Süddeutsche Zeitung

Milliarden Login-Daten gehackt:So lief der Mega-Datenklau

Milliarden Datensätze, Millionen Passwörter, Hunderttausende betroffene Webseiten: Eine amerikanische Sicherheitsfirma ist bei einer russischen Hackergruppe auf eine gewaltige Datensammlung gestoßen. Was Internetnutzer jetzt wissen müssen.

Von Pascal Paukner

Es sind nur wenige Wörter, doch sie sagen viel aus. "You have been hacked" - "Sie wurden gehackt", steht an diesem Mittwoch oben auf der Webseite der amerikanischen Sicherheitsfirma Hold Security. Es ist eine Zustandsbeschreibung, die wohl auf Millionen Internetnutzer zutrifft. Die Firma hat einen groß angelegten Datenklau öffentlich gemacht. Womöglich handelt es sich sogar um den größten organisierten Datendiebstahl in der Geschichte des Internets.

Was ist passiert?

Eine russische Hackergruppe hat offenbar mittels verschiedener Taktiken die Kontrolle über mehr als 1,2 Milliarden Nutzernamen und Passwörter erlangt. Darunter sollen auch mehr als 500 Millionen E-Mail-Adressen sein. Das geht aus Untersuchungen der amerikanischen Sicherheitsfirma Hold Security hervor. Die Anmeldedaten sollen laut den Recherchen von insgesamt mehr als 420 000 Internetseiten zusammengetragen worden sein. Angeblich verfügen die Hacker sogar über 4,5 Milliarden Datensätze, viele davon sind aber offenbar Doubletten. Unklar ist, ob die abgegriffenen Passwörter in verschlüsselter oder unverschlüsselter Form vorliegen.

Wie sind die Hacker an die Daten gelangt?

Die bisherigen Befunde deuten darauf hin, dass die Daten nicht etwa bei einem konzentrierten Angriff erlangt wurden. Die Daten scheinen vielmehr über eine längere Zeit gesammelt und aus verschiedenen Quellen zusammengetragen worden zu sein. Offenbar sind auch Datensätze enthalten, von denen schon länger bekannt ist, das sie gehackt wurden.

Laut Hold Security sind die Hacker in mehreren Schritten vorgegangen:

  • Sie haben sich entweder auf dem Schwarzmarkt oder in Internetforen mit bereits kursierenden Anmeldedaten eingedeckt.
  • Mithilfe dieser Daten haben die Hacker massenhaft Spam über E-Mail-Accounts, soziale Netzwerke und andere Verbreitungswege verschickt. Der Spam wiederum enthielt Schadsoftware, die dazu führte, dass die Hacker die Kontrolle über Computersysteme übernehmen konnten. Ist ein Computer erst einmal mit entsprechendem Schadcode infiziert, können Experten von dort aus weiteren Schadcode verschicken und weitere Anmeldedaten abgreifen.
  • Vor einigen Monaten sollen die Hacker ihr Vorgehen geändert haben. Sie sollen sich Zugang zu einem größeren Botnetz verschafft und damit das Internet großflächig nach Lücken in Datenbanken durchsucht haben. Dadurch sollen sie auf mehr als 400 000 Webseiten gestoßen sein, die durch eine sogenannte SQL-Injektion angreifbar waren.
  • Diese Sicherheitslücken nutzen die Hacker, um weitere Daten anzusammeln.

Ein Botnetz ist ein Netzwerk aus Computern, die allesamt mit Viren infiziert sind. Wer ein Botnetz kontrolliert, kann damit komplexe Operationen wie etwa Angriffe auf Internseiten durchführen, die von einzelnen Rechnern aus nicht möglich wären.

Wie viele Nutzer sind betroffen?

Das ist schwer zu sagen. 1,2 Milliarden Anmeldedaten bedeuten aber nicht, dass 1,2 Milliarden Menschen betroffen sind. Wahrscheinlich sind viele Nutzer mehrfach zum Opfer geworden. Es ist aber auch wahrscheinlich, dass viele Daten veraltet sind und nicht mehr genutzt werden.

Welche Internetseiten sind betroffen?

Darüber macht die Sicherheitsfirma keine genauen Angaben. Unter den 420 000 Internetseiten seien große und kleine. Offenbar haben die Hacker ihre Software so programmiert, dass alle von den Opfern besuchten Webseiten automatisch nach Sicherheitslücken durchforstet werden. Auf der Liste der betroffenen Webseiten stünden Internetauftritte führender Unternehmen aus praktisch jedem Wirtschaftszweig der Welt. Der Chef der Sicherheitsfirma, Alex Holden, sagte der New York Times, man habe begonnen, betroffene Firmen über Sicherheitslücken in ihren Online-Auftritten zu informieren. Man habe allerdings nicht alle Webseitenbetreiber erreichen können. Viele der Webseiten seien noch immer angreifbar.

Was ist über die Hacker bekannt?

Die Hacker sollen ihre Zentrale in einer kleinen Stadt in Russland haben. Dahinter stecken laut New York Times weniger als ein Dutzend Männer im Alter von 20 bis 30 Jahren, die sich persönlich kennen. Die Gruppe habe im Jahr 2011 als Spammer begonnen, seit dem vergangenen April gehe sie aggressiver vor. Eine Verbindung zum russischen Staat gebe es nicht.

Wer hat den Vorfall aufgedeckt?

Die Sicherheitsfirma Hold Security stammt aus Milwaukee im US-Bundesstaat Wisconsin. Sie hat in den vergangenen Monaten mehrfach durch spektakuläre Veröffentlichungen auf sich aufmerksam gemacht. So hatte sie etwa im vergangenen Herbst einen großen Angriff auf den Softwarehersteller Adobe bekannt gemacht. Zudem hatte Hold Security den Angriff auf Kreditkartendaten beim amerikanischen Einzelhändler Target identifiziert.

Sicherheitsfirmen machen sich zunehmend auf die Suche nach großen Sicherheitslecks, weil deren Aufdeckung eine große Medienöffentlichkeit verspricht. Davon erhoffen sich die Firmen zusätzliche Aufträge.

Wie kann man sich jetzt schützen?

Die Sicherheitsfirma hat angekündigt, einen Dienst online stellen zu wollen, mit dem Internetnutzer überprüfen können, ob sie betroffen sind. Zunächst hatte das Unternehmen angekündigt, dass der Dienst kostenpflichtig sein soll. Inzwischen aber ist der Hinweis wieder verschwunden. Wer glaubt, er könnte betroffen sein, sollte auf jeden Fall sämtliche Passwörter ändern.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.2079006
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/pauk/rus
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.