Experten Russische Hacker erbeuten 1,2 Milliarden Profildaten

Über eine Milliarde Datensätze mit Profildaten soll eine Hacker-Gruppe aus Russland erbeutet haben. Es wäre ein neuer Rekord. Für Nutzer gab es bisher keine Hinweise darauf, ob sie betroffen sein könnten.

00000000 für den Start von Atomraketen
Das Passwort für den Abschuss der US-Minuteman-Atomraketen war denkbar schlecht: Wie das Online-Portal " heise.de" berichtet, bestand die Kombination für fast zwei Jahrzehnte aus acht Nullen. Demnach entschied das Strategic Air Command (SAC) wohl, dass die Militärentscheider in der heißen Phase des Kalten Krieges die Raketen möglichst schnell starten können sollten. Darüber hinaus soll das Passwort auch noch auf den Start-Checklisten ausgedruckt worden sein. So hätten sogar zivile Arbeiter Zugang zu den vernichtenden Waffen gehabt. Quelle: AP
Joseph Bonneau von der Universität Cambridge hat 70 Millionen Passwörter analysiert. Dafür musste er allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu. Quelle: dapd
In der Wirtschaft sieht es dagegen schlecht aus: Das weltweit beliebteste Passwort in der internationalen Wirtschaftswelt laut Studie ist das sehr unkreative „password1“, gefolgt von „welcome“, „password01“ und „password2“ - da wird das Passwort zur Einladung für Hacker. Quelle: dpa
Davon abgesehen spiegeln sich aber auch kulturelle Unterschiede in den Passwortgewohnheiten wieder. Die Vorliebe der Chinesen für Zahlen beispielsweise, zeigt sich auch bei den verwendeten Passwörtern. Damit landen die Chinesen im Gesamt-Ranking auf einem guten mittleren Platz weit vor den Briten. Beide müssen sich allerdings den Deutschen geschlagen geben - und unter diesen interessanterweise besonders den über 55-Jährigen. Ihre Passwörter sind besonders sicher. Die Passwörter der unter 25-jährigen seien dagegen nur halb so sicher. Allerdings könnte hier den Deutschen auch eine Eigenart ihrer Sprache helfen: Das Deutsche enthält ungewöhnlich viele lange Worte. Quelle: Reuters
Der Computerwissenschaftler fand Unterschiede und Gemeinsamkeiten zwischen den Kulturen heraus. Eine große interkulturelle Gemeinsamkeit: die Faulheit der Nutzer. Die Mehrzahl der Passwörter besteht aus gerade einmal sechs Zeichen - egal ob in Peking oder New York. Selbst ein sogenanntes „Skriptkiddie“, das nicht mehr beherrscht als bekannte Hacker-Tools einzusetzen, kann so ein Passwort innerhalb von rund zehn Minuten knacken - zumindest wenn der Computer einen Brute-Force-Angriff nicht durch technische Maßnahmen verhindert. Ein solcher Brute-Force-Angriff probiert automatisch Passwort-Kombinationen nach dem Zufallsprinzip aus - durch die große Anzahl der Versuche wird irgendwann die richtige Kombination dabei sein. Quelle: dpa
Doch wie kommen Nutzer nun zum einfachen und dennoch sicheren Passwort? Die wichtigste Regel zuerst: Wörter, die so im Lexikon stehen, sind absolut tabu. Weil viele Anmeldesysteme nur eine begrenzte Anzahl von Versuchen erlauben, sind Angreifer von der sogenannten Bruteforce-Methode abgekommen. Dabei werden einfach automatisiert sämtliche möglichen Buchstaben- und Nummerkombinationen durchprobiert. Stattdessen werden Listen mit Standard-Passwörtern abgearbeitet, die meist einfach aus Wörtern aus Lexika stammen. Foto: ap
Sonderzeichen nutzenUm sich das eigene Passwort trotzdem merken zu können, kann ein Wort mit Sonderzeichen, eigenwilliger Groß/kleinschreibung oder zusätzlichen Zahlen geschrieben werden. Beispiel: HaUspf@ndbr1ef23. Das "U" wird mitten im Satz groß geschrieben, das "A" wird durch ein "@" ersetzt, das "I" durch eine eins und am Ende des Wortes wird noch eine Nummer angehängt. Noch besser ist allerdings, wenn Sie einzelne Buchstaben mit weniger einfachen Regeln durch Zahlen ersetzen. Beispiel: Jedes "E" durch eine "11" ersetzen. Mögliche Eselsbrücke: Die Elf teilt mit dem "E" den selben Anfangsbuchstaben. Foto: ap
