Die Meldung, Gangster hätten 1,2 Milliarden Passwörter erbeutet, verunsichert viele Internetnutzer. Die Firma, die den Datendiebstahl entdeckt hat, möchte einen Test anbieten. Experten raten, kein Geld dafür auszugeben.

Der große Datenklau, bei dem russische Gangster angeblich 1,2 Milliarden Passwörter samt Benutzernamen gesammelt haben, schlägt hohe Wellen und weltweit fragen sich viele Menschen: Bin auch ich betroffen? Die Wahrscheinlichkeit ist ziemlich groß, falls die von der US-Firma Security Hold genannte Zahl von 1,2 Milliarden Datensätzen stimmt. Immerhin wäre dann fast jeder zweite Internetnutzer Opfer der Cyber-Diebe geworden. Das unabhängige Prüfinstitut AV-Test ist da aber misstrauisch.

Es sei zwar durchaus möglich, dass so viele Zugangsdaten erbeutet wurden, schreibt es in einer Pressemitteilung. Die Zahl klinge aber übertrieben hoch. Möglicherweise seien E-Mail-Adressen und Passwörter einzeln gezählt worden und es könne gut sein, dass viele Zugangsdaten alt seien und gar nicht mehr funktionierten, beispielsweise aus den bekannten vorangegangenen Datendiebstählen stammten.

Die US-Firma Hold Security, die den Daten-Großraub publik machte, möchte "in den nächsten 60 Tagen" einen Dienst anbieten, bei dem Nutzer prüfen können, ob auch ihre Zugangsdaten von der russischen Bande gestohlen wurde. Der Abo-Service ist 30 Tage lang kostenlos, dann wird monatlich eine Gebühr eingezogen, so lange ein Kunde nicht kündigt. Doch AV-Test hält es "nicht für sinnvoll, Geld in einen angeblichen Service zu investieren, um feststellen zu können, ob man vielleicht gehackt wurde." Viel wichtiger sei es, Sicherheitsupdates sofort zu installieren und auf Computern einen aktuellen Virenscanner einzusetzen - auch wenn diese nicht unfehlbar seien.

Passwörter meistens verschlüsselt

Das Institut weist darauf hin, dass der Diebstahl eines Passworts an sich gar nicht so problematisch sei, da die meisten Webseiten es nicht im Klartext, sondern verschlüsselt als "Hash" speicherten. "Verwendet man ein hinreichend kompliziertes Passwort, etwa eines, das aus Klein- und Großbuchstaben sowie Zahlen oder Sonderzeichen besteht und mindestens zehn Zeichen lang ist, braucht man sich wenig Gedanken um den Angriff zu machen."

Eine Möglichkeit, mit Sicherheit herauszufinden, ob ein Passwort geklaut wurde, sieht AV-Test nicht. "Selbst wenn man von der aktuellen Angriffswelle nicht betroffen ist, kann es gut sein, dass ein anderer Hacker bereits die Zugangsdaten geklaut hat", heißt es in der Presseerklärung. Hat man einen Verdacht, solle man die Zugangsdaten nach einem gründlichen Virencheck vorsorglich ändern. Generell rät das Institut dazu, Passwörter regelmäßig zu ändern, vor allem von wichtigen Zugängen wie Paypal oder Online-Banking.