Russische Hacker sollen 1,2 Milliarden Zugangsdaten für Internetprofile und E-Mail-Konten erbeutet haben. Jeder zweite Internetnutzer weltweit könnte von dem Angriff betroffen sein. Was jetzt zu tun ist.
Russische Hacker haben nach Angaben der "New York Times" die bislang größte bekannte Menge an Internet-Benutzerdaten gestohlen. Die Zeitung beruft sich auf Sicherheitsspezialisten. 1,2 Milliarden Kombinationen von Benutzername und Passwort und mehr als 500 Millionen E-Mail-Adressen sollen gehackt worden sein.
Sicherheitsfirma hat Datendiebstahl entdeckt
Die Sicherheitsfirma Hold Security aus Milwaukee hat den Datendiebstahl in Untergrundkanälen im Internet entdeckt. Das Material sei bei 420.000 Websites gestohlen worden. Die Sicherheitsfirma will aber weder veröffentlichen, von welchen Firmen die Daten gestohlen wurden, noch wessen Daten geklaut wurden. Die Diebe sollen sich nicht nur auf US-Firmen beschränkt haben.
Hacker haben Spam-E-Mails versendet
Bislang haben die Hacker die erbeuteten Informationen genutzt, um Spam-Emails mit Werbung oder Links zu Schadprogrammen zu versenden. Die Bande erwägt auch den Verkauf der Daten. Wer genau betroffen ist, ist noch unklar. Es ist schwer abzuschätzen, wie viele Menschen genau betroffen sind. Unter den E-Mail-Adressen könnten auch alte Profile und Spam-Accounts sein.
Was jetzt zu tun ist
Jeder Nutzer kann durch richtiges Verhalten im Netz das Risiko verringern, Opfer von Internetkriminalität zu werden.
Passwörter
Viele Nutzer machen es Datendieben leicht: 60 Prozent wählen nach Zahlen des Hasso-Plattner-Instituts Potsdam (HPI) für ihre Konten unsichere Passwörter. Das weltweit am meisten verbreitete Passwort lautet demnach "123456" - und ist in Sekunden zu knacken.
Länge
"Ein gutes Passwort sollte nicht zu kurz sein", sagt Prof. Christoph Meinel vom HPI. Mindestens acht, besser zwölf Zeichen sollte man wählen. Es gilt: Je länger, desto sicherer.
Zusammensetzung
"Das Passwort sollte keine sinnvollen Worte enthalten", sagt Meinel. Diese können per Computer schnell ermittelt werden. Außerdem sollten Sonderzeichen und Zahlen enthalten sein. Schreibweisen, bei denen Buchstaben durch ähnlich aussehende Zahlen ersetzt werden, bieten keinen höheren Schutz - das gilt etwa für das Vertauschen von einem "o" durch eine Null. Auch Namen von Ehegatten, Kindern oder Kfz-Kennzeichen lassen sich leicht ermitteln.
Verbreitung:
Jedes Passwort sollte nach Möglichkeit nur für ein Nutzerkonto gebraucht werden. Auf keinen Fall sollten die Passwörter für das E-Mail-Konto und andere Dienste identisch sein. So erhalten Kriminelle durch das Knacken eines Kontos Zugriff auf alle weiteren mit demselben Passwort.
Nutzungsdauer
"Anwender, die sichergehen wollen, sollten ihr Passwort ändern. Und generell sollten sie das regelmäßig tun", rät Thorsten Urbanski vom Sicherheitsdienstleister GData. Der IT-Verband Bitkom rät, ein Passwort spätestens nach drei Monaten zu ändern. Sollten Profildaten schon gestohlen worden sein, wird der Datensatz für Kriminelle durch einen Passwortwechsel unbrauchbar.
Merkhilfen
Lange und komplizierte Passwörter sind schwer zu merken. Christoph Meinel empfiehlt den Einsatz von Passwort-Managern. Diese speichern verschiedene Passwörter zentral auf dem Computer, so dass man sich nur noch ein Master-Passwort merken muss.
Mehr Sicherheit
Einige Dienste wie Online-Banking, soziale Netzwerke oder Online-Shops bieten die sogenannte Zwei-Schritte-Authentifizierung an. Dabei wird zusätzlich zum Passwort beispielsweise noch ein Code auf das Mobiltelefon gesandt, der abgefragt wird. "Das bietet eine erhöhte Sicherheit, sobald Sie zwei Geräte verwenden", sagt Christoph Meinel. Um alle Informationen abzugreifen, müssten Hacker beide Geräte überwachen. Wer sein Online-Banking per Smartphone erledigt und auf dem gleichen Gerät seine Tan-Nummern empfängt, ist nicht unbedingt sicherer. "Da hat es schon Angriffe gegeben", sagt Meinel.
Sparsame Datenfreigabe
"Man sollte überlegen, ob man Daten wirklich abgeben will", rät Meinel. Nutzer sollten sich immer die Frage stellen, ob sie einen Dienst wirklich brauchen. Je mehr Konten man eröffne, umso höher sei die Chance, dass eines geknackt werde. Auch bei E-Mails rät der Sicherheitsexperte zur Vorsicht. "Mails mit dubiosen Anhängen sollte man nicht öffnen", sagt er. Und auch auf mancher Webseite kann Schadcode lauern. "Dubiose Webseiten sollte man meiden." Zusätzlich sollte der Computer regelmäßig mit einem aktuellen Virenscanner überprüft werden.
Selbstüberprüfung
Ob die eigenen Daten schon im Netz kursieren, kann zum Beispiel ein kostenloser Test des HPI zeigen. Das Institut forscht fortlaufend nach gestohlenen Nutzerdaten. Wer auf der HPI-Webseite seine E-Mail-Adresse eingibt, erfährt, ob die eigenen Daten an einschlägigen Stellen im Web kursieren. Vollständige Sicherheit bietet der Test aber nicht. "Wir können nicht garantieren, dass wir auch alle geleakten Daten gefunden haben", schränkt Meinel ein. meh/dpa