Trick 17: Satz satt Wort merken Eine noch elegantere Lösung, mit der sich relativ einfach ein Passwort merken lässt, das nicht einfach zu erraten ist, ist folgende Taktik: Statt eines Wortes merken Sie sich einfach einen Satz. Da es aber natürlich zu lange dauern würde, bei jeder Passworteingabe einen kompletten Satz zu schreiben, wählen Sie das Passwort so, dass es nur aus den Anfangsbuchstaben besteht. Ein Beispiel wäre der Satz: Meinen Rechner mache ich mit einem komplizierten Passwort sicher. Als Passwort wird daraus: MRmimekPs. In den meisten Fällen reichen natürlich kürzere Sätze - mindestens sechs Buchstaben sollten es aber sein. Eine Kombination, die sich anbietet, ist ein kurzer Satz zusammen mit einer Nummernkombination. Der Satz ist als Gedächtnisstütze für den Anfang gedacht. Wenn Sie das Passwort regelmäßig benutzen, werden Sie ihn irgendwann nicht mehr benötigen und geben das Passwort dann deutlich schneller ein. Foto: dpa
Die Länge ist entscheidend Auch auf die Länge beim Passwort kommt es an: Mindestens acht Zeichen sollte es betragen, um sich gegen einfache Brutforce-Attacken zu wappnen, bei denen einfach automatisiert sämtliche Zeichenkombinationen durchprobiert werden. Foto: ap
Sicheres Passwort generieren lassen Sie sind ein echter Sicherheitsfreak? Dann können Sie sich auf Seiten wie www.sicherespasswort.com auch ein sicheres Passwort in den Stufen "gut" bis "sehr stark" generieren lassen. Bei den sehr starken Passwörtern gibt es quasi keine Tricks mehr für eine Merkhilfe. Bei den anderen Stufen kann es helfen, sich für den Anfang einen dazugehörigen Satz zu merken. Aber Achtung: Wenn das Passwort so kompliziert wird, dass sie es sich aufschreiben müssen, ist der gesamte Sicherheitsgewinn dahin. Wählen Sie lieber ein Passwort, das gerade so kompliziert ist, dass Sie ohne Merkhilfe auskommen. Wenn Sie trotz allem ein Gedächtnisstütze für ein Passwort benötigen, speichern Sie diese wenigstens verschlüsselt auf Ihrer Festplatte. Empfehlenswert ist beispielsweise das kostenlose TrueCrypt für Windows, Mac OS X und Linux. Doch in diesem Fall ist das Passwort natürlich maximal so sicher, wie das, mit denen die Daten verschlüsselt wurden. Foto: ap
Namen und Daten aus dem persönlichen Umfeld vermeiden Nichts gegen Ihr Haustier: Aber als Gedächtnisstütze für Ihr Passwort sollte der Name Ihres Hundes oder Ihrer Katze auf keinen Fall herhalten. Auch der Name Ihres Partners, Ihrer Kinder, Ihr Geburtsdatum - oder das von Familienmitgliedern - sind absolute Tabus. Ein gezielter Angreifer, die Sie persönlich kennt, wird Begriffe und Daten aus Ihrem Umfeld als erstes ausprobieren. Leidvoll erfahren musste das Paris Hilton (Foto). Dem amerikanische Hacker, der sich Zugang zu den Daten der Millionen-Erbin verschafft hatte, machte es Hilton nicht schwer. Das Passwort lautete Tinkerbell - so wie ihr Hund. Absolute No-Gos sind natürlich auch die am häufigsten verwendeten Standard-Passwörter wie "Passwort, "Passwort123", "Harry Potter", "Gandalf", "4711", "0815", "Hund", "Sommer", "test123" und ähnliches. Sehen Sie auch von Tricks ab, wie den eigenen Namen rückwärts zu schreiben oder einfach Vor- und Nachname zu vertauschen. Einer gezielten Attacke halten solche Methoden nicht stand. Quelle: ap
Sicheres General-Passwort wählenBleibt nur noch die Frage, welches Passwort zum Generalschlüssel für alle anderen Passwörter werden soll. Selbstverständlich sollte es sich dabei um ein besonders sicheres Passwort handeln, gleichzeitig dürfen Sie es aber auf keinen Fall vergessen. Dabei sollten Sie den bereits genannten Trick nutzen, statt eines kryptischen Wortes einfach einen sinnvollen Satz zu merken, der für Sie eine Bedeutung hat. Das Passwort besteht dann auf den jeweiligen Anfangsbuchstaben des Satzes – bei Beachtung der Groß-/Kleinschreibung. Ein Beispiel wäre der Satz: Meinen Rechner mache ich mit einem komplizierten Passwort sicher. Als Passwort wird daraus: MRmimekPs – ein Wort, das Sie garantiert in keinem Lexikon finden. Bei der Übertragung von Passwörtern im Netz ist außerdem darauf zu achten, dass die Webadresse über eine verschlüsselte Verbindung aufgerufen wurden („https://“ am Anfang der Webadresse statt das einfache „http://“), damit das Passwort nicht mitgelauscht werden kann. Quelle: dapd
