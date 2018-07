Das erste Mal Opfer eines Hackerangriffs wurde ich vor ziemlich genau einem Jahr. Genauer: Der Onlineshop eines Versandhändlers für hochwertiges Olivenöl, bei dem ich Kunde war, wurde gehackt. Der Angriff sei zwar bemerkt, aber nicht rechtzeitig gestoppt worden, hieß es in einer etwas unbefriedigenden Mail an die registrierten Kunden. Neben Stammdaten und E-Mail-Adressen seien möglicherweise auch die Bankverbindungen betroffen. Zur Sicherheit änderte ich mein Passwort – ein schwacher Trost angesichts der Tatsache, dass meine Daten seitdem möglicherweise in illegalen Foren verschachert werden.

Tatsächlich war ich in der Realität angekommen. Eine, in der kaum ein Tag vergeht, an dem nicht irgendwo ein Hackerangriff vermeldet wird: auf Behörden. Auf Filmstudios. Auf Atomkraftwerke. Auf globale Finanznetzwerke. Auf individuelle Twitter-Konten und das Blogsystem eines deutschsprachigen Magazins. Auch wenn Hackerangriffe beinahe so alt sind wie die EDV, scheint es, als beginne das goldene Zeitalter der Hacker gerade erst so richtig.

Angriffe auf LinkedIn, MySpace, Tumblr und VK

In den vergangenen Wochen gab es gleich vier Meldungen, die diesen Eindruck bestätigen. Zunächst wurde bekannt, dass im Jahr 2012 bei einem Angriff auf das Karrierenetzwerk LinkedIn deutlich mehr Daten gestohlen wurden als bislang angenommen. Ursprünglich war die Rede von 6,5 Millionen Zugangsdaten, doch ein inzwischen im Netz angebotener Datensatz enthält rund 177 Millionen Benutzername-Passwort-Kombinationen. Das entspricht fast der kompletten LinkedIn-Nutzerschaft aus dem Jahr 2012.

Wenig später standen die beiden Plattformen MySpace und Tumblr im Mittelpunkt. Im früheren sozialen Netzwerk MySpace sollen Angreifer im Sommer 2013 etwa 427 Millionen E-Mail-Adressen und Passwörter erbeutet haben. Erst nachdem die Daten nun im Netz auftauchten, bestätigte der Betreiber den Vorfall. Auf der Blogplattform Tumblr soll es im gleichen Zeitraum 65 Millionen Nutzer erwischt haben. Möglicherweise gehen beide Angriffe auf den gleichen Täter zurück, zumindest werden sie nun im Netz von der gleichen Person angeboten.



Am vergangenen Wochenende gab es Nachrichten aus Russland: 100 Millionen Konten des sozialen Netzwerks VK sollen zwischen 2011 und 2013 abgeschöpft worden sein. In einer Stichprobe mit 100 zufällig ausgewählten Accounts fand die US-Website Motherboard heraus, dass 92 von ihnen noch immer aktiv waren. Ein Sprecher von VK sagte inzwischen, der Vorfall sei bekannt gewesen, alle betroffenen Nutzer mussten ihr Passwort ändern.

Mark Zuckerberg könnte ein Opfer sein

Unter dem Strich bleiben also mehr als 750 Millionen potenzielle Nutzerdaten, die derzeit gegen Geld im Darknet angeboten werden. Allesamt von bekannten Diensten und aus Hackerangriffen, die bereits vor Jahren stattfanden, aber erst jetzt öffentlich werden. Angesichts der Anzahl ist es wenig tröstlich, dass etwa im Fall von MySpace und Tumblr die Passwörter kaum zu gebrauchen sind, weil sie unvollständig gespeichert sind oder mit einer sogenannten Hashfunktion angereichert wurden. Oder dass LinkedIn jetzt, vier Jahre nach dem Angriff, alle betroffenen Nutzer aufgefordert hat, ihr Passwort ändern.

Denn dass die Daten nicht völlig nutzlos sind, zeigt ein prominentes Beispiel. Am Montag wurden sowohl der Twitter- als auch der Pinterest-Account von Facebook-CEO Mark Zuckerberg gekapert; beide nutzt er schon lange nicht mehr. Bei Pinterest schrieben die Hacker, dass sie Zuckerbergs Zugangsdaten in den Datensätzen von LinkedIn gefunden haben. Sollte sich dies bestätigen, hätte auch einer der einflussreichsten Menschen der Technikbranche einen einfachen und allzu bekannten Fehler begangen: Er hätte das gleiche, unsichere Passwort bei mehreren Onlinediensten verwendet.

Möglicherweise kennen die Täter schon seit Jahren die Zugangsdaten von vielen Millionen Menschen. Bereits 2007 fand eine Studie im Auftrag von Microsoft heraus, wie wenige verschiedene Passwörter der durchschnittliche Internetnutzer verwendet: Bei 25 Konten sind es der Studie zufolge gerade einmal sechs. An dieser Verteilung dürfte sich seitdem wenig geändert haben, Passwörter sind den meisten Menschen am Ende des Tages eben immer noch lästig.