Bei einem Hacker-Angriff auf den Internetkonzern Yahoo sind im Jahr 2014 Daten von mindestens 500 Millionen Nutzern gestohlen worden. Das bestätigte das Unternehmen am Donnerstag. Yahoo vermutet in einem Blogbeitrag, dass es sich um einen state-sponsored actor handelt. Mit diesem Begriff sind Hacker gemeint, die für oder im Auftrag eines Staates handeln.
Bei den Daten handelt es sich um Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten. Yahoo hat nach eigenen Angaben potenziell betroffene Nutzer benachrichtigt. In sozialen Netzwerken tauchten vor Stunden Bilder auf, in denen Yahoo seinen Nutzern riet, das Passwort zu erneuern. (Troy Hunt, der den unten eingebetteten Tweet gepostet hat, ist IT-Sicherheitsexperte und betreibt eine Webseite, die Nutzer davor warnt, wenn Hacker Zugriff auf ihre Passwörter bekommen.)
Die SZ-Redaktion hat diesen Artikel mit einem Inhalt von X Corp. angereichert
Um Ihre Daten zu schützen, wurde er nicht ohne Ihre Zustimmung geladen.
Ich bin damit einverstanden, dass mir Inhalte von X Corp. angezeigt werden. Damit werden personenbezogene Daten an den Betreiber des Portals zur Nutzungsanalyse übermittelt. Mehr Informationen und eine Widerrufsmöglichkeit finden Sie untersz.de/datenschutz.
Zugriff auf (verschlüsselte) Passwörter
Die Hacker hatten auch Zugriff auf Passwörter. Allerdings waren diese mit einer sogenannten Hash-Funktion versehen. Das heißt, sie sind verschlüsselt. Webseiten speichern nicht das Passwort selbst, sondern den Hash. Wird das Passwort erneut eingegeben, wird ein Hash erstellt. Stimmt der neu generierte mit dem bereits abgespeicherten überein, gilt der Login als erfolgreich.
Diesen Wert zu generieren, ist für moderne Rechner mit keinem Aufwand verbunden. Aus einem generierten Wert jedoch auf das Passwort zurückzuschließen, kann auch für moderne Rechner kompliziert bis praktisch unmöglich sein. Ist die Funktion schwach, können Hacker mit speziellen Programmen Millionen bis Milliarden Kombinationen durchprobieren. Sobald eine Kombination erfolgreich ist, kennen die Hacker auch das jeweilige Passwort.
Daher kommt es auf die jeweilige Stärke der Funktion an, mit dem die Passwörter unkenntlich gemacht werden. Yahoo hat "bcrypt" eingesetzt. Das Verfahren gilt als sehr sicher. Nutzer sollten aus Sicherheitsgründen dennoch ihr Passwort ändern.
Einer Aussage, der man nur schwer trauen kann
Mark Burnett ist ein IT-Sicherheitsexperte, der sich unter anderem auf Passwörter spezialisiert hat. Im Telefongespräch mit SZ.de sagt er, dass ihm nicht nur der Datendiebstahl Sorge bereitet. "Yahoo hat nicht einmal mitbekommen, dass Hacker Zugriff auf eine derart immense Zahl an Daten hatten." Wenn der Konzern nun also behaupte, dass die Hacker nicht mehr in den Firmen-Netzwerken seien, sei dieser Aussage nur schwer zu trauen.
"In der Regel sind solche Angriffe nicht das Resultat eines kleinen Fehlers", sagt Burnett. Es gebe eine Reihe von fundamentalen Problemen. Aber auch Burnett betont: "Dass sie bcrypt verwendet haben, das ist gut."
"Eine zunehmend vernetzte Welt hat zunehmend komplexe Bedrohungen hervorgebracht", heißt es in dem Statement von Yahoo. "Wirtschaft, Politik und Nutzer geraten ständig ins Fadenkreuz gegnerischer Kräfte."
Unklar, wer dahintersteckt
Detailliertere Angaben zur möglichen Identität der Hacker machte der Konzern nicht. Dafür könnte es mehrere Gründe geben. Eine forensisch einwandfreie Erklärung dafür, wer für einen Angriff verantwortlich ist, gilt unter IT-Sicherheitsexperten mitunter als äußerst schwer.
Erste Berichte über einen Datendiebstahl bei Yahoo waren im Sommer aufgekommen, als ein Hacker im Internet angebliche Zugänge zu Nutzerkonten angeboten hatte.
Es ist unklar, ob es zwischen beiden Vorfällen einen Zusammenhang gibt. Zwei Unterschiede lassen sich jedoch feststellen. Erstens: Die Passwörter waren angeblich mit einem anderem Algorithmus abgesichert - einem deutlich schwächeren. Zweitens: Im aktuellen Fall handelt es sich um Daten aus dem Jahr 2014, im älteren Fall um Daten aus - angeblich - 2012.