Schön aber teuer1Password ist eine elegante Lösung für das Passwort-Problem aus der Mac-Welt, die es inzwischen aber auch für Windows-Rechner gibt. Statt sich Dutzende verschiedene Passwörter zu merken oder gar aufzuschreiben, werden alle Passwörter bei 1Password zentral gespeichert und durch ein General-Passwort geschützt. 1Password zeichnet sich dabei durch eine besonders gute Integration des Programms in den Browser aus – die Stelle, an der Nutzer heute am häufigsten mit verschiedenen Passwörtern hantieren müssen. Besonders praktisch ist auch, dass 1Password für alle relevanten Plattformen verfügbar ist: Neben Mac und Windows auch für iPhone, iPad und Android-Smartphones. Die Passwörter lassen sich zwischen diesen Geräten synchronisieren. Auch alle großen Browser wie Internet Explorer, Firefox, Safari oder Chrome werden unterstützt. Allerdings berichten Nutzer, dass die Integration in Chrome deutlich schlechter funktioniere als in Apples Safari, wofür das Programm ursprünglich geschrieben wurde. Mit rund 40 Dollar ist das Programm außerdem recht teuer. Quelle: Screenshot
Nichtkommerzielles Open-Source-ToolNeben den kommerziellen Angeboten gibt es mit KeePass auch ein kostenloses Open-Source-Tool zum Verwalten der Passwörter . Auch KeePass ist für zahlreiche Plattformen, darunter Windows, Linux, Mac OS X, Pocket PC, Android, iPhone und Blackberry verfügbar. Die Passwörter werden dabei mit einem besonders sicheren Verfahren namens AES verschlüsselt, das auch Banken einsetzen. Integrieren lässt sich KeePass bisher nur in den Browser Firefox, mittels des Plugins KeeFox. Bei anderen Browsern müssen die Passwörter entweder aus einer per Generalpasswort geschützten Textdatei kopiert werden, oder KeePass übergibt das Passwort direkt an den Browser („Auto-Type“). Auch KeePass hat einen Kennwort-Generator an Bord. Quelle: Screenshot
Flexible Lösung für alle GeräteLastPass ist für noch mehr Plattformen verfügbar, neben Windows und Mac OS X auch Linux, iPhone, Android, Symbian, Blackberry und webOS. Es unterstützt neben den populären Browsern Internet Explorer, Firefox, Safari und Chrome außerdem auch den unter Webexperten beliebten Browser Opera. Mit LastPass lassen sich Passwörter nicht nur speichern, sondern auch neue sichere Passwörter generieren. Wer die Version für Geschäftskunden kauft, kann neben Website-Passwörtern auch die Kennwörter für Anwendungen zentral speichern. Eine Grundversion ist kostenlos, LastPass Premium kostet 12 Dollar im Jahr für private Nutzer, die Geschäftskunden-Anwendung gibt es ab 24 Dollar im Jahr. Quelle: Screenshot
Gruppen-Verwaltung für Business-KundenDie Software Passpack richtet sich vor allem an Geschäftskunden – Privatnutzer werden die vier Dollar im Monat wohl kaum für eine Passwort-Software ausgeben wollen. Dafür bietet Passpack als einzige der hier vorgestellten Lösungen die Verwaltung von Passwörtern in Nutzerteams. Für jedes Passwort kann eingestellt werden, welcher Mitarbeiter darauf Zugriff haben soll. Auch private Passwörter lassen sich noch parallel mit Passpack verwalten. Daneben bietet das Programm noch weitere Funktionen. So lassen sich zwischen Mitgliedern einer Arbeitsgruppe beispielsweise Nachrichten teilen, auf die niemand anderes Zugriff hat. Quelle: Screenshot
Software-Tresor für PasswörterNicht erst seit dem Sony-Datenskandal ist bekannt, dass man ein bestimmtes Passwort besser nur einmal verwenden sollte. Gibt es bei nur einer der Seiten, auf denen das Passwort verwendet wird, eine Lücke, sind auch alle anderen Seiten gefährdet. Doch bei der Vielzahl an Portalen und Websites, die heute ein Passwort verlangen, sind Nutzer ohne Elefantengedächtnis schnell überfordert – und aufschreiben sollte man sich die Passwörter ja auch nicht. Ein Weg aus dem Dilemma: Eine Software, die die Passwörter zentral verwaltet und sie nur mit einem „Generalschlüssel“-Passwort herausgibt. Quelle: dpa
