Die Eckdaten klingen alarmierend – und haben diese Woche Internetbenutzer in aller Welt aufgeschreckt. Eine amerikanische Sicherheitsfirma will einen Hackerring ausgehoben haben, der rund 1,2 Milliarden Datensätze mit Logindaten geklaut hat – und 500 Millionen E-Mail-Adressen gesammelt. Klingt so, als müsste praktisch jeder betroffen sein. Entsprechend groß war die Verunsicherung in den letzten Tagen, denn niemand kann wissen, ob auch er betroffen war oder nicht. Die Glaubwürdigkeit der Nachrichten ist mehr als zweifelhaft.
Wer Aufmerksamkeit will, der muss heute schon auf den Putz hauen. Mit ein paar Tausend erbeuteten Login-Daten oder Passwörtern kann man niemanden mehr hinterm Ofen hervor locken. Alle paar Tage gehen Meldungen um, dass mal wieder ein paar Millionen Zugangsdaten geklaut wurden. Das ist heute fast schon Alltag.
Die auf IT-Sicherheit spezialisierte Firma Hold Security hat dann auch mit den ganz großen Zahlen aufgewartet: Rund 1,2 Milliarden Login-Daten sollen russische Hacker erbeutet haben. 500 Millionen E-Mail-Adressen. 420.000 angegriffene Server. Das alles klingt nach dem ganz großen Coup.
Wenn Details fehlen, werden die Alarmglocken laut
Bei derart großen Zahlen berichten alle. Da kann man sich fast sicher sein. Und so ist die Nachricht über den Giga-Hack aus Russland in den letzten Tagen durch alle Medien gegangen. Nur Details gab es nicht zu berichten. Denn über Details hat sich Hold Security ausgeschwiegen.
Weder hat das Unternehmen mitgeteilt, wie die Hacker konkret vorgegangen sein sollen, noch wie der Hack aufgedeckt wurde oder wer eigentlich betroffen ist. Auch welche Sicherheitslecks die Hacker ausgenutzt haben sollen, wer hinter dem Datencoup steckt oder ob die Passwörter im Klartext oder verschlüsselt geklaut wurden – wurde alles bislang nicht verraten.
Ein bisschen viel Geheimniskrämerei und ein bisschen wenig verwertbare Infos, finde ich. Klingt fast so, als wollte sich da jemand im Sommerloch ein bisschen PR gönnen. Denn eins steht fest: Die Firma, die den Hack angeblich entdeckt hat, profitiert ungeniert von der Nachricht.
Das Geschäftsmodell hinter der Angst
Der Firmenname wurde Tausende Male genannt. Das Unternehmen bietet nun eine ganze besondere Art von Sicherheits-Service an: Für 120 Dollar im Jahr können Webseitenbetreiber erfahren, ob ihre Seite verwundbar ist und ihre User vom Diebstahl betroffen sind.
Perfide Abzocke. Da wird erst im ganz großen Stil Angst geschürt und dann eine vermeintliche Lösung angeboten. Erst für Webseitenbetreiber – und später auch für einzelne Internet-User. Schon in wenigen Tagen soll jeder User erfahren können, ob er betroffen ist – gegen Gebühr.
Warum die Zahlen nicht aufgehen
Das alles wirft eine Menge Fragen auf. Einen großen Namen in Sachen IT-Sicherheit hat Hold Security jedenfalls bislang nicht. Nicht wenige Experten und Blogger fragen sich daher: Wenn tatsächlich 1,2 Milliarden Datensätze entwendet wurden, dann hätte man doch längst missbräuchliche Verwendung im großen Stil feststellen müssen. Denn Hacker sammeln nicht einfach nur Daten, sie nutzen sie normalerweise auch. Anderenfalls sind die Daten nämlich nutzlos. Doch es gibt derzeit keinen erkennbaren Anstieg in Sachen Datenmissbrauch.
Alles äußerst merkwürdig. Gut möglich also, dass sich das alles schon bald als die größte Ente der Internetgeschichte entpuppt. Dass es gar keine russischen Hacker gibt. Von einer besonders ungenierten Art der Beutelschneiderei darf man aber schon jetzt getrost ausgehen.
Was wir daraus lernen können
Solche Fälle zeigen, wie wichtig es ist, bei Cybersecurity-Meldungen genau hinzuschauen. Seriöse Sicherheitsforscher veröffentlichen ihre Erkenntnisse normalerweise transparent – mit Details zu Methoden, betroffenen Systemen und Empfehlungen. Sie arbeiten mit etablierten Organisationen wie dem Computer Emergency Response Team (CERT) zusammen und koordinieren ihre Veröffentlichungen verantwortungsvoll.
Wenn eine Firma mit spektakulären Zahlen hausieren geht, aber keine verifizierbaren Details liefert und gleichzeitig kostenpflichtige Services bewirbt, sollten alle Warnsignale angehen. Echte Sicherheitsexperten verdienen ihr Geld nicht durch Panikmache, sondern durch solide, nachprüfbare Arbeit.
So schützt ihr euch wirklich
Statt auf dubiose Services reinzufallen, könnt ihr euch kostenlos absichern. Nutzt verschiedene, starke Passwörter für jeden Account – am besten mit einem Passwort-Manager wie Bitwarden oder 1Password. Aktiviert Zwei-Faktor-Authentifizierung überall, wo es möglich ist. Und checkt regelmäßig bei seriösen Diensten wie „Have I Been Pwned“ von Troy Hunt, ob eure Daten in bekannten Datenlecks auftauchen.
Natürlich müssen Firmen Geld verdienen. Aber im vorliegenden Fall ist die Art und Weise, wie im großen Stil völlig kalkuliert Angst geschürt wird und dann auch gleich kostenpflichtige Pflästerchen angeboten werden, besonders dreist und unsympathisch. Ein Lehrstück dafür, wie man Cybersecurity nicht betreiben sollte.
Zuletzt aktualisiert am 18.04.2026
