Technik

1,2 Milliarden gestohlene Passwörter Was können Nutzer jetzt tun?

Cyberkriminalität G Data.png

Russischen Gangstern soll der größte Datendiebstahl aller Zeiten gelungen sein.

(Foto: G Data)

Eine US-Sicherheitsfirma schockt mit der Nachricht, russische Gangster hätten 1,2 Milliarden Passwörter samt Benutzernamen erbeutet. Mehr verrät das Unternehmen nicht, kündigt stattdessen einen Prüfdienst an. Was aber können besorgte Nutzer jetzt sofort tun?

Was für eine Zahl! Eine russische Bande ist angeblich im Besitz von rund 1,2 Milliarden Passwörtern inklusive den dazugehörigen Benutzernamen. Aktuell haben weltweit geschätzt rund 2,6 Milliarden Menschen in ihrem Haushalt einen Internetzugang. Stimmt die Zahl, die die US-Sicherheitsfirma Hold Security verbreitet, wäre also fast die Hälfte aller Internet-Nutzer dieses Planeten betroffen.

Dies scheint im wahrsten Sinne des Wortes unglaublich zu sein, aber nachdem erst kürzlich deutsche Ermittler 160 Millionen Datensätze entdeckt haben, ist so ein Monster-Datenraub auch nicht ausgeschlossen. Trotzdem hat die Mitteilung von Hold Security ein Geschmäckle. Denn das Unternehmen nennt keine einzige Webseite, wo "Cyber-Diebe" die Daten abgegriffen haben könnten. 420.000 Webseiten und FTP-Server seien betroffen, große und kleine, auch Marktführer, heißt es stattdessen pauschal. Die meisten von ihnen sollen nach wie vor verwundbar sein, vor allem für Angriffe auf die SQL-Datenbanken (SQL Injection). In einer E-Mail an das "Wall Street Journal" schrieb Firmenchef Alex Hold, man verrate keine Details, um laufende Ermittlungen nicht zu behindern.

Geschäft mit der Angst?

Unternehmen, die wissen möchten, ob ihre Webseite angreifbar ist, können dies von einem Dienst des Sicherheitsanbieters überprüfen lassen, der bald starten soll. Holden teilte dem US-Wirtschaftsmagazin "Forbes" per E-Mail mit, der Prüfdienst koste 10 Dollar im Monat oder 120 Dollar pro Jahr. Angeblich geht es ihm nicht darum, mit der Angst vor den russischen Cyber-Dieben das große Geld zu machen. Man verlange lediglich eine "symbolische Gebühr", die nur die Unkosten decke, schrieb er.

Auch den 2,6 Milliarden potenziell betroffenen Nutzern, bietet Hold Security einen Prüfdienst an, der "in den nächsten 60 Tagen" starten soll. Dabei handelt es sich um ein Abo, das nur in den ersten 30 Tagen kostenlos ist. Dubios: Der Link zu den Nutzungsbedingungen führte in den ersten Stunden zu einer passwortgeschützten Seite. Jetzt ist dort nachzulesen, dass man bei der Registrierung eine Bezahlmethode angeben muss und nach Ablauf von 30 Tagen eine monatliche Gebühr eingezogen wird, so lange der Kunde nicht kündigt.

Das BSI und das Hasso-Plattner-Institut boten in den vergangenen Monaten bei weit weniger umfangreichen Datendiebstählen ähnliche Dienste gratis an und ihre Server gingen unter den Anfragen zunächst in die Knie. Selbst wenn Nutzer geduldig auf den Test warten, ist es also sehr fraglich, ob sie mit ihrer Anfrage durchkommen. Und selbst wenn, ist noch lange nicht gesagt, dass ihre Passwörter sicher sind. Denn so lange eine Webseite, die sie nutzen, verwundbar ist, können ihre Daten auch nach dem Test noch abgegriffen werden. Vielleicht bietet Hold Security ja deshalb nach 30 Tagen ein kostenpflichtiges Abo an?

Passwörter präventiv wechseln

Besorgte Nutzer müssen aber nicht hilflos Däumchen drehen und hoffen, dass ihre Passwörter noch sicher sind. Sie können selbst etwas unternehmen, es ist allerdings etwas mühsam. Zunächst sollten sie alle Passwörter ändern und dies regelmäßig wiederholen. Bis klar ist, welche Webseiten betroffen sind und alle Sicherheitslücken gestopft sind, ist es ratsam, dies möglichst oft zu wiederholen.

Müssen sehr viele Internetzugänge verwaltet werden, ist ein Passwortmanager sehr hilfreich, da man sich dann nur ein Master-Passwort merken muss. Empfehlenswert ist die kostenlose Open-Source-Software KeePass, die sowohl mobil als auch stationär unter den meisten Betriebssystemen funktioniert. Das Tool generiert auf Wunsch auch sehr sichere Passwörter.

Selbst wenn es umständlich erscheint, sollte nie das gleiche Passwort für verschiedene Zugänge genutzt werden. Außerdem ist es ratsam, die wichtigsten E-Mails, mit denen man sich beispielsweise bei Google oder Apple anmeldet, niemals für andere Dienste oder Webseiten zu verwenden - schon gar nicht in Verbindung mit dem gleichen Passwort.

Selbst wenn sie im vorliegenden Fall anscheinend oft versagt haben, ist es mehr als empfehlenswert, auf Computern eine umfangreiche Sicherheits-Software zu installieren, die unter anderem auch Webseiten und E-Mails überprüft. Ein Virenscanner alleine ist nicht ausreichend.

Anbieter in der Verantwortung

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat mitgeteilt, dass es mit deutschen und US-amerikanischen Behörden prüft, ob auch deutsche Nutzer und Firmen betroffen sind. Es weist darauf hin, dass vor allem die Online-Anbieter in der Verantwortung sind. Das BSI fordert von ihnen, mehr für die Sicherheit ihrer Systeme und die Sicherheit der Daten zu tun, die ihnen ihre Kunden anvertrauen. "Beispielsweise sollten Daten und Datenbanken durchgängig verschlüsselt vorgehalten werden. Bekannt gewordene Schwachstellen in IT-Systemen und Software müssen rasch geschlossen werden. Darüber hinaus sollten den Nutzern sicherere Authentisierungsmöglichkeiten angeboten werden, beispielsweise eine Zwei-Faktor-Authentisierung, die über die Standard-Anmeldung per Benutzername und Passwort hinausgehen."

Quelle: ntv.de