Mehr als eine Milliarde Mailadressen mit Passwörtern: Die Veröffentlichung des Datensatzes „Collection 1“ im Internet sorgt für Aufruhr. Auch deutsche Domains sind betroffen. Eine Analyse, was das gigantische Leck für Firmen bedeutet – und welche Lehren sie daraus ziehen müssen.

Es ist eines der größten Datenleaks aller Zeiten, das Magazin Wired nennt es eine „Monster-Lücke“. Über ein Hackerforum ist der australische IT-Sicherheitsforscher Troy Hunt auf einen Datensatz mit der unglaublichen Zahl von 1,16 Milliarden Kombinationen aus Mailadressen und zugehörigen Passwörtern gestoßen.

Nach einer Bereinigung der Daten blieben immer noch rund 770 Millionen übrig. Hunt geht davon aus, dass es sich um eine Sammlung aus einer ganzen Reihe von Hacks handelt. Spannend ist der Fall nicht nur für Nutzer, die jetzt wissen wollen, ob sie selbst betroffen sind. Sondern auch, welche Schlussfolgerungen sich daraus für Firmen ergeben.

Fataler Irrglaube: Meine Firma ist für Hacker gar nicht interessant

34 Prozent der Unternehmen schätzen das Risiko, Opfer einer schwerwiegenden Cyberattacke zu werden, als gering oder sehr gering ein, ergab kürzlich unsere Studie „Unternehmen schützen – Risiken minimieren“. Der Leak zeigt dramatisch deutlich, welch fataler Irrglaube das ist. “mannheim.fruehstueckstreff.de”, “netzwerk-psychoanalyse.de” oder “strickideen.de” zählen zu den rund 130 kompromittierten deutschen Domains in dem Leak, berichtet die Süddeutsche Zeitung.

Es mag zunächst absurd erscheinen, dass sich international agierende Datendiebe überhaupt für solche Seiten interessieren. Doch die Wahrheit ist: Sie interessieren sich für jedes (!) schlecht gesicherte Netzwerk, auf das sie stoßen. Wer glaubt, zu uninteressant und damit sicher zu sein, der ist in der größten Gefahr, insbesondere dann, wenn durch diese Annahme IT-Sicherheitsmaßnahmen vernachlässigt werden.

Interessant an dem Datensatz ist zudem, dass er fast ausschließlich Adressen-Passwortkombinationen beinhaltet, die aus Datenbanken gestohlen wurden. Die Informationen wurden also nicht bei den Nutzern selbst abgegriffen, zum Beispiel durch Phishing, sondern bei Händlern, Foren und anderen Seitenbetreibern, die mit Login-Accounts arbeiten und ihre Datenbanken unzureichend gesichert haben. In solchen Fällen bleibt dem Nutzer nur, sein Passwort umgehend zu ändern.

Die schlimmsten Fehler haben Seitenbetreiber gemacht, nicht die Nutzer

Das wird auch an einem weiteren Punkt deutlich: Laut Sicherheitsforscher Hunt schreiben die Hacker in dem Forum von „mehr als 2000 ent-hashten Datenbanken“. Mit dem Hash-Verfahren werden die Passwörter in einer Art Verschlüsselung gespeichert. Doch auch hier waren die Maßnahmen in Sachen IT-Sicherheit offenbar nicht stark genug, das Hash-Verfahren zu schlecht.

Egal, in welcher Branche: Wer online Dienste oder Produkte anbietet, steht in der Verpflichtung, die Daten seiner Kunden zu schützen. Aus Verantwortungsbewusstsein, aber auch aus gesetzlicher Regelung: Nach der Datenschutz-Grundverordnung drohen sonst empfindliche Bußgelder wegen fehlender IT-Compliance. Auch wenn deutsche Anbieter bei diesem Leak insgesamt noch glimpflich davongekommen sind: Diesen massiven Warnschuss sollten auch deutsche Firmen zum Anlass nehmen, ihre Sicherheitsstrategie zu überprüfen. Welche Lehren sind daraus zu ziehen, was ist konkret zu tun?

Wie eine systematische Überprüfung der IT-Sicherheit gelingt

Als erstes sollten Firmen eine systematische Analyse machen, wie ihre IT-Architektur aussieht: Wo sie Daten ihrer Kunden speichern, wer Zugriff darauf hat, wie sie geschützt sind. Dann gilt es regelmäßig zu hinterfragen, ob alle Sicherheitsvorkehrungen auf dem aktuellen Stand sind. Ist meine Verschlüsselungstechnik noch ausreichend, oder habe ich ein altes System, das durch die Zunahme der Rechenleistung mittlerweile geknackt werden kann? Habe ich moderne Detektionssysteme, die die Datenströme live überwachen und in der Lage sind, Angriffe zügig zu erkennen? Gibt es klare Abläufe, was im Falle eines Angriffs zu tun ist, um ihn abzuwehren und digitale Spuren zu sichern?

Eine häufig gegebene Empfehlung an Nutzer nach solchen Angriffen ist es, auf die „Zwei-Faktor-Authentifizierung“ umzusteigen. Das bedeutet, dass mehrere Sicherheitsmerkmale miteinander kombiniert werden. Es reicht also für einen Login nicht aus, ein Passwort zu haben. Man benötigt zusätzlich ein zweites Sicherheitsmerkmal wie beispielsweise einen Code, der aufs Handy geschickt wird oder durch Abfotografieren eines QR-Codes auf dem Smartphone erzeugt wird.

Warum die Zwei-Faktor-Authentifizierung mehr Aufmerksamkeit braucht

Ein Hacker kann dann mit der gestohlenen Kombination aus Benutzernamen und Passwort alleine nichts anfangen. Er müsste auch in den Besitz des Smartphones kommen und dieses knacken. Das ist prinzipiell ein guter Tipp, weil die Zwei-Faktor-Authentifizierung das Sicherheitsniveau wesentlich erhöht. Er scheitert in der Praxis allerdings oft daran, dass viel zu viele Anbieter keine Zwei-Faktor-Authentifizierung anbieten, möglicherweise aufgrund der Befürchtung, seine Kunden mit einer „komplizierten“ Anmeldeprozedur abzuschrecken.

Während dies bei Google, Apple oder Facebook aktiviert werden kann, gibt es bei vielen deutschen Diensten schlicht keine Möglichkeit dazu. Lediglich bei Online-Zugängen zu Bankkonten ist Zwei-Faktor-Authentifizierung, auch aufgrund regulatorischer Vorgaben, weitverbreiteter Standard. Wer noch keine Zwei-Faktor-Authentifizierung eingebunden hat, sollte jetzt schnell darüber nachdenken, um seinen Kunden diese sichere Zugangsmöglichkeit anbieten zu können.

Foto: Getty Images / Philipp Theis / EyeEm