Hacker-Angriff:
Nach Mega-Hack: Das sollten Sie jetzt beachten
"Sofortige Aufklärung", fordert der Branchenverband Bitkom. Doch damit wird es wohl noch etwas dauern nach dem vermuteten Datenklau von mehr als 1,2 Milliarden Kombinationen von Benutzername und Passwort. Wer auf Nummer sicher gehen will, sollte alle Passwörter ändern. Worauf es dabei ankommt...
"Sofortige Aufklärung", fordert der Branchenverband Bitkom. Doch damit wird es wohl noch etwas dauern nach dem vermuteten Datenklau von mehr als 1,2 Milliarden Kombinationen von Benutzername und Passwort. Wer auf Nummer sicher gehen will, sollte alle Passwörter ändern - und sich dabei möglichst an die Regeln des Bitkom halten.
"Jeder Internetnutzer muss umgehend erfahren können, ob seine Daten von dem Diebstahl betroffen sind“, sagt Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Hier seien sowohl das US-Sicherheitsunternehmen, das den Datendiebstahl aufgedeckt hat, als auch die US-Behörden in der Pflicht. "Dieser Fall zeigt: Die Politik muss den Kampf gegen die Organisierte Kriminalität im Internet deutlich verstärken", so Rohleder. "Das bedeutet auch, dass die dafür notwendigen Mittel bereitgestellt werden müssen. Datenschutz und Sicherheit gibt es nicht zum Nulltarif."
Rund 500 Millionen verschiedene E-Mail-Adressen sollen von dem russischen Cyber-Diebstahl betroffen sein. Mit diesen Erkenntnissen hatte sich das amerikanische Sicherheitsunternehmen Hold Security an die "New York Times" gewandt. Insgesamt habe die Gruppe 4,5 Milliarden Datensätze erbeutet, erklärte Hold Security in seinem Firmen-Blog. Nach Abzug von Dopplungen seien 1,2 Milliarden Kombinationen von Benutzername und Passwort übriggeblieben.
Der Zeitpunkt ist von Hold Security durchaus geschickt gewählt: Rund um die Sicherheitsmesse Black Hat, die gerade in den USA stattfindet, versuchen viele IT-Firmen, sich ins Gespräch zu bringen. Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind. Den Netz-Nutzern will Hold Security in den kommenden 60 Tagen einen "Identity Protection Service" anbieten. Wer eine Voranmeldung für den Abo-Dienst ausfüllt, soll auch erfahren, ob er persönlich von dem Datenklau betroffen ist.
Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die "New York Times" ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind. Die Zeitung sieht sich allerdings nun Vorwürfen ausgesetzt, bei dem Bericht nicht auf die kommerzielle Verbindung zu
möglichen Produkten von Hold hingewiesen zu haben.
Ohnehin können sich Internet-User in Deutschland die Ausgaben für einen Check sparen: Zum einen bieten das Hasso-Plattner-Institut sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Dienste kostenlos an. Außerdem sollten Anwender einfach davon ausgehen, dass Logins inzwischen in die Hände dubioser Hacker gefallen sind - besonders, wenn sie die Kombination seit Jahren
verwenden. Sie sollten Konsequenzen ziehen und alte Einfach-Passwörter wie "123456" regelmäßig durch komplexe neue Geheimwörter ersetzen.
Das sieht auch der Bitkom so: "Internetnutzer sollten bei Online-Diensten mit besonders schützenswerten Daten wie E-Mail, Sozialen Netzwerken oder Online-Banking nie dasselbe Passwort verwenden", so Rohleder.
Die Bitkom-Tipps zum richtigen Umgang mit Passwörtern:
1. Benutzen Sie bei wichtigen Online-Diensten nicht das gleiche Passwort!
Für Dienste mit besonders sensiblen Daten wie E-Mail, Sozialen Netzwerken oder Online-Banking sollten nie Passwörter genutzt werden, die auch anderswo eingesetzt werden. Das ist zwar bequem, aber wenn dieses eine Passwort aufgedeckt wird, sind sämtliche dadurch abgesicherten Zugänge ohne Schutz.
2. Ändern Sie Ihre Passwörter regelmäßig!
Wenn Sie Ihr Passwort nicht selbst wählen können, sondern zugewiesen bekommen, ändern Sie es umgehend. Generell sollten Sie Ihre wichtigsten Passwörter spätestens alle drei Monate ändern. Stellen Sie am besten Ihren Computer so ein, dass er Sie an den Wechsel erinnert.
3. Wählen Sie starke Passwörter!
Ein Passwort wird nach heutiger Bewertung dann als stark eingestuft, wenn es mindestens 8 Zeichen lang ist und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht. Grundsätzlich gilt: Je länger das Passwort ist, desto schwerer ist es zu knacken.
4. Verwenden Sie keine Passwörter mit persönlichem Bezug!
Namen von Ehegatte, Kindern und Haustieren, Geburtstage, KFZ-Kennzeichen usw. lassen sich leicht erraten.
5. Schreiben Sie keine Passwörter auf!
Der beste Schutz eines Passworts besteht darin, es sich nur zu merken.
6. Vermeiden Sie im Regelfall eine automatische Speicherung von Passwörtern!
In den meisten Internet-Browser-Programmen besteht die Möglichkeit, Passwörter für bestimmte Webseiten speichern zu lassen. Diese Passwörter werden jedoch im Regelfall unverschlüsselt im Computer gespeichert. Daher sollten Sie diese Möglichkeit niemals auf Computern nutzen, die für Dritte frei zugänglich sind!
7. Sollte die Anzahl der zu merkenden Passwörter zu groß werden, benutzen Sie sichere Hilfsmittel!
Ohne technische Hilfen lassen sich die obigen Hinweise für die sichere Passwort-Generierung und -Verwaltung kaum umsetzen. Doch so genannte "Passwortsafes" können Sie unterstützen. Die Programme werden entweder auf einem verschlüsselten Bereich der Festplatte gespeichert oder mit externen Speichermedien wie USB-Sticks mit Ihrem Rechner verbunden. Sie erstellen erstens starke Passwörter nach den oben genannten Kriterien. Zweitens weisen sie bei Bedarf ein neues Passwort einer speziellen Web-Seite zu und nutzen beim Abruf dieser Web-Seite auch automatisch das richtige Passwort. Der Nutzer muss dabei das Passwort selbst gar nicht im Klartext kennen. Drittens werden alle Passwörter verschlüsselt gespeichert. Der Nutzer muss sich auf diese Weise nur noch ein möglichst sicheres Master-Passwort merken. Sollte er allerdings dieses vergessen oder offenbaren, können die anderen nicht mehr genutzt werden.
8. Benutzen Sie Zwei-Faktor-Authentifizierung
Wo möglich, sollten Sie eine Zwei-Faktor-Authentifizierung nutzen. Dabei wird nach der Eingabe des Passworts ein Sicherheitscode auf das Handy des Nutzers geschickt, der zusätzlich eingegeben werden muss. Ähnliche Verfahren werden seit langem beim Online-Banking eingesetzt. Wenn Dritte in den Besitz von Benutzernamen und Passwort kommen, können sie diese ohne das entsprechende Handy, auf das die Sicherheitscodes gesendet werden, nicht verwenden.
Christoph Dernbach, dpa/am