Kriminelle gelangten an die Zugangsdaten von mindestens drei Millionen deutscher Kunden. Alle großen deutschen und mehrere internationale E-Mail-Anbieter sind von diesem Identitätsdiebstahl betroffen. Der Vorfall zeigt auch, dass der Schutz unserer digitalen Identität immer wichtiger wird. Dies ist möglicherweise der bisher größte Fall von Identitätsdiebstahl, der deutsche Nutzer betrifft. Die Staatsanwaltschaft Verden stellte dem Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich einen Datensatz mit rund 21 Millionen geknackten Zugangsdaten zur Verfügung. Glück im Pech: Mittlerweile kristallisierte sich heraus, die meisten Betroffenen leben woanders. Bei diesem Datensatz sind „lediglich“ etwa drei Millionen Deutsche betroffen.

Die erbeuteten Zugangsdaten können für die verschiedensten illegalen Anwendungen verwendet werden. Interessenten kaufen diese in Foren, um auf Kosten Dritter Einkäufe zu tätigen oder nach Möglichkeit Kreditkarten oder Bankkonten zu entleeren. Die Übernahme der Identität in sozialen Netzwerken oder der Versand von Spammails ist ebenfalls möglich. Damit lässt sich aber weitaus weniger Geld verdienen. Bisher wurde im Zuge der laufenden Ermittlungen nicht bekannt gegeben, wie die Cyberkriminellen an die Daten gelangt sind. Klar ist lediglich, dass es einen Zusammenhang mit einem unaufgeklärten Datenleak von Januar dieses Jahres geben soll. Die mutmaßlichen Täter kommen aus Osteuropa.

Die United-Internet-Töchter GMX und Web.de begannen gestern mit der gezielten Sperre geknackter E-Mail-Konten. Wer beim Login dazu aufgefordert wird, sein Passwort zu ändern und ein Captcha einzugeben, sollte darüber nicht überrascht sein.

BSI in der Zwickmühle

Sicherheitsberater Sven Krohlas glaubt, das BSI habe bei der Information der Nutzer einen höchst komplizierten Part übernommen. Sollte die Bonner Behörde einfach alle Betroffenen per E-Mail anschreiben, könnte die Warnung von den Kriminellen abgefangen werden. Auch die Option, das eigene Konto über eine eigens dafür eingerichtete Webseite zu überprüfen ist sinnfrei. Dann könnte jeder alle Accounts daraufhin überprüfen, ob sie gehackt wurden. Krohlas bemerkt zudem, dass die wenigsten E-Mail-Provider über eine Telefonnummer oder andere Kontaktdaten verfügen. Die Berichterstattung in den verschiedensten Medien wird zwar von einigen Personen wahrgenommen. Eine flächendeckende Warnung kann damit aber nicht gewährleistet werden. Nicht jeder verfolgt tagtäglich die Nachrichten. Auch die Teilnahme an sozialen Netzwerken ist dafür kein Garant. Viele tauschen sich lieber über das Befinden ihrer Haustiere aus, statt ihren Kontakten mitzuteilen, dass mal wieder massenhaft Daten geklaut wurden.

Es gibt keinen Datendiebstahl!

Und da hätten wir es auch wieder. Daten kann man überhaupt nicht stehlen. Das gilt sowohl für Internet-Tauschbörsen als auch für Hacker. Die Daten wurden lediglich ohne jegliche Zustimmung kopiert. Der Begriff Diebstahl besagt, dass das entwendete Gut hinterher nicht mehr an Ort und Stelle ist. Doch beim Filesharing als auch beim Identitätsdiebstahl gibt es die gleichen Daten am Schluss gleich zwei Mal. Der eine Datensatz verbleibt bei der Quelle, der andere Datensatz beim Cyberkriminellen oder beim Jugendlichen, der sich eine Musikdatei heruntergeladen hat. Unser Strafgesetzbuch legt zudem fest, dass es sich dabei um einen physischen Gegenstand handeln muss. Auch von daher passt der Begriff Diebstahl nicht. Der im IT-Sektor Tätige Peter Piksa schlägt vor, diesen Vorgang in „unrechtmäßiges Kopieren in Tateinheit mit dem Ausspähen von Daten“ umzubenennen. Doch das würde allen Mitgliedern der schreibenden Zunft die Möglichkeit nehmen, weiterhin skandalträchtig von einem Datendiebstahl zu sprechen.

Auch Journalisten tragen Verantwortung

Im schlimmsten Fall wurde der Angreifer aber nur wenige Betroffene durch die Berichterstattung bei SpOn & Co. gewarnt. Der Kriminelle konnte zwischenzeitlich alle hinterlegten Kontaktdaten und Passwörter ändern, um die wahren Eigentümer der Konten auszusperren. Diese könnten sich dann nicht mehr gegenüber ihrem Mailanbieter als solche zu erkennen geben. Krohlas, der selbst bei einem großen E-Mail-Anbieter tätig ist, glaubt, die Presse habe „in diesem Fall vollkommen ihre Verantwortung vergessen„. Ob aus Unwissenheit oder Profitgier könne er nicht beurteilen. Zumindest wurden mit der Story und einer entsprechend reißerischen Überschrift die Klickzahlen der Online-Portale in die Höhe getrieben.

Was bleibt, sind die obligatorischen Ratschläge, die den Surfern nach jedem Vorfall erteilt werden: Die Verwendung starker Passwörter, die nicht wiederverwendet werden. Außerdem sollte man sich ausschließlich über einen verschlüsselten Zugang einloggen. Leider helfen aktuelle PlugIns und Virenscanner nur gegen solche Bedrohungen, die schon bekannt sind. Brandneue Schadsoftware, die in Webseiten oder E-Mails versteckt werden, können damit nicht aufgespürt werden. Das ist auch der Grund, warum diverse CCC-Mitglieder Antivirenprogramme generell als Schlangenöl bezeichnen, weil sie vielfach nur die Taschen der Hersteller füllen, statt die Computer der zahlende Kunden zu schützen.

Microsoft stellt Support für Windows XP ein

Dringender Handlungsbedarf besteht ganz aktuell beim in die Jahre gekommenen Betriebssystem Windows XP. Hersteller Microsoft stellt mit dem heutigen Tag den Support ein. Folglich wird es ab sofort keine Updates mehr geben, obwohl noch immer fast jeder fünfte Internetnutzer damit im Web unterwegs ist. Leider wird es nicht lange dauern, bis der nächste Datenskandal ins Haus steht. Die Redakteure brauchen eine neue Schlagzeile, die Cyberkriminellen und Hersteller von Betriebsystemen möchten ihr Geld verdienen. Und last, but not least, ist nach dem Hack leider auch immer vor dem Hack.