"Hacker behalten die Oberhand"

Das erste Mal Opfer eines Hackerangriffs wurde ich vor ziemlich genau einem Jahr. Genauer: Der Onlineshop eines Versandhändlers für hochwertiges Olivenöl, bei dem ich Kunde war, wurde gehackt. Der Angriff sei zwar bemerkt, aber nicht rechtzeitig gestoppt worden, hieß es in einer etwas unbefriedigenden Mail an die registrierten Kunden. Neben Stammdaten und E-Mail-Adressen seien möglicherweise auch die Bankverbindungen betroffen. Zur Sicherheit änderte ich mein Passwort – ein schwacher Trost angesichts der Tatsache, dass meine Daten seitdem möglicherweise in illegalen Foren verschachert werden.

Tatsächlich war ich in der Realität angekommen. Eine, in der kaum ein Tag vergeht, an dem nicht irgendwo ein Hackerangriff vermeldet wird: auf Behörden. Auf Filmstudios. Auf Atomkraftwerke. Auf globale Finanznetzwerke. Auf individuelle Twitter-Konten und das Blogsystem eines deutschsprachigen Magazins. Auch wenn Hackerangriffe beinahe so alt sind wie die EDV, scheint es, als beginne das goldene Zeitalter der Hacker gerade erst so richtig.

Angriffe auf LinkedIn, MySpace, Tumblr und VK

In den vergangenen Wochen gab es gleich vier Meldungen, die diesen Eindruck bestätigen. Zunächst wurde bekannt, dass im Jahr 2012 bei einem Angriff auf das Karrierenetzwerk LinkedIn deutlich mehr Daten gestohlen wurden als bislang angenommen. Ursprünglich war die Rede von 6,5 Millionen Zugangsdaten, doch ein inzwischen im Netz angebotener Datensatz enthält rund 177 Millionen Benutzername-Passwort-Kombinationen. Das entspricht fast der kompletten LinkedIn-Nutzerschaft aus dem Jahr 2012.

Wenig später standen die beiden Plattformen MySpace und Tumblr im Mittelpunkt. Im früheren sozialen Netzwerk MySpace sollen Angreifer im Sommer 2013 etwa 427 Millionen E-Mail-Adressen und Passwörter erbeutet haben. Erst nachdem die Daten nun im Netz auftauchten, bestätigte der Betreiber den Vorfall. Auf der Blogplattform Tumblr soll es im gleichen Zeitraum 65 Millionen Nutzer erwischt haben. Möglicherweise gehen beide Angriffe auf den gleichen Täter zurück, zumindest werden sie nun im Netz von der gleichen Person angeboten.

Am vergangenen Wochenende gab es Nachrichten aus Russland: 100 Millionen Konten des sozialen Netzwerks VK sollen zwischen 2011 und 2013 abgeschöpft worden sein. In einer Stichprobe mit 100 zufällig ausgewählten Accounts fand die US-Website Motherboard heraus, dass 92 von ihnen noch immer aktiv waren. Ein Sprecher von VK sagte inzwischen, der Vorfall sei bekannt gewesen, alle betroffenen Nutzer mussten ihr Passwort ändern.

Mark Zuckerberg könnte ein Opfer sein

Unter dem Strich bleiben also mehr als 750 Millionen potenzielle Nutzerdaten, die derzeit gegen Geld im Darknet angeboten werden. Allesamt von bekannten Diensten und aus Hackerangriffen, die bereits vor Jahren stattfanden, aber erst jetzt öffentlich werden. Angesichts der Anzahl ist es wenig tröstlich, dass etwa im Fall von MySpace und Tumblr die Passwörter kaum zu gebrauchen sind, weil sie unvollständig gespeichert sind oder mit einer sogenannten Hashfunktion angereichert wurden. Oder dass LinkedIn jetzt, vier Jahre nach dem Angriff, alle betroffenen Nutzer aufgefordert hat, ihr Passwort ändern.

