Trotz des gigantischen Ausmaßes sind die genauen Auswirkungen des jüngsten Diebstahls von 1,2 Milliarden Einwahldaten für Online-Dienste weiterhin unklar. Die Politik appelliert an Nutzer und Anbieter, mehr für die Sicherheit zu tun.
Bundesjustizminister Heiko Maas rief Verbraucher und Anbieter zu besseren Sicherheitsvorkehrungen auf. "Internet-Anbieter sind in der Pflicht, alles zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun", sagte der SPD-Politiker der "Welt". "Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen mehr finden." Nutzern von Online-Diensten riet er, Passwörter regelmäßig zu ändern. Anbieter, Kunden und Politiker müssten sich gemeinsam für die Bekämpfung von Datenmissbrauch einsetzen, sagte Maas der "Welt".
Der Bundesrat hatte sich im März bereits dafür ausgesprochen, den An- und Verkauf gestohlener Daten unter Strafe zu stellen. Bisher sind nur der Diebstahl von Daten und deren Nutzung strafbar, aber nicht der Handel. Der Verkauf von Einwahldaten oder Kreditkartendaten ist nach Einschätzung von Fachleuten ein "tägliches Geschäft" im Netz. Die hessische Justizministerin Eva Kühne-Hörmann (CDU) rief in der "Welt" zum schnellen Handeln auf. Hessen hatte den Gesetzentwurf im Bundesrat eingebracht.
Die Anatomie eines Hacker-Angriffs -
Schutz ist möglich
Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden.
Fazit: Angriffe kaum zu vermeiden
Das Fazit von Trend-Micro-Forscher Kyle Wilhoit ist alarmierend: Es sei eine "überraschende Anzahl" von Angriffen zu beobachten gewesen. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanziert er daher nach dem Experiment.
Genaue Motive unbekannt
Wo die Rechner der Angreifer vermutlich standen, konnten die Forscher zwar nachvollziehen, über deren Motive wissen sie dagegen wenig. Ihr Eindruck: Einige Attacken hatten das Ziel, Informationen zu sammeln, andere wollten die Anlage tatsächlich lahmlegen.
Angreifer aus aller Welt
Die Angriffe gingen von 14 verschiedenen Ländern aus. Gut ein Drittel der Attacken (35 Prozent) war auf China zurückzuführen, ein Fünftel (19 Prozent) auf die USA, immerhin 12 Prozent auf den südostasiatischen Staat Laos.
Erster gezielter Angriff nach 18 Stunden
Eine Attacke stellten die Forscher bereits nach 18 Stunden fest. Im Testzeitraum von 28 Tagen verzeichneten sie insgesamt 39 Angriffe. Einige Angreifer versuchten es offenbar mehrfach und überarbeiteten dabei ihre Strategie.
Optimiert für Suchmaschinen
Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt.
Schwachstellen als Einfallstor
Die Systeme enthielten typische Schwachstellen – damit sei die Testumgebung nah an der Realität gewesen, betonen die Forscher: Denn viele Industrie-Anlagen, die mit dem Internet verbunden sind, sind nicht ausreichend geschützt.
Zwei Honigtöpfe als Köder
Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht.
Erfahrungen sammeln
Bislang ist wenig über Attacken auf industrielle Steuerungssysteme bekannt. Um mehr darüber zu lernen, hat das IT-Sicherheitsunternehmen Trend Micro ein Experiment gemacht, über das es in einem Forschungspapier ausführlich berichtet.
Dass die Daten aus dem jüngsten Fall auf dem Schwarzmarkt gehandelt werden, erscheint derzeit unwahrscheinlich. Die IT-Sicherheitsfirma Hold Security erklärte, die Hacker hätten die Daten zum Versand vom Spam-Nachrichten genutzt. Hold hatte den Fall aufgedeckt. Das Unternehmen wurde aber kritisiert, weil es gegen Geld einen Dienst anbietet, der Webseiten-Betreiber vor Datendiebstählen warnen soll. Fachleute schätzten den Fall dennoch als "ernstzunehmend" ein. Der Sicherheitsexperte Brian Krebs, der selbst mehrere Hacking-Angriffe öffentlich bekanntmachte, schrieb, die Daten seien "definitv echt".
Nach Erkenntnissen von Hold Security haben Hacker 1,2 Milliarden Einwahldaten für Online-Profile erbeutet. Die bestehen aus E-Mail-Adresse und Passwort. Die Hacker hätten die Informationen abgefischt, indem sie Sicherheitslücken bei Online-Diensten ausgenutzt hätten. Sie hätten gezielt nach Webseiten mit einer bestimmten Sicherheitslücke gesucht und sich darüber Zugriff auf die Inhalte der Datenbanken der Online-Dienste verschafft. Die Daten sollen von mehr als 420.000 Webseiten stammen.
Neun neue Security-Mythen -
Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ...
Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert.
Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll.
Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen.
Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden.
Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht.
Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle.
Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift.
Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!
Auch das Bundesamt für Sicherheit in der Informationstechnik rief Anbieter vor diesem Hintergrund auf, ihre Sicherheitsmechanismen zu verbessern. Nach ersten Erkenntnissen sind Behörden auf Bundesebene nicht Opfer des Datendiebstahls geworden. Das BSI ist für den Schutz der IT-Systeme der Bundesregierung verantwortlich.
Ob deutsche Nutzer betroffen sind, werde geprüft. Angesichts der riesigen Anzahl gestohlener Datensätze sei allerdings anzunehmen, dass auch deutsche Internetnutzer unter den Opfern seien. (dpa/tc)