HOME

Zweifel am russischen Mega-Hack: "Die Firma macht bloß Geld mit der Panik"

Russische Cyberkriminelle sollen 1,2 Milliarden Passwörter erbeutet haben, warnt eine amerikanische Sicherheitsfirma. Doch nun gibt es Zweifel an dem Mega-Hack.

Von Christoph Fröhlich

Ein russischer Verbrecherring soll 1,2 Miliarden Passwörter samt den dazugehörigen Benutzernamen erbeutet haben. Das berichtete die "New York Times" unter Berufung auf die US-amerikanische Sicherheitsfirma Hold Security. Dabei seien über 500 Millionen E-Mail-Adressen betroffen, die Einwahldaten würden von etwa 420.000 Webseiten stammen, schreibt die US-Zeitung. Die Zahl ist insofern unglaublich, weil Schätzungen zufolge weltweit gerade einmal zwei bis 2,5 Milliarden Menschen überhaupt einen Internetanschluss haben. Zwar besitzen die meisten User Dutzende Online-Accounts, dennoch dürfte ein Großteil der Internetnutzer betroffen sein.

"Sie machen Geld mit der Panik"

Doch seit Bekanntwerden mehren sich Zweifel über die Glaubwürdigkeit des angeblichen Mega-Hacks. "Wir können nur wissen, ob das eine große Nummer ist, wenn wir wissen, welche Informationen woher stammen", sagt Chester Wisniewski dem US-Magazin "PC World". Er ist ein führender Sicherheitsforscher beim Antivirensoftware-Hersteller Sophos. "Aber ich kann diese Fragen nicht beantworten, weil die Leute, die den Fall aufgedeckt haben, lieber Geld machen wollen."

Damit bezieht sich Wisniewski auf das umstrittene Angebot von Hold Security, wonach Webseitenbetreiber erfahren können, ob ihre Seiten verwundbar und ihre Nutzer vom Diebstahl betroffen sind - allerdings nur gegen eine Jahresgebühr von 120 Dollar. "Hold Security macht Geld mit der Panik", schreibt das US-Portal "The Verge".

Gegenüber "Forbes" erklärte Firmenchef Alex Holden, die Jahresgebühr sei lediglich ein "symbolischer Preis", denn seine Firma müsse unter anderem sicherstellen, dass die Seitenbetreiber, die sich für den Dienst anmelden, auch wirklich die Besitzer der Seite sind. Dennoch bleibt ein Geschmäckle, erst die Ängste der User zu schüren und dann beunruhigten Seitenbetreibern das Geld aus der Tasche zu leiern.

Viele Fragen bleiben offen

Doch es ist nicht nur das Geschäftsmodell, das Fragen aufwirft. Denn nach wie vor fehlen Details zu dem digitalen Raubzug. Wichtig wäre etwa zu wissen, welche Nutzer und Webseiten überhaupt betroffen sind und wie aktuell die gestohlenen Daten sind. Zudem ist unklar, ob die gestohlenen Passwörter verschlüsselt oder im Klartext vorliegen.

Fragwürdig ist etwa, woher die 1,2 Milliarden Datensätze stammen. Es gibt nur wenige Unternehmen - etwa Facebook, Google oder Microsoft - die Dienste mit solchen Nutzerzahlen anbieten. Sollte eine der Firmen vom Datendiebstahl betroffen sein, würde Hold Security damit eigentlich nicht hinterm Berg halten, denn in den vergangenen Monaten machte das Unternehmen auch auf Sicherheitslücken namhafter Firmen wie Adobe oder Target aufmerksam. Firmenchef Holden begründet den Schritt damit, dass prominente Firmen die Lücken möglicherweise noch nicht behoben haben und so weiter angreifbar seien.

Weiterhin ist unklar, wie viele Datensätze gestohlen und wie viele aus früheren Hacks auf dem Internet-Schwarzmarkt eingekauft wurden. "Viele Passwörter könnten noch aus alten Hacks stammen", vermutet "The Verge"-Autor Russel Brandom. Zudem schreibt er, es sei unwahrscheinlich, dass gleich eine ganze Riege von Top-Firmen von dem Datenklau betroffen sind, wie es Hold Security in seiner schwammig formulierten Stellungname suggeriert. "Sicher gibt es immer ein Fortune-500-Unternehmen, das die Gefahr unterschätzt (man sollte niemals die Inkompetenz unterschätzen), aber insgesamt ist das als reine Spekulation zu werten."

Sind die Daten wertlos?

Am merkwürdigsten ist die Tatsache, dass die Bande die erbeuteten Daten bislang weder verkaufen noch dafür einsetzen, Geld zu stehlen. Stattdessen werden sie für Twitter-Spam genutzt. Das lege den Verdacht nahe, dass es den Hackern womöglich eher um Quantiät als um Qualität ging. "Wenn es etwas gebe, was die Hacker mit den Daten anstellen könnten, dass lukrativer und nachhaltiger wäre als Spammen, würden sie es tun", meint Brandom.

Es ist immer noch möglich, dass die russischen Hacker die gestohlenen Daten nutzen, um massenhaft Bankkonten zu knacken oder Identitätsdiebstahl zu begehen. Womöglich stellt sich der größte Datendiebstahl aller Zeiten aber auch nur als geschickte Eigenwerbung einer Sicherheitsfirma aus Milwaukee, Wisconsin heraus.