Der massenhafte Diebstahl digitaler Identitäten muss Online-Unternehmen wachrütteln
Nach dem neuesten Fall von Datendiebstahl, bei dem russische Hacker anscheinend mehr als eine Milliarde digitale Identitäten erbeuteten, sind nun nicht mehr nur die Nutzer gefragt, sondern besonders die Anbieter von Diensten: Immer öfter und auch im aktuellen Fall attackieren Internetkriminelle keine privaten Computer mehr, um Zugriff auf die Daten Einzelner zu bekommen. Sie machen sich vielmehr auf die Suche nach unzureichend geschützten Datenbanken von Online-Anbietern. Von 420.000 verschiedenen Webseiten sollen die Angreifer ihre Daten zusammengesammelt haben. Sie sind also allem Anschein nach Opfer einer lang bekannten und technisch zu verhindernden Sicherheitslücke geworden. Das ist die eigentlich beunruhigende Neuigkeit.
Jetzt aber panisch sämtliche Passwörter zu ändern oder gleich den Netzwerkstecker zu ziehen und nie wieder ins Internet zu gehen, kann nicht die Lösung für den Einzelnen sein. Denn zum einen gibt es noch keinerlei Informationen darüber, welche Webseiten betroffen sind und ob sie die Sicherheitslücke bereits geschlossen haben. Und zum anderen ist ebenso wenig bekannt, in welcher Form die Datensätze bei den Angreifern vorliegen: Direkt nutzbar sind sie nur, falls sie unverschlüsselt sein sollten. Möglicherweise haben die Hacker also bislang nicht mehr als einen Tresor voller Daten – ohne die Kombination, um ihn öffnen zu können. Dass man als Nutzer nicht für alles und jedes, was man im Internet unternimmt, dasselbe Passwort benutzt, dass „12345“ „Passwort“ oder der eigene Geburtstag keine Passwörter, sondern eine Einladung zum Datendiebstahl sind, das hat sich inzwischen (hoffentlich) herumgesprochen. Dass ähnliche – wenngleich technisch komplexere – Regeln auch auf Anbieterseite gelten müssen, das ist, wenn sich die berichtete Vorgehensweise der Hacker und die Anzahl der betroffenen Webseiten bestätigt, anscheinend noch kein Allgemeingut.
Vollständig zu verhindern sind Angriffe auf Firmendaten zwar nicht. Hinter den Kulissen des Internets ist eine Schattenwirtschaft tätig, die mit gestohlenen Nutzerdaten Millionenumsätze erwirtschaftet. Dafür braucht sie gut ausgebildete, skrupellose „Angestellte“, die genau um die Schwächen verschiedener Systeme wissen. Hinzu kommt, dass selbst mit diesen Sicherheitslücken und Wegen, sie auszunutzen, ein reger Handel getrieben wird. Doch darf das Unternehmen nicht zu laxem Umgang mit sensiblen Daten verleiten, getreu dem Motto „echte Sicherheit gibt es ohnehin nicht“. Denn mit der Übergabe unserer Namen und Adressen, unseres Geburtsdatums, vielleicht sogar unserer Bank- und Kreditkartendaten, signalisieren wir einem Unternehmen auch unser Vertrauen, dass sie sie zu schützen vermag.
Nach Angaben des Sicherheitsunternehmens Hold Security, das den massenhaften Datendiebstahl aufgedeckt hat, sollen nicht nur kleinere Anbieter unter den Opfern sein, sondern auch „household names“, also große, allseits bekannte Firmen. Bei ersteren wäre ein erfolgreicher Angriff zumindest teilweise nachvollziehbar, ist IT-Sicherheit doch ein komplexes Thema, bei dem viele auf vorgefertigte Lösungen setzen, ohne auf Personal zurückgreifen zu können, das diese betreut.
Große Firmen aber sollten nicht nur über die finanziellen und personellen Ressourcen verfügen, um sich zu schützen. Sie sollten auch im Interesse sowohl ihrer Kunden als auch des eigenen Rufes gründlich arbeiten. Ist das nicht der Fall, nutzen alle Anstrengungen der Kunden nichts: Selbst, wenn man seinen persönlichen Zugang mit einem sicheren, einzigartigen Passwort schützt, dieses vielleicht sogar regelmäßig aktualisiert, ist man effektiv schutzlos, verschließt das Kellerfenster, während die Haustür offensteht.