US-Sicherheitsfirma Hold Security berichtet von Datenangriff aus Russland. Dabei sollen 1,2 Milliarden Passwörter gestohlen und 500 Millionen E-Mail-Adressen gesammelt worden sein. Daten von 420.000 Websites.

New York. Es könnte der wohl bisher größte Datendiebstahl im Internet sein: Russische Hacker haben nach Erkenntnissen amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die amerikanische Sicherheitsfirma Hold Security, die den Fall aufdeckte, der „New York Times“. Neben den Passwörtern hätten die Hacker noch 500 Millionen E-Mail-Adressen zusammengerafft, um weitere Verbrechen begehen zu können.

Hold Security sitzt in der Stadt Milwaukee und hat sich auf Online-Sicherheitslücken spezialisiert. Die Firma habe die Daten in Untergrund-Kanälen im Internet entdeckt und auch mit der Hacker-Gruppe aus Zentralrussland kommuniziert, berichtete die Zeitung am späten Dienstag. Die Einwahldaten stammen demnach von rund 420.000 Websites, darunter seien bekannte Firmennamen ebenso wie kleine Seiten.

„Die Hacker hatten es nicht nur auf US-Firmen abgesehen. Sie haben jede Web-Seite, die sie erreichen konnten, anvisiert“, sagte der Gründer von Hold Security, Alex Holden. Dazu, welche Websites betroffen sind, machte die Sicherheitsfirma mit Verweis auf Geheimhaltungsvereinbarungen keine Angaben. Ein von der Zeitung zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt, schrieb die „New York Times“.

Auch Deutschland wohl betroffen

Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) dürfte auch Deutschland von dem Datenklau betroffen sein. „Angesichts des berichteten Umfangs des mutmaßlichen Angriffs wäre es ungewöhnlich, wenn dies nicht der Fall wäre“, sagte ein BSI-Sprecher am Mittwoch. Die Behörde bemühe sich derzeit, von amerikanischen Stellen Informationen zu dem Fall zu bekommen. Erst wenn man genauere Erkenntnisse haben, könnten auch eventuelle Ratschläge für deutsche Internet-Nutzer gegeben werden. Das BSI hatte Nutzer erst vor wenigen Monaten aufgefordert, wegen eines größeren Datendiebstahls Passwörter ihrer Email-Accounts zu ändern.

Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau von dem Datenklau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein. Dennoch ist Datendiebstahl dieser Art immer gefährlich: Viele Internet-Nutzer setzen die gleiche Kombination von Benutzernamen oder E-Mail-Adressen und Passwörtern bei verschiedenen Websites ein und sind dann auf breiter Front betroffen.

Auf jeden Fall wäre es eine erschütternde Dimension für einen Daten-Diebstahl: Das Internet hat nach Schätzungen insgesamt zwischen 2 und 2,5 Milliarden Nutzer.

Verbreitung über soziale Netzwerke

Die meisten der betroffenen Websites seien immer noch angreifbar, sagte Holden der Zeitung. Sie seien ebenso wie Behörden unterrichtet worden.

Laut dem Bericht wurden bislang offenbar wenige Datensätze an andere Cyberkriminelle weiterverkauft. Vielmehr würden die Informationen dazu genutzt, um betrügerische Marketingphrasen und Spam-Mails mit Werbung oder mit Links zu Schad-Programmen an Profile in sozialen Netzwerken zu versenden. Die Angreifer erwägten aber auch, die erbeuteten Informationen zu verkaufen, hieß es.

+++ Tipps zur Passwort-Sicherheit (auf Englisch) +++

Technisch sei ein so breit angelegter Angriff dank eines sogenanntes Botnetzes mit vielen infizierten Computern möglich. Wenn ein nichtsahnender Nutzer mit einem solchen Rechner eine Website ansteuere, prüfe das Botnetz, ob die angreifbar sein.

Man wisse, dass die Gruppe im Süden Zentralrusslands basiert sei, erklärte Hold Security. Sie bestehe aus weniger als einem Dutzend Männer im Alter unter 30 Jahren, die sich persönlich kennen, hieß es. Die Server befänden sich in Russland. In der Gang gebe es eine klare Arbeitsteilung: „Die einen schreiben die Programme, die anderen stehlen die Daten.“

Insgesamt habe die Gruppe 4,5 Milliarden Datensätze erbeutet, erklärte Hold Security. Nach Abzug von Doppelungen seien 1,2 Milliarden Kombinationen von Benutzername und Passwort übriggeblieben.