New York (dpa) - Über eine Milliarde Datensätze mit Profildaten aus dem Internet soll eine Hacker-Gruppe aus Russland erbeutet haben. Es wäre ein neuer Rekord. Für Nutzer gab es bisher überhaupt keine Hinweise darauf, ob sie betroffen sein könnten.
Neuer Hackerangriff stellt erschütternde Dimension für Datenklau im Internet dar.

Es könnte der wohl bisher größte Datendiebstahl im Internet sein: Russische Hacker haben nach Erkenntnissen amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die amerikanische Sicherheitsfirma Hold Security der "New York Times". Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen.

Hold Security habe die Daten in Untergrund-Kanälen im Internet entdeckt und auch mit der Hacker-Gruppe aus Zentralrussland kommuniziert, berichtete die Zeitung am späten Dienstag. Die Einwahldaten stammen demnach von rund 420 000 Websites, darunter seien bekannte Firmennamen ebenso wie kleine Seiten. Die Sicherheitsfirma macht keine Angaben dazu, welche Websites betroffen sind. Ein von der Zeitung zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt, schrieb die "New York Times".

Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau von dem Datenklau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein. Dennoch ist Datendiebstahl dieser Art immer gefährlich: Viele Internet-Nutzer setzen die gleiche Kombination von Benutzernamen oder E-Mail-Adressen und Passwörtern bei verschiedenen Websites ein und sind dann auf breiter Front betroffen.

Auf jeden Fall wäre es eine erschütternde Dimension für einen Daten-Diebstahl: Das Internet hat nach Schätzungen insgesamt zwischen 2 und 2,5 Milliarden Nutzer.

Die meisten der betroffenen Websites seien immer noch angreifbar, sagte Hold-Chef Alex Holden der Zeitung. Sie seien ebenso wie Behörden unterrichtet worden. Die Angreifer hätten die erbeuteten Informationen bisher für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie erwägten aber auch, sie zu verkaufen, hieß es.

Technisch sei ein so breit angelegter Angriff dank eines sogenanntes Botnetzes mit vielen infizierten Computern möglich. Wenn ein nichtsahnender Nutzer mit einem solchen Rechner eine Website ansteuere, prüfe das Botnetz, ob die angreifbar sein.

Man wisse, dass die Gruppe im Süden Zentralrusslands basiert sei, erklärte Hold Security. Sie bestehe aus weniger als einem Dutzend Männer im Alter unter 30 Jahren, die sich persönlich kennen, hieß es. Die Server befänden sich in Russland. In der Gang gebe es eine klare Arbeitsteilung: "Die einen schreiben die Programme, die anderen stehlen die Daten."

Insgesamt habe die Gruppe 4,5 Milliarden Datensätze erbeutet, erklärte Hold Security. Nach Abzug von Doppelungen seien 1,2 Milliarden Kombinationen von Benutzername und Passwort übriggeblieben.

Quelle: web.de

Nachdem in den vergangenen Monaten immer wieder Daten-Diebstähle im Netz bekannt wurden, hat ein neuer Fall aus Russland nun ganz neue Dimensionen erreicht. Ganze 1,2 Milliarden Daten sollen gestohlen worden sein. Und der Entdecker des Hacks versucht nun, mit dem Vorfall Kasse zu machen.


Diesmal könnte jeder Internet-Anwender weltweit betroffen sein: Hacker aus Russland sollen 1,2 Milliarden Login-Kombinationen aus Benutzernamen und Passwörtern erbeutet haben. Insgesamt fänden sich über 500 Millionen E-Mail-Adressen in dem Datensatz, berichtete die "New York Times". Experten schätzen, dass das Internet weltweit von über zwei Milliarden Menschen genutzt wird.

Es ist kein Zufall, dass der gigantische Datenklau in diesen Tagen enthüllt wurde. In der US-Wüstenstadt Las Vegas versammeln sich derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz "Black Hat". Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen. Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus dem US-Bundesstaat Milwaukee. Die Experten von Hold Security hatten in der Vergangenheit bereits andere große Hacks enttarnt und waren unter anderem an der Aufdeckung des Diebstahls einiger Millionen Daten von Adobe Systems beteiligt.

Meldungen zu diesem Thema
USB-Sticks als neues Einfallstor für Hacker
Urteil: Kabel Deutschland soll auf Internet-Drosselung hinweisen
Weg ins Internet: Smartphone verdrängt PC in China


Nach Angaben von Hold Security stammen die geklauten Daten von 420 000 Websites, die auch von großen Unternehmen betrieben werden. Dort gaben die Nutzer die jetzt erbeuteten E-Mails und Passwörter ein, um ihre Profile aufzurufen. Eine Sicherheitslücke in der Datenbankabfrage soll es den Hackern ermöglicht haben, die sensiblen Informationen abzufischen. Die meisten der betroffenen Webseiten seien noch immer für weitere Attacken anfällig. Dabei hält sich der entstandene Schaden bislang in Grenzen. Der Gründer von Hold Security Alex Holden erklärte, die Angreifer hätten die erbeuteten Informationen lediglich für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie würden allerdings erwägen, die geklauten Daten zu verkaufen. Wie viele der erbeuteten Einwahl-Daten noch aktuell benutzt werden, ist unklar.

Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack aus Russland für die eigenen Dienste zu werben und Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind. Den Netz-Nutzern will Hold Security in den kommenden 60 Tagen einen "Identity Protection Service" anbieten. Wer eine Voranmeldung für den Abo-Dienst ausfüllt, soll auch erfahren, ob er persönlich von dem Datenklau betroffen ist.

Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die "New York Times" ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind. Die Zeitung sieht sich allerdings nun Vorwürfen ausgesetzt, bei dem Bericht nicht auf die kommerzielle Verbindung zu möglichen Produkten von Hold hingewiesen zu haben.

Ohnehin können sich Internet-User in Deutschland die Ausgaben für einen Check sparen: Zum einen bieten das Hasso-Plattner-Institut sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Dienste kostenlos an. Außerdem sollten Anwender einfach davon ausgehen, dass Logins inzwischen in die Hände dubioser Hacker gefallen sind - besonders, wenn sie die Kombination seit Jahren verwenden. Sie sollten Konsequenzen ziehen und alte Einfach-Passwörter wie "123456" regelmäßig durch komplexe neue Geheimwörter ersetzen. Das BSI hatte Nutzer erst vor wenigen Monaten aufgefordert, wegen eines größeren Datendiebstahls die Passwörter ihrer E-Mail-Konten zu ändern.

Für Anwendungen, die mit sensiblen Daten wie Finanzen, Job, Gesundheit und anderen private Dinge zu tun haben, sollte man außerdem versuchen, Alternativen zur Username-Passwort-Kombination zu finden. Banken oder Firmen wie Apple und Google bieten dazu die so genannte Zwei-Wege-Authentifizierung an. Bei diesem Verfahren erhält man zum Login einen Code über ein Mobiltelefon oder eine Chipkarte, der zusätzlich zum Passwort eigegeben werden muss. Diese Verfahren sind deutlich schwerer zu knacken.

Quelle: DF

Nachdem russische Hacker 1,2 Milliarden Nutzerdaten inklusive Passwörtern gestohlen haben, sind noch immer viele Fragen offen. Weder die Herkunft der Datensätze noch die Frage, welche Nutzer davon betroffen sind, wurden bisher beantwortet. Die Politik ruft zu mehr Sicherheit auf.


Trotz des gigantischen Ausmaßes sind die genauen Auswirkungen des jüngsten Diebstahls von 1,2 Milliarden Einwahldaten für Online-Dienste weiterhin unklar. Die Politik appelliert an Nutzer und Anbieter, mehr für die Sicherheit zu tun.

Bundesjustizminister Heiko Maas rief Verbraucher und Anbieter zu besseren Sicherheitsvorkehrungen auf. "Internet-Anbieter sind in der Pflicht, alles zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun", sagte der SPD-Politiker der "Welt". "Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen mehr finden." Nutzern von Online-Diensten riet er, Passwörter regelmäßig zu ändern. Anbieter, Kunden und Politiker müssten sich gemeinsam für die Bekämpfung von Datenmissbrauch einsetzen, sagte Maas der "Welt".

Der Bundesrat hatte sich im März bereits dafür ausgesprochen, den An- und Verkauf gestohlener Daten unter Strafe zu stellen. Bisher sind nur der Diebstahl von Daten und deren Nutzung strafbar, aber nicht der Handel. Der Verkauf von Einwahldaten oder Kreditkartendaten ist nach Einschätzung von Fachleuten ein "tägliches Geschäft" im Netz. Die hessische Justizministerin Eva Kühne-Hörmann (CDU) rief in der "Welt" zum schnellen Handeln auf. Hessen hatte den Gesetzentwurf im Bundesrat eingebracht.

Dass die Daten aus dem jüngsten Fall auf dem Schwarzmarkt gehandelt werden, erscheint derzeit unwahrscheinlich. Die IT-Sicherheitsfirma Hold Security erklärte, die Hacker hätten die Daten zum Versand vom Spam-Nachrichten genutzt. Hold hatte den Fall aufgedeckt. Das Unternehmen wurde aber kritisiert, weil es gegen Geld einen Dienst anbietet, der Webseiten-Betreiber vor Datendiebstählen warnen soll. Fachleute schätzten den Fall dennoch als "ernstzunehmend" ein. Der Sicherheitsexperte Brian Krebs, der selbst mehrere Hacking-Angriffe öffentlich bekanntmachte, schrieb, die Daten seien "definitv echt".

Nach Erkenntnissen von Hold Security haben Hacker 1,2 Milliarden Einwahldaten für Online-Profile erbeutet. Die bestehen aus E-Mail-Adresse und Passwort. Die Hacker hätten die Informationen abgefischt, indem sie Sicherheitslücken bei Online-Diensten ausgenutzt hätten. Sie hätten gezielt nach Webseiten mit einer bestimmten Sicherheitslücke gesucht und sich darüber Zugriff auf die Inhalte der Datenbanken der Online-Dienste verschafft. Die Daten sollen von mehr als 420 000 Webseiten stammen.

Auch das Bundesamt für Sicherheit in der Informationstechnik rief Anbieter vor diesem Hintergrund auf, ihre Sicherheitsmechanismen zu verbessern. Nach ersten Erkenntnissen sind Behörden auf Bundesebene nicht Opfer des Datendiebstahls geworden. Das BSI ist für den Schutz der IT-Systeme der Bundesregierung verantwortlich.

Ob deutsche Nutzer betroffen sind, werde geprüft. Angesichts der riesigen Anzahl gestohlener Datensätze sei allerdings anzunehmen, dass auch deutsche Internetnutzer unter den Opfern seien.

Quelle: DF