Denn dass die Daten nicht völlig nutzlos sind, zeigt ein prominentes Beispiel. Am Montag wurden sowohl der Twitter- als auch der Pinterest-Account von Facebook-CEO Mark Zuckerberg gekapert; beide nutzt er schon lange nicht mehr. Bei Pinterest schrieben die Hacker, dass sie Zuckerbergs Zugangsdaten in den Datensätzen von LinkedIn gefunden haben. Sollte sich dies bestätigen, hätte auch einer der einflussreichsten Menschen der Technikbranche einen einfachen und allzu bekannten Fehler begangen: Er hätte das gleiche, unsichere Passwort bei mehreren Onlinediensten verwendet.

Möglicherweise kennen die Täter schon seit Jahren die Zugangsdaten von vielen Millionen Menschen. Bereits 2007 fand eine Studie im Auftrag von Microsoft heraus, wie wenige verschiedene Passwörter der durchschnittliche Internetnutzer verwendet: Bei 25 Konten sind es der Studie zufolge gerade einmal sechs. An dieser Verteilung dürfte sich seitdem wenig geändert haben, Passwörter sind den meisten Menschen am Ende des Tages eben immer noch lästig.

Wir wissen nicht, was schon alles gehackt wurde

Die jüngsten Meldungen sollten deshalb als Warnung dienen. Gleichzeitig legen sie nahe, dass Hackerangriffe nicht nur zunehmend alltäglich werden, sondern möglicherweise längst ohne unser Wissen stattfanden. Denn auch wenn sich die Meldungen über neue Angriffe häufen, bleiben Angriffe auf die wie LinkedIn oder Tumblr über Jahre hinweg unentdeckt, unterschätzt oder schlicht unerwähnt.

Den Tätern kann das nur Recht sein, schreibt der Passwortcracker Jeremi Gosney in einem Artikel für das IT-Portal Ars Technica. Ihm und seinen Kollegen ist es 2012 als Ersten gelungen, die 6,5 Millionen Passwörter von LinkedIn zu entschlüsseln. Obwohl sie mit einer – wenn auch schlecht implementierten – Hashfunktion versehen waren, brauchten sie bloß eine Woche, um sie in Klartext zu verwandeln. Bei den jetzigen 177 Millionen benötigten sie bloß nur drei Tage für 88 Prozent der Konten.

"Hacker behalten die Oberhand"

Gosney beschreibt den Prozess des Passwortcrackens als eine ewige Feedbackschleife: Je mehr Passwörter die Cracker erfolgreich entschlüsseln, desto besser und schneller geht es beim nächsten Mal. Große gestohlene Datenbanken wie die des Widget-Entwicklers RockYou im Jahr 2010 oder von LinkedIn seien dabei ein wahrer Segen für die Szene. Denn während sich die Plattformen und ihre Nutzer in Sicherheit wiegen und weiterhin veraltete oder schwache Sicherheitstechnik einsetzen, lernen die Angreifer daraus. "Hacker behalten die Oberhand", sagt Gosney.

Für Internetnutzer ist das eine beunruhigende Nachricht, bleibt doch das Gefühl, dass man möglicherweise längst das Opfer eines Hackerangriffs wurde, ohne es zu wissen. Es scheint, als gehöre das Gehacktwerden mittlerweile zu unserer digitalen Sozialisation dazu. 

Es gibt trotzdem keinen Grund, sich diesem Gefühl der Unsicherheit hinzugeben. Im Gegenteil: Auch wenn es sich nie vermeiden lässt, dass der Olivenölhändler seines Vertrauens, das Forum der Lieblingsband oder die bevorzugte Datingwebsite gehackt werden, lässt sich der Schaden eindämmen. Ein sicheres und einzigartiges Passwort für jeden einzelnen Dienst beugt dem Missbrauch zumindest ein wenig vor. Noch besser ist eine Zwei-Faktor-Authentifizierung, wenn sie denn angeboten wird. Wer überprüfen will, ob er von einem Angriff betroffen ist, kann das über die Website Have I been pwned? tun. Der Betreiber wertet die großen, gestohlenen Datensätze aus und macht sie auf E-Mail-Adressen und Nutzernamen hin durchsuchbar.