Die Eckdaten klingen alarmierend – und haben diese Woche Internetbenutzer in aller Welt aufgeschreckt. Eine amerikanische Sicherheitsfirma will einen Hackerring ausgehoben haben, der rund 1,2 Milliarden Datensätze mit Logindaten geklaut hat – und 500 Millionen E-Mail-Adressen gesammelt. Klingt so, als müsste praktisch jeder betroffen sein. Ensprechend groß war die Verunsicherung in den letzten Tagen, denn niemand kann wissen, ob auch er betroffen war oder nicht. Die Glaubwürdigkeit der Nachrichten ist mehr als zweifelhaft.
Wer Aufmerksamkeit will, der muss heute schon auf den Putz hauen. Mit ein paar Tausend erbeuteten Login-Daten oder Passwörtern kann man niemanden mehr hinterm Ofen hervor locken. Alle paar Tage gehen Meldungen um, dass mal wieder ein paar Millionen Zugangsdaten geklaut wurden. Das ist heute fast schon Alltag.
Die auf IT-Sicherheit spezialisierte Firma Hold Security hat dann auch mit den ganz großen Zahlen aufgewartet: Rund 1,2 Milliarden Login-Daten sollen russische Hacker erbeutet haben. 500 Millionen E-Mail-Adressen. 420.000 angegriffene Server. Das alles klingt nach dem ganz großen Coup.
Bei derart großen Zahlen berichten alle. Da kann man sich fast sicher sein. Und so ist die Nachricht über den Giga-Hack aus Russland in den letzten Tagen durch alle Medien gegangen. Nur Details gab es nicht zu berichten. Denn über Details hat sich Hold Security ausgeschwiegen.
Weder hat das Unternehmen mitgeteilt, wie die Hacker konkret vorgegangen sein sollen, noch wie der Hack aufgedeckt wurde oder wer eigentlich betroffen ist. Auch welche Sicherheitslecks die Hacker ausgenutzt haben sollen, wer hinter dem Datencoup steckt oder ob die Passwörter im Klartet oder verschlüsselt geklaut wurden – wurde alles bislang nicht verraten.
Ein bisschen viel Geheimniskrämerei und ein bisschen wenig verwertbare Infos, finde ich. Klingt fast so, als wollte sich da jemand im Sommerloch ein bisschen PR gönnen. Denn eins steht fest: Die Firma, die den Hack angeblich entdeckt hat, profitiert ungeniert von der Nachricht.
Der Firmenname wurde Tausende Male genannt. Das Unternehmen bietet nun eine ganze besondere Art von Sicherheits-Service an: Für 120 Dollar im Jahr können Webseitenbetreiber erfahren, ob ihre Seite verwundbar ist und ihre User vom Diebstahl betroffen sind.
Perfide Abzocke. Da wird erst im ganz großen Stil Angst geschürt und dann eine vermeintliche Lösung angeboten. Erst für Webseitenbetreiber – und später auch für einzelne Internet-User. Schon in wenigen Tagen soll jeder User erfahren können, ob er betroffen ist – gegen Gebühr.
Das alles wirft eine Menge Fragen auf. Einen großen Namen in Sachen IT-Sicherheit hat Hold Security jedenfalls bislang nicht. Nicht wenige Experten und Blogger fragen sich daher: Wenn tatsächlich 1,2 Milliarden Datensätze entwendet wurden, dann hätte man doch längst missbräuchliche Verwendung im großen Stil feststellen müssen. Denn Hacker sammeln nicht einfach nur Daten, sie nutzen sie normalerweise auch. Anderenfalls sind die Daten nämlich nutzlos. Doch es gibt derzeit keinen erkennbaren Anstieg in Sachen Datenmissbrauch.
Alles äußerst merkwürdig. Gut möglich also, dass sich das alles schon bald als die größte Ente der Internetgeschichte entpuppt. Dass es gar keine russischen Hacker gibt. Von einer besonders ungenierten Art der Beutelschneiderei darf man aber schon jetzt getrost ausgehen. Natürlich müssen Firmen Geld verdienen. Aber im vorliegenden Fall ist die Art und Weise, wie im großen Stil völlig kalkuliert Angst geschürt wird und dann auch gleich kostenpflichtige Pflästerchen angeboten werden, besonders dreist und unsympathisch.
