Experten empfehlen trotz Diebstahls von 1,2 Milliarden Zugangsdaten “keine Panik”

Sicherheit
datendiebstahl (Bild: Shutterstock)

Um die von Hold Security veröffentlichte Meldung, eine russische Hackerbande habe 1,2 Milliarden Benutzernamen mit entsprechenden Passwörtern gestohlen, ist auf der laufenden Sicherheitskonferenz Black Hat in Las Vegas eine hitzige Debatte entbrannt. Einige werfen Hold Security Panikmache im eigenen Interesse vor, andere springen dem Unternehmen zur Seite. Relative Einigkeit besteht jedoch im Hinblick auf die Empfehlungen an Endanwender: Ihnen wird “keine Panik” nahegelegt.

security-sicherheit-shutterstock_FuzzBones

Hold Security zufolge verfügt die russische Organisation Cybervor über eine Datenbank mit 1,2 Milliarden Kombinationen aus Benutzername und Passwort sowie 542.000 unterschiedlichen E-Mail-Accounts auf 420.000 infizierten Domains. Das Unternehmen informierte diesbezüglich exklusiv die New York Times.

“Es gibt hier nichts zu sehen, bitte gehen Sie weiter!” kommentierte Shawn Henry, Chief Security Officer von Crowdstrike, der früher auch schon beim FBI als Executive Assistant Director tätig war. Es habe ihn überrascht, wie viele Menschen auf diese Meldung schockiert reagierten. “Das ist die Summe zahlreicher Vorfälle, ein Beispiel für die Anfälligkeit der Online-Welt, in der wir operieren.”

Auch Forscher Andrew Conway von Web- und Messaging-Security-Spezialist Cloudmark ist skeptisch, was die Relevanz des Vorfalls anbelangt. “Meinem Eindruck nach ist alles an der Geschichte wahr. Sie wurde aber so unheilverkündend wie möglich präsentiert. Wer dies mit beispielsweise der Target-Lücke vergleicht, macht einen großen Fehler. Es gibt keine Hinweise, dass irgendwelche Finanzdaten involviert sind.” Bei der US-Kette Target hatten Unbekannte mithilfe von Schadsoftware 110 Millionen Kreditkartennummern und zum Teil angeblich auch die zugehörigen PINs aus Kassensystemen gestohlen.

Conway sagt, er beobachte alle sechs Monate rund 100.000 kompromittierte Domains, die aber nicht alle frisch infiziert seien – oft dauere es Monate, bis ein Vorfall bemerkt werde. Die Zahl der Datenbankeinträge werde dadurch relativiert, dass viele Nutzer mehr als eine E-Mail-Adresse besäßen. 50 Prozent aller geschätzten 2,5 Milliarden Internetnutzer seien folglich wohl kaum betroffen.

Schockierend finde er es jedoch, dass noch immer SQL-Injection-Angriffe eingesetzt würden, sagte Conway. Von den 5000 Black-Hat-Teilnehmern sei zum Beispiel jeder in der Lage, solchen Angriffscode zusammenzustellen. Da pflichtet ihm Chris Eng von Veracode bei: “Um so etwas zu beheben, braucht es in 99 Prozent der Fälle etwa zwei Zeilen zusätzlichen Code.” Websitebetreiber seien einfach nur zu nachlässig.

Für Hold Security spricht, dass es im vergangenen Jahr bei der Aufklärung wichtiger Datendiebstähle geholfen hat, die Adobe, Ebay, den inzwischen von Amazon übernommenen Comic-Shop Comixology sowie das Web-Standardisierungsgremium W3C betrafen. Korrekt ist zudem, dass Hold Security einen Überwachungsservice für Konten zum Preis von 120 Dollar pro Monat offeriert – und auch, dass man seine Passwörter angeben muss, um ihn zu nutzen. Einfacher dürfte es jedoch sein, lediglich die Passwörter zu wechseln, möglichst eine Passwortverwaltung einzusetzen und für kritische Accounts wie das primäre E-Mail-Konto eine Zwei-Faktor-Authentifizierung zu konfigurieren.

norse-attack-map
Echtzeit-Weltkarte von Cyberangriffen im Internet (Bild: Norse).

Die New York Times wurde insbesondere für das Timing der Veröffentlichung – einen Tag vor dem Beginn von Black Hat – kritisiert. Sie erklärt nun, sie stehe hinter der Geschichte. Was Hold Securitys Eigeninteresse angehe, habe sie von Anfang an transparent agiert.

Allerdings weist Kurt Stammerberger von der Analysefirma Norse auf ein großes Versäumnis der Times hin: Der Artikel gebe nicht an, innerhalb welchen Zeitraums Cybervor die betreffenden Daten aggregiert habe. “Wenn das in den letzten drei Monaten passiert ist, ist es beeindruckend und furchterregend, aber viel weniger, wenn die Daten über fünf Jahre von einer Armee Bots zusammengetragen wurden.”

Einige vermuten sogar, dass der Inhaber von Hold Security – Alexander Holden – mit den Kriminellen unter einer Decke stecke. Schließlich stamme er aus der Ukraine und spreche fließend Russisch. Gegen solche Verschwörungstheorien protestierte dann allerdings der angesehene unabhängige Sicherheitsforscher Brian Krebs: Holden sei “ein ehrlicher Kerl”, dessen Forschungen für Krebs’ Veröffentlichung oft von Bedeutung seien.

Als unwahrscheinlich betrachtet beispielsweise Mikko Hypponen von F-Secure auch einen Zusammenhang mit der russisch-ukrainischen Krise. Allerdings müsse Russland mehr gegen Cyberkriminalität tun, sagt Shawn Henry von Crowdstrike. “Wenn die zuständige Regierung, in dem Fall Russland, aktiv und aggressiv gegen illegale Aktivitäten vorgehen würde, hätten wir eine stärkere Position. Dies ist kein US-Problem, sondern ein weltweites.” Erforderlich seien “wirtschaftliche, diplomatische und zivilrechtliche Aktionen”. Henrys Fazit: “Es handelt sich um ein langfristiges Problem ohne kurzfristige Lösung.”

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen