WiWo App 1 Monat für nur 0,99 €
Anzeigen

Cyberkriminalität Schneller gegen den Datenklau

Es ist ein Fall von Cyberkriminalität im ungekannten Ausmaß: Kriminelle haben die E-Mail-Daten von 18 Millionen Nutzern gestohlen. Behörden und Anbieter rüsten auf und wollen Betroffene künftig schneller informieren.

  • Artikel teilen per:
  • Artikel teilen per:
Quelle: Getty Images

Bonn Der Fall zeichnet ein erschreckendes Bild von der grassierenden Cyberkriminalität – aber er macht auch Hoffnung auf ein bisschen mehr Sicherheit im Netz. Unbekannte haben die Zugangsdaten zu 18 Millionen E-Mail-Adressen gestohlen, darunter mindestens 3 Millionen von deutschen Nutzern. Seit Montag informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun die Opfer, die meisten sollen bis zum Abend Bescheid wissen. Für die Zukunft will die Behörde ein Verfahren entwickeln, um schneller auf solche Datenfunde reagieren zu können.

Wem die Schlagzeilen bekannt vorkommen, der erinnert sich ganz richtig: Bereits im Januar warnte das BSI vor einen groß angelegten Datendiebstahl – damals ging es um 16 Millionen Datensätze. In beiden Fällen stammten die Informationen von der Staatsanwaltschaft im niedersächsischen Verden, und beide Fälle hängen zusammen: „Es handelt sich um denselben Ermittlungskomplex“, sagte Lutz Goebel, Sprecher der Staatsanwaltschaft, auf Anfrage von Handelsblatt Online. Details nannte er nicht – die Ermittlungen laufen noch.

Beim ersten Fund brauchte das BSI mehrere Wochen, bis sie die Warnung veröffentlichte, dann war die Seite mit dem Online-Test schlecht erreichbar. Von diesen Erfahrungen profitiert die Behörde aber, dieses Mal hat sie immerhin nach zehn Tagen eine Lösung parat. Dafür arbeitet sie mit den großen deutschen E-Mail-Anbietern zusammen: Deutsche Telekom, Freenet, GMX, Web.de, Kabel Deutschland und Vodafone sollen die betroffenen Nutzer direkt kontaktieren. Dafür hat sie ihnen die Adressen zur Verfügung gestellt. Das BSI schätzt, damit 70 Prozent der Opfer zu erreichen.

Wer eine E-Mail-Adresse bei einem anderen Anbieter hat, erhält indes keine Mitteilung. Das BSI rät für diesen Fall dringend, den Sicherheitstest zu machen. Das gilt auch und insbesondere für die Nutzer von US-Diensten wie Gmail von Google oder Outlook.com von Microsoft: Die deutsche Behörde konnte sich mit den amerikanischen Konzernen auf die Schnelle nicht über den Umgang mit den Daten einigen – daher händigte sie die Adressen nicht aus.

Die US-Anbieter seien kooperationsbereit gewesen, sagte Häger. Aber: „Sie wollten die Daten erst mit ihren eigenen Verfahren prüfen und nicht zusagen, dass sie die Nutzer informieren.“ Das sei Voraussetzung für die Weitergabe der Adressen gewesen. Es sei aber gut möglich, dass man für künftige Fälle eine Lösung finde.

Die Daten stammen nach Einschätzung des BSI aus unterschiedlichen Quellen. Einen beträchtlichen Teil dürften die Cyberkriminellen mit den sogenannten Phishing gestohlen haben. Dafür locken sie Nutzer auf verwanzte Webseiten und fordern sie auf, ihre Daten einzugeben. Oder sie schleusen Schnüffel-Software auf den Rechner und lauschen mit – womöglich auch beim Online-Einkauf oder Banking.

Das BSI empfiehlt betroffenen Nutzer daher eindringlich, den eigenen Rechner mit Anti-Virus-Software auf Schädlingsbefall zu überprüfen und anschließend alle Passwörter zu ändern. Um neue Angriffe zu verhindern, sollten Nutzer regelmäßig überprüfen, ob ihr PC für Angriffe aus dem Netz verwundbar ist. Die Behörde empfiehlt die Website botfrei.de.


Das BSI will künftig schneller reagieren

Der Datenfund wirft ein Schlaglicht auf den Identitätsdiebstahl im Netz. Kriminelle Hacker erbeuten massenhaft Zugangsdaten zu E-Mail-Konten, sozialen Netzwerken oder Online-Shops. Das Ausmaß lässt sich angesichts der hohen Dunkelziffer nicht bemessen, das BSI bezeichnet den Datenklau aber als eines „der größten Risiken bei der Internetnutzung“: „Wir warnen davor schon seit Jahren“, sagt Dirk Häger, der beim Amt für IT-Sicherheit den Fachbereich Operative Netzabwehr leitet.

Die Daten sind eine lukrative Beute: „E-Mail-Adressen sind essenziell für unsere Identität im Internet“, sagte Sicherheitsexperte Häger. Denn sie ermöglichen Kriminellen Zugang zu anderen Online-Diensten. Ein gängiges Verfahren: Die Gangster durchforsten die E-Mails nach alten Rechnungen, fordern bei den jeweiligen Online-Händlern neue Passwörter an und loggen sich damit ein. Anschließend bestellen sie im Namen des Opfers und lassen die Ware an eine andere Adresse liefern, etwa eine Packstation oder ein verlassenes Haus.

Gleichzeitig werden gestohlene E-Mail-Konten häufig missbraucht, um Spam und schädliche Software zu verbreiten – das soll auch im aktuellen Fall so sein. Kriminelle schließen Armeen von gekaperten Rechnern zu sogenannten Botnetzen zusammen, die massenhaft Nachrichten verschicken. So können die Cyberkriminellen noch mehr Identitäten stehlen – und den Kreislauf im Gang halten.

Nach den zwei großen Fällen will sich das BSI für weitere Fälle rüsten: „Wir suchen ein Verfahren für die Zukunft, um die den Informationsprozess zu optimieren“, sagte Häger. Die Behörde rede derzeit mit Polizeistellen und Unternehmen. Das Ziel: Die Sicherheitsexperten wollen die Betroffenen künftig direkt über den E-Mail-Anbieter informieren – gerade wenn kleinere Datensätze auftauchen, die keine großen Schlagzeilen machen.

Der aktuelle Fall bestätigt aber auch: „Man bräuchte ein besseres Verfahren als den Schutz mit dem Passwort“, sagte Häger. Das sei aber eine Frage der Benutzerfreundlichkeit: Je sicherer die Anmeldung, desto unbequemer ist sie auch. „Dieser Konflikt ist nicht so einfach lösbar.“ Das BSI hält beispielsweise den elektronischen Personalausweis für eine sinnvoll Ergänzung, einige IT-Unternehmen setzen auf biometrische Verfahren mit Fingerabdruck oder Stimme.

Dass sich der Datendiebstahl bald eindämmen lässt, ist unwahrscheinlich. Zumindest steigt die Chance, dass die Opfer künftig schneller davon erfahren.

 

Mehr zum Thema IT-Sicherheit und wie Sie Ihre Daten schützen, lesen Sie in unserem E-Book „Wie Sie sich gegen Datendiebe wehren“.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%