zur Navigation springen

Sicherheit im Netz : Gigantischer Passwort-Diebstahl

vom
Aus der Redaktion der Zeitung für die Landeshauptstadt

Hacker aus Russland erbeuten über 1,2 Milliarden Login-Kombinationen. Wie kann man sich schützen?

Diesmal könnte jeder Internet-Anwender weltweit betroffen sein: Hacker aus Russland sollen 1,2 Milliarden Login-Kombinationen aus Benutzernamen und Passwörtern erbeutet haben. Insgesamt fänden sich über 500 Millionen E-Mail-Adressen in dem Datensatz, berichtete die „New York Times“.

Es ist kein Zufall, dass der gigantische Datenklau in diesen Tagen enthüllt wurde. In der US-Wüstenstadt Las Vegas versammeln sich derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz „Black Hat“. Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen. Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus dem US-Bundesstaat Milwaukee.

Nach Angaben von Hold Security stammen die geklauten Daten von 420 000 Websites, die auch von großen Unternehmen betrieben werden. Dort gaben die Nutzer die jetzt erbeuteten E-Mails und Passwörter ein, um ihre Profile aufzurufen. Eine Sicherheitslücke in der Datenbankabfrage soll es den Hackern ermöglicht haben, die sensiblen Informationen abzufischen. Die meisten der betroffenen Webseiten seien noch immer für weitere Attacken anfällig. Dabei hält sich der entstandene Schaden bislang in Grenzen. Der Gründer von Hold Security Alex Holden erklärte, die Angreifer hätten die erbeuteten Informationen lediglich für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie würden allerdings erwägen, die geklauten Daten zu verkaufen. Wie viele der erbeuteten Einwahl-Daten noch aktuell benutzt werden, ist unklar.

Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack aus Russland für die eigenen Dienste zu werben und Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind.

Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die „New York Times“ ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind.

Ohnehin können sich Internet-User in Deutschland die Ausgaben für einen Check sparen: Zum einen bieten das Hasso-Plattner-Institut sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Dienste kostenlos an. Außerdem sollten Anwender einfach davon ausgehen, dass Logins inzwischen in die Hände dubioser Hacker gefallen sind – besonders, wenn sie die Kombination seit Jahren verwenden. Sie sollten Konsequenzen ziehen und alte Einfach-Passwörter wie „123456“ regelmäßig durch komplexe neue Geheimwörter ersetzen.

Für Anwendungen, die mit sensiblen Daten wie Finanzen, Job, Gesundheit und anderen private Dinge zu tun haben, sollte man außerdem versuchen, Alternativen zur Username-Passwort-Kombination zu finden. Banken oder Firmen wie Apple und Google bieten dazu die Zwei-Wege-Authentifizierung an. Dabei erhält man zum Login einen Code über ein Mobiltelefon oder eine Chipkarte, der zusätzlich zum Passwort eingegeben werden muss.

Tipp

Der Weg zum sicheren Passwort Länge: Ein gutes Passwort sollte nicht zu kurz sein. Mindestens acht, besser zwölf Zeichen sollte man wählen.

Zusammensetzung: Das Passwort sollte keine sinnvollen Worte enthalten. Außerdem sollten Sonderzeichen und Zahlen enthalten sein. Schreibweisen, bei denen Buchstaben durch ähnlich aussehende Zahlen ersetzt werden – etwa die Null anstatt ein „o“ –, bieten keinen höheren Schutz.

Verbreitung: Jedes Passwort sollte nach Möglichkeit nur für ein Nutzerkonto gebraucht werden. Auf keinen Fall sollten die Passwörter für das E-Mail-Konto und andere Dienste identisch sein.

Nutzungsdauer: Ratsam ist es, ein Passwort spätestens nach drei Monaten zu ändern. Sollten Profildaten schon gestohlen worden sein, wird der Datensatz für Kriminelle durch einen Passwortwechsel unbrauchbar.

Merkhilfen: Lange und komplizierte Passwörter sind schwer zu merken. Ein Passwort-Manager kann helfen. Dieser speichert verschiedene Passwörter zentral auf dem Computer, sodass man sich nur noch ein Master-Passwort merken muss.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Kommentare

Leserkommentare anzeigen