Am Mittwoch hat der weltgrößte Internet-Marktplatz eBay bekannt gegeben, dass eBay Opfer eines Hacker-Angriffs wurde. Offensichtlich gelangten über eine verwundbare Stelle der Webseite verschlüsselte Nutzer-Infos nach außen. eBay empfiehlt allen Nutzern, ihr Kennwort zu ändern und sicherzustellen, dass andere Online-Konten sicher bleiben. Was bedeutet das genau? Hier einige Fragen und Antworten.
Was genau geht vor sich?
Einfach gesagt: Bei eBay gespeicherte, verschlüsselte Informationen wurden gestohlen. Es ist unklar, welche Informationen genau entwendet wurden, doch vermutlich handelt es sich sowohl um kodierte Kennwörter als auch um persönliche Informationen, wie Namen und Adressen. eBay hat bereits betont, dass keine finanziellen Daten ausgelesen wurden. Kreditkarten-Daten und Bankkonten sind also sicher.
Während der nächsten paar Tage wird von allen Nutzern – weltweit sind das mehr als 128 Millionen Käufer und Verkäufer – verlangt, ihre Anmeldedaten zu ändern.
Ist auch PayPal betroffen?
eBay verneint das. Obwohl PayPal zu eBay gehört, sind die Systeme getrennt und waren nicht Ziel dieses Cyber-Angriffs. Vielen Nutzern wird das aber nicht weiterhelfen, denn ein Großteil wird sowohl für eBay als auch für PayPal das gleiche Kennwort nutzen.
Wenn Sie also Ihr eBay-Kennwort ändern, sollten Sie ebenso Ihr Passwort bei PayPal ändern – und nicht das gleiche neue Kennwort für die 2 Webseiten nutzen.
Welches Risiko besteht für Sie?
Schwer zu sagen. eBay hat angemerkt, dass der Angriff im Februar oder März stattfand, also vor einigen Monaten. Seit Anfang Mai wird der Vorfall untersucht. Unklar bleibt, warum die Attacke so lange unerkannt bleiben konnte, und weshalb man die Nutzer nicht schon früher informiert hat.
Allerdings können selbst verschlüsselte Kennwörter sowie andere Daten entschlüsselt werden, wenn man genug Zeit und Fachwissen hat. Es ist also sehr gut möglich, dass die gestohlenen privaten Daten weiterverkauft werden oder anderswie in die falschen Hände geraten.
Wahrscheinlich ist, dass andere Daten, wie Namen, Geburtsdaten, Anschriften und Ähnliches ebenfalls entwendet wurden – aber bei eBay nicht verschlüsselt gespeichert waren. Es handelt sich also zweifellos um einen schwerwiegenden Einbruch, doch das entstandene Risiko ist schwer einzuschätzen.
Grund zur Panik gibt es aber nicht. Der beste Rat ist: Nutzen Sie ab sofort nur noch sichere Kennwörter, und verwenden Sie keinesfalls dasselbe Kennwort für mehrere Seiten. Auch wenn unterschiedliche Kennwörter schwerer zu merken sind.
Was müssen Sie tun?
Ändern Sie Ihr eBay-Passwort. Jeder Nutzer muss das jetzt tun. Und falls Sie eine mobile eBay-App nutzen: Die Änderung des Passworts klappt nur im Browser.
Ändern Sie außerdem auch Ihre sonstigen Kennwörter. Wir haben zusammengefasst, was ein sicheres Kennwort ausmacht. Verwenden Sie keine echten Wörter aus dem Wörterbuch, oder den Namen Ihres Haustiers. Nutzen Sie mindestens einen Mix aus Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben.
Als Internetnutzer kann man sich dennoch, egal wie gut das eigene Kennwort ist, nie über die 100%-ige Sicherheit aller Systeme sicher sein.
Die auf Cyberkriminalität spezialisierte Staatsanwaltschaft Verden ist auf einen Datensatz von über 18 Millionen E-Mail-Adressen samt Passwörter gestoßen, die sich Betrüger besorgt haben. Der größte bislang in Deutschland entdeckte Datenklau. Rund drei Millionen deutsche User sollen betroffen sein. Die Branche ist in Aufruf, und die User sind es auch. Denn mit geklauten E-Mail-Zugängen lässt sich eine Menge anstellen.
Was genau hat die Staatsanwaltschaft Verden entdeckt und „sichergestellt“, wie es in den Medien heißt?
