"Passwörter wiederzuverwenden ist sehr gefährlich"
Das US-Sicherheitsunternehmen Hold Security hat den bisher größten Diebstahl von Zugangsdaten aufgedeckt. Eine kleine Gruppe an Cyberkriminellen aus Russland hat 1,2 Milliarden Kombinationen von Nutzernamen und Passwörtern gestohlen. Die Zugangsdaten stammen von 420.000 Webseiten. 500 Millionen E-Mail-Adressen wurden erbeutet. Das schiere Ausmaß der Operation sorgt nun für aufkommende Unruhe, für eine realistische Einschätzung der Bedrohungslage fehlen aber noch wichtige Details. Zumindest eine Bezeichnung für den Fall gibt es schon: "CyberVor". "Vor" ist das russische Wort für Dieb.
Operation seit 2011
Hold Security hat bereits in der Vergangenheit große Datenlecks aufgedeckt. Der aktuelle Fund wurde von einem unabhängigen Sicherheitsexperten als authentisch beurteilt. Die Aktivitäten der russischen Cyberkriminellen-Gruppe, die aus weniger als einem Dutzend zwischen 20 und 30 Jahre alten Männern bestehen soll, wurden bis ins Jahr 2011 zurückverfolgt. Zunächst handelte die Gruppe im kleineren Maßstab mit gestohlenen Daten am Schwarzmarkt. Im April 2014 wurde die Operation massiv ausgebaut. Seitdem wurde eine Vielzahl von Cyberangriffen mit Hilfe illegal gekaperter Computer (Botnetze) durchgeführt. Im Juli hatte die Gruppe 4,5 Milliarden Datensätze gesammelt, bei denen jedoch viele Überlappungen auftraten. Das vorläufige Endresultat: 1,2 Milliarden Datensätze.
Monetär hat die Gruppe, die in der russischen Grenzregion zu Kasachstan und der Mongolei beheimatet ist, ihre Beute noch nicht in größerem Stil verwertet. Verkauft wurden die gestohlenen Datensätze nur zu einem geringen Teil. Konten auf sozialen Netzwerken wurden teilweise dazu verwendet, um im Auftrag von Drittparteien Botschaften zu verbreiten. Geknackte E-Mail-Konten wurden für den Versand von Spam-Nachrichten verwendet.
Welche Webseiten genau von CyberVor betroffen sind, verschweigt Hold Security. Das Sicherheitsunternehmen hat allerdings begonnen, deren Betreiber zu kontaktieren - ein oft schwieriges Vorhaben. "Überlegen Sie sich, auf welchen Webseiten Sie ein Konto besitzen. Vom Gesangsverein über den Fotobestelldienst - wir haben alle dermaßen viele Konten irgendwo, die meistens schon vergessen sind", sagt Otmar Lendl, der Leiter des Computer Emergency Response Team Austria (CERT.at) zur futurezone.
Gefahrenpotenzial Passwörter
Der zahlenmäßige Umfang von CyberVor stellt nicht unmittelbar eine Gefahr dar. "Wirklich gefährlich ist etwas anderes: Wenn man bei der Kleingartenverein-Homepage das gleiche Passwort benutzt wie bei Google oder GMX, dann wird's böse", meint Lendl. Die gestohlenen Passwörter könnten von Cyberkriminellen dazu genutzt werden, um sich Zugang zu weiteren Online-Konten eines Nutzers zu verschaffen, bei denen dasselbe Passwort verwendet wird. "Die Wiederverwendung von Passwörtern ist sehr gefährlich", meint auch Andreas Tomek vom IT-Sicherheits-Forschungszentrum SBA-Research. "Wenn das bei Bezahlwebseiten oder Online-Geldbörsen passiert, hat man ein Problem."
