Nutzer sind weitgehend machtlos
"Heartbleed" Anfang des Jahres war nichts im Vergleich zu dieser Datenlücke: Mit vermutlich 1,2 Milliarden geklauter Passwort-Nutzername-Kombinationen ist der neue Fall die größte bekanntgewordene Datensammlung durch Kriminelle.
Die Zahl alleine lässt aufschrecken: Medienberichte sprechen von 1,2 Milliarden betroffenen Datenpärchen aus Nutzername und Passwörtern, die russische Hacker gesammelt haben sollen. Das erinnert an mehrere Vorfälle zu Beginn des Jahres, als in Deutschland besonders ein ähnlicher Fall viel Aufsehen erregte – doch dabei ging es am Ende nur um etwa 15 Millionen solche Kombinationen. Der nun von einem US-IT-Sicherheitsunternehmen aufgedeckte Fall mit 1,2 Milliarden Datenpaaren wäre die größte jemals bekanntgewordene derartige Datensammlung durch Kriminelle.
Das Bundesamt für Sicherheit in der Informationstechnik hat noch keine genauen Kenntnisse des Vorgangs, steht aber mit den US-Behörden in Kontakt:
"Wir schauen uns diesen Vorfall im Moment an, sind dazu auch im Kontakt mit den zuständigen deutschen und amerikanischen Behörden um herauszufinden, ob eben auch deutsche Internetnutzer oder auch Onlineanbieter betroffen sind.“
so BSI-Sprecher Tim Griese gegenüber diesem Sender.
In großem Stil Sicherheitslücken ausgenutzt
Die russische Bande soll zuerst Daten vom digitalen Schwarzmarkt erworben haben, später jedoch in großem Stil Sicherheitslücken in veralteten Datenbanksystemen von Webseiten ausgenutzt und dafür hunderttausende Seiten angegriffen haben. Auf diese Weise sollen sie an die Kombinationen von Nutzernamen und Passwörtern gelangt sein. Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik betont, dass zwar die Nutzer auch für IT-Sicherheit zuständig wären. Aber:
"In diesem Fall ist aber auch die andere Seite interessant, sprich der Onlineanbieter: Auch dort sollte eben dafür gesorgt werden, dass die IT-Systeme möglichst sicherheitstechnisch gut ausgerüstet sind und dann eben auch Zugriffe von Kriminellen so schwierig wie möglich gemacht werden."
Zu den Details, welche Seiten von den Angriffen betroffen sind, schweigt sich die Firma Hold Security aus. Die meisten der Seiten seien jedoch auch heute noch verwundbar, so deren Chef Alex Holden gegenüber der New York Times. Sollte das so sein, dürften Nutzer tatsächlich weitgehend machtlos sein: auch bei einer Passwortänderung, die Sicherheitsexperten nach solchen Fällen regelmäßig anraten, wäre der Zugang nur so lange sicher, bis die Hacker erneut auf die Datenbanken zugriffen.
Der netzpolitische Sprecher der CDU-Bundestagsfraktion Thomas Jarzombek forderte anlässlich des neuen Falls, dass das im Koalitionsvertrag geplante IT-Sicherheitsgesetz, das Meldepflichten bei Angriffen auf die IT-Sicherheit für Anbieter vorsieht, nun schnell kommen müsse.