Erneut sind womöglich Millionen deutsche Internetnutzer Opfer von Datendieben geworden. Nach Informationen des Spiegels haben Ermittler der Staatsanwaltschaft Verden 18 Millionen Zugangsdaten entdeckt, die möglicherweise den Zugriff auf Nutzerkonten bei verschiedenen Online-Diensten erlauben. Erst im Januar hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgeteilt, dass Kriminelle etwa 16 Millionen Zugangsdaten erbeutet hatten.
Schon bei diesem Datenfund war aber nicht bekannt, wofür diese Zugangsdaten gelten. Es handelte sich dabei um Listen, die aus einer Reihe von E-Mail-Adressen mit jeweils einem zugehörigen Passwort bestehen. Denkbar ist, dass mindestens ein Teil der Einträge den Zugriff auf die jeweiligen E-Mail-Konten ermöglicht, sowie möglicherweise auch auf andere Accounts, etwa in sozialen Netzwerken oder bei Online-Shops, falls dort die gleichen Anmeldedaten benutzt werden.
Lutz Gaebel, Sprecher der Staatsanwaltschaft Verden, konnte auf Anfrage von Süddeutsche.de nicht bestätigen, dass es sich im aktuellen Fall um eine ähnlich strukturierte Liste von Daten handelt. "Wir haben Daten", sagte er, "mehr können wir aus ermittlungstaktischen Gründen nicht sagen." Allerdings sei der Fund "im Umfeld" der Ermittlungen zum vorherigen Fall angesiedelt.
Unklar ist, wie viele verschiedene Nutzer von der illegalen Datensammlung tatsächlich betroffen sind - und wie viele von ihnen aus Deutschland stammen. Laut Spiegel-Informationen gehen die Behörden von bis zu drei Millionen betroffenen deutschen Internetnutzern aus. Gaebel wollte diese Schätzung nicht bestätigen.
Neue Datensammlung "viel aktueller"
18 Millionen Datensätze sind jedenfalls kaum mit 18 Millionen betroffenen Internetnutzern gleichzusetzen. Einzelne E-Mail-Adressen könnten mehrmals mit unterschiedlichen Passwörtern auftauchen, also verschiedene Konten eines Nutzers beschreiben. Bereits bei der im Januar aufgetauchten Liste ergaben Stichproben des IT-Sicherheitsmagazins iX, dass sich darunter auch "eine Menge Datenmüll" befinde.
Laut Gaebel seien aber die aktuell gefundenen Zugangsdaten "viel aktueller". Also könnten jetzt mehr Nutzer von der illegalen Datensammlung betroffen sein. Wie die Ermittler zu dieser Einschätzung kommen, wollte die Staatsanwaltschaft aber nicht bekannt geben.
Außerdem war schon bei dem Fall im Januar nicht bekannt, wie die Kriminellen an die Datensätze gelangt sind. Denkbar ist, dass ein Teil der betroffenen Nutzer auf Phishing-Mails hereingefallen ist oder Schadsoftware auf ihre Rechner eingeschleust wurde.
Nutzer können sich mit sicheren Passwörtern schützen
Allerdings liegt nahe, dass eine derart umfangreiche Liste mit Zugangsdaten sich aus verschiedenen Quellen speist. So könnte ein Teil der Passwörter von einer Datenbank eines kleineren Online-Dienstes - etwa eines Internet-Diskussionsforums - stammen, die nicht ausreichend gegen Hacker-Angriffe geschützt war. Solche kleinen Listen aus E-Mail-Adressen und zugehörigen Passwörtern tauchen täglich im Netz auf - unverschlüsselt und für jeden auf anonymen Text-Veröffentlichungs-Plattformen wie Pastebin auffindbar. Diese Listen umfassen in der Regel nur einige Hundert bis mehrere Tausend Einträge. Beobachtet man jedoch solche Quellen dauerhaft, lässt sich in relativ kurzer Zeit eine Liste mit mehreren Millionen Einträgen zusammenstellen.
Auch wenn solche Zugangsdaten womöglich zum Teil nur die Anmeldung bei harmlosen Internetdiensten wie beispielsweise Diskussionsforen ermöglichen, bergen sie für die Nutzer ein Risiko. Viele verwenden bei jedem Online-Dienst dieselbe Kombination aus E-Mail-Adresse und Passwort. Deshalb sollten Nutzer grundsätzlich bei jedem Online-Dienst ein anderes Kennwort verwenden. Geraten dann Kriminelle an diese Informationen, ist nur ein einzelnes Konto betroffen.
Um vorzubeugen, dass ein Konto überhaupt gehackt wird, hilft es, ein sicheres Passwort auszuwählen und regelmäßig zu erneuern. Es setzt sich im Idealfall aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen zusammen. Experten raten davon ab, echte Wörter oder gar Bestandteile der damit verbundenen E-Mail-Adresse zu verwenden. Ein gängiger Trick für ein sicheres und trotzdem gut zu merkendes Passwort ist, sich einen Satz auszudenken und aus den Anfangsbuchstaben der einzelnen Wörter das Kennwort zu bilden.