Entdeckt wurden rund 18 Millionen Datensätze, bestehend aus E-Mail-Adresse und Passwort. Also die üblichen Zugangsdaten zu Onlinekonten aller Art, die wir jeden Tag überall verwenden. Die Staatsanwaltschaft spricht davon, die Datensätze seien „sichergestellt“ worden, so wie man ein Beweisstück sichert und aus dem Verkehr zieht. Bei digitalen Informationen geht das aber natürlich nicht, da kann man nichts sicherstellen und damit aus dem Kreislauf der Betrüger entfernen. Denn niemand weiß, ob nicht noch Kopien dieser Datensätze vorliegen.
Wo wurden die Datensätze denn entdeckt?
Genaue Erkenntnisse liegen darüber bislang nicht vor. Aber vermutlich auf einem Server, wo die Daten gesammelt wurden.
Kann man sagen, wie viele deutsche User betroffen sind?
Auch das kann man derzeit nicht genau sagen, dazu müsste man erst mal alle Adressen analysieren. Aber es wird von etwa drei Millionen deutscher User ausgegangen, die betroffen sind. Es geht dabei um E-Mail-Adresse bei großen deutschen Providern, aber genauso bei internationalen Anbietern. Ob sich hinter einer Google-Mail-Adresse ein deutscher User verbirgt oder nicht, lässt sich aber in der Regel nicht ohne weiteres sagen.
Was wollen die Betrüger mit den Daten, was lässt sich damit anstellen?
Solche Datensätze, bestehend aus E-Mail-Adresse und Passwort, sind in kriminellen Kreisen bares Geld wert. Wer 18 Millionen Adressen hat, der kann damit ohne weiteres ein paar Hunderttausend Euro verdienen. Die Adressen werden für alles Mögliche missbraucht.
Natürlich versuchen die Kriminellen rauszufinden, ob sie über die E-Mail-Adressen Spam versenden können. Noch ertragreicher für die Kriminellen und folgenreicher für die Opfer aber ist Identitätsdiebstahl. Dabei übernimmt der Kriminelle die digitale Identität des Opfers, schlüpft in seine Rolle. Er kann in seinem Namen und auf seine Rechnung einkaufen, aber auch andere Leute belästigen andere kriminelle Aktivitäten verschleiern. Da ist eine Menge denkbar – mitunter mit schlimmen Folgen.
Kann man denn rausfinden, ob man selbst betroffen ist?
Bislang lässt sich das nicht rausfinden. Anfang des Jahres hat es ja schon mal einen ähnlichen Fall gegeben, da hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Webseite eingerichtet, wo man das überprüfen konnte: Einfach die eigene E-Mail-Adresse eingeben, danach wurde man informiert, ob die eigene Mail-Adresse in der Liste steht oder nicht. Ich könnte mir vorstellen, dass das BSI etwas Ähnliches auch für diesen Fall plant. Aber so etwas braucht erfahrungsgemäß seine Zeit.
Wer nicht so lange warten kann oder will: Was kann man denn unternehmen?
Es ist sicher sinnvoll und ratsam, das eigene Passwort, vor allem für den Mail-Zugang, zu erneuern. Unbedingt ein Passwort wählen, das man sonst nirgendwo benutzt, das mindestens acht Zeichen lang ist, Groß- und Kleinschreibung enthält sowieso Ziffern und Sonderzeichen. Das schützt zwar nicht vor jeder Art von Datenklau, aber erschwert zumindest die üblichen Passwort-Hacks. Ganz wichtig ist aber, beim Mail-Postfach ein anderes Passwort zu benutzen als in anderen Onlinekonten. Denn nur so ist sichergestellt, dass Datendiebe nicht das Mail-Postfach kapern können, wenn ihnen die Zugangsdaten zu einem anderen Onlinekonto in die Hände fallen.
Gibt es denn gar keinen Weg, sich gegen solche Fälle zu schützen?
Doch: Es gibt mittlerweile durchaus eine Möglichkeit. Manche Mail-Provider wie Google Mail aber auch kleinere deutsche Anbieter wie mail.de bieten die Möglichkeit der Zwei-Wege-Authentifizierung. Das bedeutet: Man muss bei der Anmeldung neben dem Passwort auch noch einen Code eingeben, der im eigenen Handy erzeugt wird. Gelingt es einem Hacker, an das Passwort zu gelangen, besteht trotzdem keine Möglichkeit, das E-Mail-Konto zu übernehmen. Man muss diese Form der zusätzlichen Absicherung in den Mail-Konten aktivieren. Es bedeutet einen geringfügig höheren Aufwand, aber ein enormes Plus bei der Sicherheit. Davon sollte jeder Gebrauch machen, der bei einem Mail-Provider ist, der das bereits unterstützt.
