker stehlen?
Yahoo-Sicherheitschef Bob Lord bleibt hier im Konjunktiv: Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und "unverschlüsselte oder verschlüsselte Sicherheitsfragen und -antworten" könnten ausgelesen worden sein. Kreditkarten- und Bankkontodaten seien nicht betroffen, da sie woanders gespeichert wurden.
Wurden Passwörter ausgelesen?
Theoretisch: nein. Yahoo speichert die Passwörter nicht im Klartext. Allerdings gilt die verwendete Einweg-Verschlüsselung (Hashed MD-5) seit mehr als einem Jahrzehnt als relativ unsicher. Durch die steigende Rechenkraft lassen sich solche Passwörter mit Hilfe eines Datenbank-Abgleichs knacken.
Wie lange wusste Yahoo schon davon?
Am 7. November dieses Jahres übergaben Sicherheitsbehörden der Firma Datensätze, die sie von einem Hacker erhalten hatten. Diese deuteten auf einen unberechtigten Zugriff hin. Das hat sich nun bestätigt, und zwar in gewaltigem Ausmaß. Unklar ist, ob Yahoo - wie bei dem im September bekannt gewordenen Fall von 2014 - den Zugriff bereits registriert, aber das Ausmaß unterschätzt hatte.
Wie drangen die Angreifer ein?
Ein großes Problem versteckt sich in einem Nebensatz: Man wisse noch nicht, wie die Angreifer in das System gekommen seien, heißt es von Yahoo. Das könnte bedeuten, dass die Sicherheitslücke weiterhin besteht. "Yahoo hat richtigen Mist gebaut", kommentierte der angesehene IT-Sicherheitsblogger Bruce Schneier, "man sieht jetzt, dass sie Sicherheit nicht ernst genommen haben". Gut möglich, dass das 1995 gegründete Unternehmen bestimmte ältere Teile seines Codes nicht überarbeitet und sich so angreifbar gemacht hat.
Sind wirklich eine Milliarde Menschen betroffen?
"Mehr als eine Milliarde Konten" bedeutet noch nicht, dass es sich um aktive Nutzer handelt, zumal der Kundenstamm der Firma in den vergangenen Jahren deutlich schrumpfte. Regelmäßig wird der Dienst im Hauptmarkt USA inzwischen vor allem für das bekannte Football-Fantasiespiel des Konzerns genutzt.
Was bedeutet das für Nutzer?
Yahoo informiert die betroffenen Kunden und setzt das Passwort zurück. Unverschlüsselte Sicherheitsfragen werden deaktiviert. Wer sein Yahoo-Passwort von 2013 für andere Konten verwendet, sollte auch dort seinen Zugang ändern. Wie bei allen sensiblen Konten ist neben einem komplexen Passwort (Kennwort-Ratgeber hier) die Zwei-Faktor-Authentifizierung ein erster Schritt, den Zugriff zu erschweren. Allerdings zweifeln amerikanische Bürgerrechtler ohnehin daran, ob Yahoo noch zu trauen ist: Zwei ehemaligen Mitarbeitern zufolge scannte das Unternehmen E-Mails für amerikanische Sicherheitsbehörden wie NSA und FBI nach bestimmten Schlagworten.
Warum ist das für die Übernahme durch Verizon wichtig?
Der amerikanische Telekom-Konzern will Yahoos Kerngeschäft eigentlich für 4,8 Milliarden US-Dollar übernehmen. Zuletzt hat die Firma aber angesichts ständig neuer Enthüllungen bereits Zweifel kundgetan, ob der einstige Internet-Riese das Geld noch wert ist. Jetzt kündigte Verizon wortkarg an, die Angelegenheit im Blick zu behalten. Ehe eine endgültige Entscheidung getroffen werde, würde die "neue Entwicklung" geprüft, teilte Sprecher Bob Varettoni mit.
Klar ist, dass auch die Kritik an Yahoos Noch-Chefin Marissa Mayer wachsen dürfte. Sie ist seit 2012 CEO und wird nach der Übernahme absehbar wohl ohnehin ausscheiden. Nun wird bereits der zweite große Sicherheits-Zwischenfall unter ihrer Ägide bekannt.