Einfallstor E-Mail-AccountJedem ist bewusst, dass sensible Accounts wie bei Amazon, Ebay oder Paypal durch ein langes und sicheres Passwort geschützt sein sollte. Der beste Schutz dort nützt aber nichts, wenn nicht auch der E-Mail-Account entsprechend durch ein starkes Passwort geschützt ist. Hat sich ein Angreifer Zugang zu einem E-Mail-Account verschafft, ist das das entscheidende Einfallstor für alle weiteren Accounts. Über die Kontrolle des E-Mail-Accounts kann sich der Angreifer einfach neue Passwörter zuschicken lassen - egal ob bei Ebay oder anderen Services im Web. Quelle: dpa
Ob Facebook, Ebay, Amazon oder E-Mail-Account - die Zugänge zu unserer Alltagswelt sind heute durch Passwörter geschützt - und das meist nicht besonders gut. Das weltweit am meisten genutzte Passwort lautet "123456" - und ist damit gleichzeitig auch das gefährlichste. Allerdings gibt es auch einen kleinen Trost: Die Deutschen nutzen laut einer aktuellen Studie aus Großbritannien neben den Südkoreanern die sichersten Passwörter weltweit. Das ist das Ergebnis der Analyse von weltweit 70 Millionen Passwörtern des Computerwissenschaftlers Joseph Bonneau von der  Universität Cambridge. Quelle: dapd

Es könnte der wohl bisher größte Datendiebstahl im Internet sein: Russische Hacker haben nach Erkenntnissen amerikanischer IT-Sicherheitsexperten rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte die amerikanische Sicherheitsfirma Hold Security der „New York Times“. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen. Hold Security habe die Daten in Untergrund-Kanälen im Internet entdeckt und auch mit der Hacker-Gruppe aus Zentralrussland kommuniziert, berichtete die Zeitung am späten Dienstag. Die Einwahldaten stammen demnach von rund 420 000 Websites, darunter seien bekannte Firmennamen ebenso wie kleine Seiten. Die Sicherheitsfirma macht keine Angaben dazu, welche Websites betroffen sind. Ein von der Zeitung zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt, schrieb die „New York Times“.

Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau von dem Datenklau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein. Dennoch ist Datendiebstahl dieser Art immer gefährlich: Viele Internet-Nutzer setzen die gleiche Kombination von Benutzernamen oder E-Mail-Adressen und Passwörtern bei verschiedenen Websites ein und sind dann auf breiter Front betroffen. Auf jeden Fall wäre es eine erschütternde Dimension für einen Daten-Diebstahl: Das Internet hat nach Schätzungen insgesamt zwischen 2 und 2,5 Milliarden Nutzer.

Die meisten der betroffenen Websites seien immer noch angreifbar, sagte Hold-Chef Alex Holden der Zeitung. Sie seien ebenso wie Behörden unterrichtet worden. Die Angreifer hätten die erbeuteten Informationen bisher für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie erwägten aber auch, sie zu verkaufen, hieß es. Technisch sei ein so breit angelegter Angriff dank eines sogenanntes Botnetzes mit vielen infizierten Computern möglich. Wenn ein nichtsahnender Nutzer mit einem solchen Rechner eine Website ansteuere, prüfe das Botnetz, ob die angreifbar sein.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Man wisse, dass die Gruppe im Süden Zentralrusslands basiert sei, erklärte Hold Security. Sie bestehe aus weniger als einem Dutzend Männer im Alter unter 30 Jahren, die sich persönlich kennen, hieß es. Die Server befänden sich in Russland. In der Gang gebe es eine klare Arbeitsteilung: „Die einen schreiben die Programme, die anderen stehlen die Daten.“ Insgesamt habe die Gruppe 4,5 Milliarden Datensätze erbeutet, erklärte Hold Security. Nach Abzug von Doppelungen seien 1,2 Milliarden Kombinationen von Benutzername und Passwort übriggeblieben.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%