Wieder einmal ist es Cyberkriminellen gelungen, bei einem Hackerangriff an eine große Menge Daten zu kommen. Gemäß der amerikanischen Sicherheitsfirma Hold Security haben russische Hacker rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile, d.h. Benutzernamen und Passwörtern, erbeutet. Betroffen seien über 500 Millionen verschiedene E-Mail-Adressen.

Die Informationen erhielt Hold Security über undurchsichtige Untergrund-Kanäle im Netz sowie durch direkten Kontakt mit der Hacker-Gruppe aus Zentralrussland, die aus weniger als einem Dutzend Männer unter 30 Jahren bestehe. Außerdem geben sie an, dass rund 420 000 Websites gehackt wurden, welche genau lassen sie dabei jedoch offen.

Das Geschäft mit der Angst

Besonders unangenehm ist jedoch die Art und Weise wie Hold Security versucht aus der Entdeckung Kapital zu schlagen. Denn direkt unter der Veröffentlichung ihrer Entdeckung machen sie Werbung für einen "Breach Notification Service". Dieser soll Seitenbetreibern helfen herauszufinden, ob die eigene Seite angreifbar ist und ob diese zu den bereits betroffenen zählt - dies hat jedoch seinen Preis: eine Jahresgebühr von 120 Dollar. Mit dem "Identity Protection Service" möchten sie allerdings auch einzelne Nutzer kostenlos in den kommenden 60 Tagen darüber informieren, ob sie vom Diebstahl betroffen sind. Gemäß Auskunft des Hold-Chef Alex Holden seien jedoch viele betroffene Websites wie Behörden von ihnen (kostenlos) unterrichtet worden. Auch besteht derzeit keine akute Gefahr der Daten, da sie bisher nur für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt worden sind, jedoch sollte jederzeit damit gerechnet werden, dass die Datensätze verkauft werden, dabei hängt der Marktwert für derartige Daten von der Qualität der angebotenen Datensätze ab.

Bundesamt für Sicherheit in der Informationstechnik

Ob und welche Internetnutzer und Online-Anbieter in Deutschland von dem Vorfall betroffen sind, wurde bereits durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft. Die Bundesverwaltung scheint jedoch nicht betroffen zu sein, es werden allerdings weitere Prüfungen durchgeführt, sobald mehr Details bekannt sind.

Gesetz gegen Datenhehlerei

Leider fällt es solchen Hackern noch immer recht einfach, Datensätze zu stehlen, da viele Internetnutzer nur minimale Sicherheitsvorkehrungen treffen. Besonders gern werden gleiche Benutzernamen und Passwörter für verschiedenste Dienste genutzt. Auch die regelmäßige Änderung solcher Passwörter wird meist vermieden. Bundesjustizminister Heiko Maas rief Anbieter, Kunden und Politiker dazu auf, sich gemeinsam für die Bekämpfung von Datenmissbrauch einzusetzen. Grundsätzlich ein Schritt in die richtige Richtung, wenn nicht bereits seit Monaten ein Gesetz zur Ahndung und Bestrafung von Datenhehlerei vorläge. Derzeit macht man sich in Deutschland nicht strafbar, wenn man mit gestohlenen Daten handelt. Der schon im März vom Bundesrat verabschiedeten Gesetzentwurf Paragraph 202d StGB-E soll die bestehenden Strafbarkeitslücken bei der Datenhehlerei schließen. Nach den Paragraphen 202a, 202b StGB soll auch das Ausspähen und Abfangen von Daten geahndet werden.

Fazit

Die Art und Weise wie der Datenklau aufgedeckt und wie die Hold Security daraus Gewinn ziehen will, ist mehr als fraglich. Auch die mangelnde Gesetzgebung in Deutschland ist beschämend, dennoch ist es auch die Pflicht der Nutzer sich über ihre Daten und Sicherheitsvorkehrungen Gedanken zu machen und sich nicht blind auf die Seitenbetreiber zu verlassen.