Fragezeichen nach Riesen-Hack

Was wusste Yahoo und wann?

23.09.2016
Der Datendiebstahl bei Yahoo stellte mit mindestens 500 Millionen betroffenen Nutzern einen traurigen Rekord auf. Es war nur einer aus einer Reihe von Fällen, in denen US-Firmen Opfer von Hacker-Angriffen wurden. Viele andere informierten ausführlicher darüber als Yahoo.

Nach dem ersten Schock über das Ausmaß des Datendiebstahls bei Yahoo mit mindestens einer halbe Milliarde betroffener Nutzer rücken neue Fragen in den Vordergrund: Was wusste der Internet-Konzern und wann? Wie viel später wurden möglicherweise betroffene Menschen informiert? Und auch der amerikanische Telekom-Konzern Verizon, der das Web-Geschäft von Yahoo für 4,8 Milliarden Dollar kaufen will, stellt kritische Fragen.

Die Öffentlichkeit jedenfalls bekam erstmals Wind davon Anfang August, nachdem der Hacker "Peace" ein Paket mit angeblichen Login-Daten zu 200 Millionen Nutzerkonten für die lächerliche Summe von weniger als 2000 Dollar zum Verkauf anbot. Von Yahoo hieß es damals, man kenne die Behauptungen und prüfe. Man nahm an, die Daten könnten 2012 entwendet worden sein. Einige Stichproben der Website "Motherboard" führten zu nicht gültigen E-Mail-Adressen, Zweifel an der Echtheit der Daten kamen auf.

Yahoo erklärte noch am 9. September in einer offiziellen Mitteilung bei der Börsenaufsicht SEC zum Verizon-Deal, dem Konzern seien überhaupt keine Fälle des Diebstahls von Kundendaten Hacker-Einbrüchen bekannt. Dabei heißt es jetzt in Medienberichten, Yahoo sei den Hinweisen bereits seit Juli nachgegangen. Bei einer ersten Überprüfung der Daten habe sich der Verdacht jedoch damals nicht bestätigt, heißt es einschränkend.

Dennoch ist es gerade bei dieser Dimension des Datenlecks ungewöhnlich, dass Yahoo keine Zeitangaben zum Angriff und den eigenen Erkenntnissen aus der Untersuchung machte. Auch Verizon reagierte sichtlich verstimmt - war der Deal doch im Juli festgemacht worden, dem Monat, in dem Yahoo von dem Hack erfahren haben soll. Der Telekom-Konzern unterstrich, dass er erst seit zwei Tagen Bescheid wisse. Verizon kündigte unzweideutig an, in der Situation an seine eigenen Interessen und die seiner Aktionäre zu denken. Keiner will sich schließlich für Milliarden auch noch mögliche Kundenklagen einkaufen. Das Tech-Blog "Recode" schrieb unter Berufung auf andere Interessenten, auch sie seien bei ihrem Werben um Yahoo nicht ausführlich über einen möglichen Hack informiert worden.

Dabei war der Angriff auf Yahoo nur der jüngste in einer Reihe von Attacken auf große Unternehmen. Seit Jahren setzen Hacker US-Unternehmen zu, dabei sind die unterschiedlichsten Branchen und Firmen betroffen. Die Liste der Unternehmen, die in den vergangenen zwei Jahren zum Opfer von Online-Attacken wurden, ist lang - das Online-Auktionshaus Ebay, der Büroartikel-Anbieter Staples, die Heimwerker-Kette Home Depot, der Warenhauskonzern Target, der zweitgrößte US-Krankenversicherer Anthem sowie die größte US-Bank JPMorgan und die Telekom-Tochter T-Mobile sind nur einige Beispiele. Viele informierten deutlich ausführlicher als Yahoo bisher.

Die Hacker machen auch vor Behörden und Institutionen nicht Halt. Auch die offizielle Internetseite der "Obamacare" genannten staatlichen Gesundheitsvorsorge wurde schon mit Schadsoftware infiltriert. Erst kürzlich sorgten im US-Wahlkampf brisante Dokumente für Schlagzeilen, die Cyber-Kriminelle von Servern der Demokratischen Partei gestohlen haben sollen. Geht es um die Frage nach den Schuldigen, so fällt der Verdacht der US-Ermittler immer wieder auf ausländische Regierungs-Hacker. Auch Yahoo geht von einem Angreifer mit staatlichem Hintergrund aus.

So werden in den USA meist Hackergruppen mit Nähe zu russischen oder chinesischen Geheimdiensten bezeichnet. Auch hierzu gibt es eine lange Vorgeschichte. Der Krankenhausbetreiber Community Health Systems etwa machte Cyber-Attacken aus China für einen Datendiebstahl von rund 4,5 Millionen Patienten im Jahr 2014 verantwortlich. Die USA und Kanada erklärten auch schon verschiedene Staatsbehörden zu Opfern. Zuletzt geriet allerdings vor allem Russland in Verdacht, das US-Ermittler unter anderem als treibende Kraft hinter den Attacken auf JPMorgan und die Partei der Demokraten vermuten.

Putin dementiert

Kreml-Chef Wladimir Putin wies vor zwei Wochen in einem Interview des US-Wirtschaftsblatts "Bloomberg Businessweek" den Verdacht von sich: "Nein, davon weiß ich nichts. Auf jeden Fall tun wir so etwas nicht auf staatlicher Ebene". Es gebe inzwischen eine Vielzahl von Hackern, die filigran und präzise genug agierten, um sich gut zu tarnen und falsche Fährten in andere Länder zu legen. "Es ist extrem schwierig, das zu überprüfen, wenn es denn überhaupt möglich ist."

Trotz der hohen Risiken haben einer Studie des Beratungshauses NTT Com Security viele Firmen noch keine ausreichenden Maßnahmen ergriffen, um Sicherheitslücken zu schließen. Eine Umfrage unter 1000 Top-Entscheidern von Unternehmen in Europa und den USA habe ergeben, dass bislang nur 49 Prozent speziell gegen Datenverlust durch Cyber-Kriminalität und Hacker-Angriffe abgesichert seien. "Firmen wissen, was sie zu tun haben, um ihre Daten zu schützen - aber nur in der Theorie", lautet das Fazit der Analyse. (dpa/rs)