Yahoo

Erste Klagen nach riesigem Datendiebstahl

26.09.2016
Kaum wird der gewaltige Datenklau bei Yahoo bekannt, schon ziehen erste Nutzer in den USA vor Gericht. Damit dürfte sich auch die geplante Übernahme des Yahoo-Geschäfts durch Verizon erschweren.

Nach dem Bekanntwerden des Diebstahls der Daten von mindestens einer halben Milliarde Nutzern bei Yahoo gibt es bereits die ersten Klagen in den USA. In den Bundesstaaten Kalifornien und Illinois zogen Kunden vor Gericht, die dem Internet-Konzern vorwerfen, nicht genug auf die Datensicherheit geachtet und die Nutzer zu spät informiert zu haben. Sie streben den Status von Sammelklagen an, denen sich viele Betroffene anschließen könnten.

Yahoo hatte den Hacker-Angriff von Ende 2014 am Donnerstag bekanntgegeben. Nach wie vor ist unklar, wann genau das Unternehmen erste Hinweise auf eine Attacke bekam und seit wann es vom Ausmaß des Diebstahls wusste.

Das "Wall Street Journal" berichtete in der Nacht zum Samstag, Yahoo habe bereits Ende 2014 einen Hacker-Angriff aus Russland entdeckt, bei dem es aber nur um Daten von 30 bis 40 konkreten Nutzern gegangen sei. Der Konzern habe damals auch das FBI darüber informiert, hieß es unter Berufung auf eine informierte Person.

In der Yahoo-Zentrale Sunnyvale rumort es gerade gewaltig.
Foto: jejim - shutterstock.com

Staatliche Attacke?

Yahoo hatte für den riesigen Datendiebstahl jetzt Hacker mit staatlichem Hintergrund verantwortlich gemacht. Damit werden in den USA meist Gruppen mit Nähe zu russischen oder chinesischen Geheimdiensten gemeint. Es blieb jedoch unklar, ob zwischen den beiden Attacken ein Zusammenhang bestehen könnte.

Der Datendiebstahl bei Yahoo ist mit mindestens 500 Millionen betroffenen Nutzern der mit Abstand größte, der bisher bekannt wurde.

Die Klagen verstärken auch den Druck auf die geplante Übernahme des Web-Geschäfts von Yahoo durch den Telekom-Konzern Verizon für 4,8 Milliarden Dollar. In einer Pflichtmitteilung zum Verizon-Deal hatte Yahoo noch am 9. September erklärt, dem Unternehmen sei kein Diebstahl von Nutzerdaten bekannt.

Verizon-Deal wackelt

Verizon betonte, man werde die Situation ausgehend von den Interessen des eigenen Unternehmens sowie der Kunden und Aktionäre prüfen. Der Telekom-Riese sei erst vor zwei Tagen von dem Datendiebstahl unterrichtet worden und verfüge bisher nur über eingeschränkte Informationen. Verizon habe nun auch seine eigenen Experten samt der IT-Sicherheitschefin Chandra McMahon für eine eigene Untersuchung entsandt, schrieb die "New York Times".

Erste Berichte über einen möglichen Datendiebstahl bei Yahoo waren Anfang August aufgekommen, als Hacker behaupteten, Zugang zu 200 Millionen Profilen zu haben, und einer von ihnen im Internet die angeblichen Nutzerdaten für weniger als 2000 Dollar zum Kauf anbot.

Laut Medieninformationen prüfte das Unternehmen die Hinweise bereits seit Juli. In dem Monat war auch der Übernahme-Deal mit Verizon festgezurrt worden. Die ersten Hinweise hätten sich als falsch herausgestellt. Bei ihrer genaueren Prüfung habe Yahoo jedoch den großen Datendiebstahl entdeckt, hieß es in einigen Berichten.

Bei den Daten der betroffenen Nutzer geht es Yahoo zufolge um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Nach derzeitigem Stand seien keine Passwörter im Klartext oder Kreditkarten- und Bankkonto-Informationen entwendet worden.

Dafür könnten aber sowohl verschlüsselte als auch unverschlüsselte Sicherheitsfragen samt Antworten in die Hände der Angreifer gelangt sein. Solche Fragen etwa nach dem Namen von Haustieren oder der Lieblingsfarbe kommen zum Einsatz, wenn ein Nutzer sein Passwort vergisst. (dpa/sh)

Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.