Wie es möglich war, an eine dermaßen große Anzahl von Zugangsdaten zu gelangen, ist nicht bekannt. Die russischen CyberVor-Mitglieder können Botnetze verwendet haben, um Daten von Nutzern auszuspähen oder sie können Webseiten direkt angegriffen haben. Ein Unsicherheitsfaktor dabei ist vor allem die mangelhafte Webseiten-Wartung kleinerer Online-Dienste. Ein anderer Schwachpunkt ist die Sorglosigkeit von Privatpersonen. "Viele Leute kümmern sich schlecht um ihre Rechner", meint Tomek. "Wer seinen eigenen PC nicht sauber hält, kann auch durch Onlinedienste nicht geschützt werden", bestätigt Lendl. Virenschutz verwenden, Updates installieren, Aufpassen beim Internet-Surfen, lauten die grundlegenden Ratschläge.
Reform bei der Zutrittskontrolle
In Zukunft müsse es eine Reform bei der Zutrittskontrolle zu Webseiten-Konten geben, darin sind sich alle Experten einig. Die Kombination aus Benutzername und Passwort erweist sich als oft als unsicher, auch wenn sich bei vielen Webseiten die Praxis durchsetzt, Passwörter nicht als Klartext, sondern in Form so genannter Hashes zu speichern. Selbst wenn Kriminelle in die Server von Unternehmen eindringen, können sie Hashes, mit einem Algorithmus generierte Codes, nicht wieder in Passwörter zurückverwandeln. Doch Passwörter werden weiterhin direkt von Nutzern gestohlen, etwa mit Hilfe von Schadsoftware.
Wesentlich sicherer als die reine Passwort-Eingabe ist die so genannte Zwei-Faktor-Authentifizierung. Hierbei muss man neben Nutzernamen und Passwort auch Code eingeben, der einem etwa via Handy zugeschickt wird. Dieser Code wird jedes Mal neu generiert, nach einem Algorithmus, der von Angreifern nicht repliziert werden kann. Der zweite Sicherheitsfaktor, verbunden mit einem zweiten physischen Gerät, erschwert unerlaubte Zugriffe massiv. Angeboten wird diese Form der Zugriffskontrolle bereits von vielen Webdiensten. "Die Nutzer sollten die Zwei-Faktor-Authentifizierung allerdings auch dort aktivieren, wo sie angeboten wird", sagt Lendl. Ein allzu großer Zeitverlust sei dadurch nicht zu befürchten. Auch mit der Zwei-Faktor-Authentifizierung müsse man sich nicht ständig neu anmelden. "Nur wenn der Nutzer auf einmal von einem anderen Rechner als gewohnt auf den Dienst zugreift, wird eine Neuanmeldung verlangt."
Noch keine Panik angesagt
Für Panik sehen die Experten im CyberVor-Fall noch keinen Hinweis. Auch wenn Hold Security seine Pressemitteilung mit den Worten "Sie wurden gehackt!" einleitet, werden wichtige Details unter Verschluss gehalten. Das Sicherheitsunternehmen nutzt die Verunsicherung freilich dafür, um seine eigenen Dienste anzubieten. Für den Bezug eines Sicherheitspakets ab einem Monatspreis von 120 Dollar findet man schnell heraus, ob man zu den CyberVor-Opfern zählt oder nicht - so verhieß es zumindest eine Anzeige des Unternehmens, die jedoch nach wenigen Stunden offline genommen wurde. Auch der Zeitpunkt der Verkündung des größten bisherigen Diebstahls von Zugangsdaten kommt günstig: In dieser Woche findet in Las Vegas eine der größten IT-Sicherheitskonferenzen statt.
"Es gibt eine ganze Industrie rund um solche Vorfälle", meint Andreas Tomek. Die Lösung schlechthin gebe es nicht, aber auch die Angreifer haben kein besonders leichtes Spiel. Trotz des massiven Datendiebstahls können nicht sofort alle aufgefundenen Passwörter auf alle Online-Konten der Opfer angewendet werden. Dies verlange Zeit. "Üblicherweise machen das auch nicht die Leute, die die Daten erbeuten", sagt Tomek. Stattdessen würden die Daten an andere Cyberkriminelle verkauft, die auf die Verwertung der Daten spezialisiert sind.
Ob österreichische Privatpersonen oder Unternehmen von CyberVor betroffen sind, ist noch unbekannt. Die Resonanz zu dem Vorfall könnte jedoch neue Enthüllungen beschleunigen.