Datenklau bei Yahoo: "Richtig Mist gebaut"

Yahoo muss den größten Datenklau der Geschichte zugeben - nicht das erste Mal. Nutzer, die ein Yahoo-Konto haben, sollten ihr Passwort ändern. Der Fall wird aber auch Konsequenzen haben für den geplanten Verkauf des Yahoo-Kerngeschäfts an Verizon.

Bereits zum zweiten Mal in diesem Jahr muss das kriselnde Internet-Unternehmen Yahoo einen Datendiebstahl im großen Stil zugeben. Datensätze von einer Milliarde Konten sollen unbekannte Angreifer im August 2013 erbeutet haben. Das wäre der größte bekannte Datenklau der Geschichte. Was es damit auf sich hat - die wichtigsten Fragen und Antworten.

Was genau konnten die Hacker stehlen?

Yahoo-Sicherheitschef Bob Lord bleibt hier im Konjunktiv: Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und "unverschlüsselte oder verschlüsselte Sicherheitsfragen und -antworten" könnten ausgelesen worden sein. Kreditkarten- und Bankkontodaten seien nicht betroffen, da sie woanders gespeichert wurden.

Wurden Passwörter ausgelesen?

Theoretisch: Nein. Yahoo speichert Passwörter nicht im Klartext. Allerdings gilt die verwendete Einwegverschlüsselung seit mehr als einem Jahrzehnt als relativ unsicher. Durch die gestiegene Rechenkraft lassen sich solche Passwörter knacken.

Datenklau bei Yahoo - war da nicht schon einmal etwas?

Richtig - bereits im September dieses Jahres gab Yahoo bekannt, dass Daten von 500 Millionen Nutzern gestohlen worden waren. Der damals enthüllte Angriff stammte aus dem Jahr 2014, der jetzt bekannt gewordene fand bereits ein Jahr zuvor statt. Man gehe davon aus, dass es sich um zwei unterschiedliche Attacken handele, heißt es. Allerdings bestünden in bestimmten Aspekten Verbindungen zum Daten-Einbruch von 2014, den Yahoo mit einem "staatlich unterstützten Akteur" in Verbindung bringt. Der Sicherheitsanalyst Andrew Komarow hat erklärt, dass eine osteuropäische Hackergruppe die Daten angeboten habe. Unklar ist, wie groß die Schnittmenge zwischen beiden Datensätzen ist - also wie viele Kunden zwei Mal Opfer von Datendiebstahl wurden.

Wie lange wusste Yahoo schon davon?

Am 7. November dieses Jahres übergaben Sicherheitsbehörden der Firma Datensätze, die sie von einem Hacker erhalten hatten. Diese deuteten auf einen unberechtigten Zugriff hin. Das hat sich nun bestätigt, und zwar in gewaltigem Ausmaß. Unklar ist, ob Yahoo - wie bei dem im September bekannt gewordenen Fall von 2014 - den Zugriff bereits registriert, aber das Ausmaß unterschätzt hatte.

Wie drangen die Angreifer ein?

Ein großes Problem versteckt sich in einem Nebensatz: Man wisse noch nicht, wie die Angreifer in das System gekommen seien, heißt es von Yahoo. Das könnte bedeuten, dass die Sicherheitslücke weiterhin besteht. "Yahoo hat richtigen Mist gebaut", kommentierte der angesehene IT-Sicherheitsexperte Bruce Schneier, "man sieht jetzt, dass sie Sicherheit nicht ernst genommen haben". Gut möglich, dass das 1995 gegründete Unternehmen bestimmte ältere Teile seines Codes nicht überarbeitet und sich so angreifbar gemacht hat.

Sind wirklich eine Milliarde Menschen betroffen?

"Mehr als eine Milliarde Konten" bedeutet nicht, dass es sich um aktive Nutzer handelt, zumal der Kundenstamm der Firma in den vergangenen Jahren deutlich geschrumpft ist.

Was bedeutet das für Nutzer?

Yahoo informiert die betroffenen Kunden und setzt das Passwort zurück. Unverschlüsselte Sicherheitsfragen werden deaktiviert. Wer sein Yahoo-Passwort von 2013 für andere Konten verwendet, sollte auch dort die Passwörter ändern. Wie bei allen sensiblen Konten ist dabei neben einem komplexen Passwort die Zwei-Faktor-Authentifizierung ein erster Schritt, den Zugriff zu erschweren. Allerdings zweifeln amerikanische Bürgerrechtler ohnehin daran, ob Yahoo noch zu trauen ist: Zwei ehemaligen Mitarbeitern zufolge scannte das Unternehmen E-Mails für amerikanische Sicherheitsbehörden wie NSA und FBI nach bestimmten Schlagworten.

Warum ist das für die Übernahme durch Verizon wichtig?

Der amerikanische Telekom-Konzern will Yahoos Kerngeschäft eigentlich für 4,8 Milliarden US-Dollar übernehmen. Zuletzt hat die Firma aber angesichts ständig neuer Enthüllungen bereits Zweifel kundgetan, ob der einstige Internet-Riese das Geld noch wert ist. Jetzt kündigte Verizon wortkarg an, die Angelegenheit im Blick zu behalten. Ehe eine endgültige Entscheidung getroffen werde, würde die neue Entwicklung geprüft.

Klar ist, dass auch die Kritik an Yahoos Noch-Chefin Marissa Mayer wachsen dürfte. Sie amtiert seit 2012 und wird nach der Übernahme absehbar wohl ohnehin ausscheiden. Nun wird bereits der zweite große Sicherheits-Zwischenfall unter ihrer Ägide bekannt.