Diebstahl von 1,2 Milliarden Kontozugängen: Experten empfehlen „keine Panik“

Um die Meldung von Hold Security, eine russische Hackerbande habe 1,2 Milliarden Nutzernamen mit zugehörigen Passwörtern gestohlen, ist auf der laufenden Sicherheitskonferenz Black Hat in Las Vegas eine hitzige Diskussion entbrannt. Einige unterstellen Hold Security Panikmache im eigenen Interesse, andere verteidigen das Unternehmen. Relative Einigkeit besteht, was die Empfehlungen an Endanwender angeht: Ihnen wird „keine Panik“ nahegelegt.

Laut Hold Security also verfügt die russische Organisation Cybervor über eine Datenbank mit 1,2 Milliarden Kombinationen aus Username und Passwort sowie 542.000 unterschiedlichen E-Mail-Konten auf 420.000 kompromittierten Domains. Das Unternehmen meldete dies exklusiv der New York Times.

„Es gibt hier nichts zu sehen, bitte gehen Sie weiter!“ kommentierte Shawn Henry, Chief Security Officer von Crowdstrike, der früher auch schon dem FBI als Executive Assistant Director diente. Es habe ihn überrascht, wie viele Menschen auf diese Nachricht schockiert reagierten. „Das ist die Summe zahlreicher Vorfälle, ein Beispiel für die Anfälligkeit der Online-Welt, in der wir operieren.“

Auch Forscher Andrew Conway von Web- und Messaging-Security-Spezialist Cloudmark ist skeptisch, was die Gewichtung des Vorfalls angeht. „Meinem Eindruck nach ist alles an der Geschichte wahr. Sie wurde aber so unheilverkündend wie möglich präsentiert. Wer dies mit beispielsweise der Target-Lücke vergleicht, macht einen großen Fehler. Es gibt keine Hinweise, dass irgendwelche Finanzdaten involviert sind.“ Bei der US-Kette Target hatten Unbekannt mittels Malware in Kassensystemen 110 Millionen Kreditkartennummern und teilweise wohl auch die zugehörigen PINs gestohlen.

Conway sagt, er beobachte alle sechs Monate etwa 100.000 kompromittierte Domains, die aber nicht alle frisch kompromittiert seien – oft dauere es Monate, bis ein Vorfall bemerkt werde. Die Zahl der Datenbankeinträge werde dadurch relativiert, dass viele Anwender mehr als eine E-Mail-Adresse hätten. 50 Prozent aller geschätzten 2,5 Milliarden Internetnutzer seien also wohl kaum betroffen.

Echtzeit-Karte von Internetangriffen (Quelle: Norse)

Schockierend finde er aber, dass immer noch SQL-Injection-Angriffe genutzt würden, sagte Conway. Von den 5000 Black-Hat-Teilnehmern sei beispielsweise jeder in der Lage, solchen Angriffscode zusammenzustellen. Da pflichtet ihm Chris Eng von Veracode bei: „Um so etwas zu beheben, braucht es in 99 Prozent der Fälle etwa zwei Zeilen zusätzlichen Code.“ Websitebetreiber seien einfach nur zu nachlässig.

Für Hold Security spricht, dass es im vergangenen Jahr bei der Aufklärung wichtiger Datendiebstähle geholfen hat, die Adobe, Ebay, den inzwischen vom Amazon gekauften Comic-Shop Comixology und das Web-Standardisierungsgremium W3C betrafen. Korrekt ist auch, dass Hold Security einen Überwachungsdienst für Konten zum Preis von 120 Dollar pro Monat anbietet – und dass man, um ihn zu nutzen, seine Passwörter angeben muss. Einfacher dürfte es sein, die Passwörter einfach zu wechseln, möglichst eine Passwortverwaltung zu verwenden und für kritische Konten wie den primären E-Mail-Account eine Zwei-Faktor-Authentifizierung einzurichten.

Die New York Times wurde insbesondere für das Timing der Veröffentlichung – einen Tag vor dem Beginn von Black Hat – kritisiert. Sie erklärt jetzt, sie stehe hinter der Geschichte. Was Hold Securitys Eigeninteresse angehe, habe sie von vornherein transparent agiert.

Allerdings weist Kurt Stammerberger von der Analysefirma Norse auf ein großes Versäumnis der Times hin: Der Bericht vermerke nicht, innerhalb welcher Zeit Cybervor die fraglichen Daten gesammelt habe. „Wenn das in den letzten drei Monaten passiert ist, ist es beeindruckend und furchterregend, aber viel weniger, wenn die Daten über fünf Jahre von einer Armee Bots zusammengetragen wurden.“

Einige vermuten sogar, dass der Inhaber von Hold Security – Alexander Holden – mit den Kriminellen gemeinsame Sache mache. Schließlich stamme er aus der Ukraine und spreche fließend Russisch. Gegen solche Verschwörungstheorien protestierte der angesehene unabhängige Sicherheitsforscher Brian Krebs: Holden sei „ein ehrlicher Kerl“, dessen Forschungen für Krebs‘ Veröffentlichung oft von Bedeutung seien.

Als unwahrscheinlich sieht etwa Mikko Hypponen von F-Secure auch einen Zusammenhang mit dem russisch-ukrainischen Konflikt an. Allerdings müsse Russland mehr gegen Cyberkriminalität tun, sagt Shawn Henry von Crowdstrike. „Wenn die zuständige Regierung, in dem Fall Russland, aktiv und aggressiv gegen illegale Aktivitäten vorgehen würde, hätten wir eine stärkere Position. Dies ist kein US-Problem, sondern ein weltweites.“ Erforderlich seien „wirtschaftliche, diplomatische und zivilrechtliche Aktionen“. Henrys Fazit: „Es handelt sich um ein langfristiges Problem ohne kurzfristige Lösung.“

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

4 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

22 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago