Vor einem Tag wurde bekannt, dass die Sicherheitsfirma "Hold Security" angeblich bei russischen Hackern 1,2 Milliarden Benutzernamen inkl. Passwörter, also Zugangsdaten, sichergestellt hat. Zum genauen Tathergang wollte sich die Sicherheitsfirma aufgrund laufender Ermittlungen nicht äußern. Zu diesem Thema wurde Dominique Petersen, Leiter des Forschungsbereiches Internet-Frühwarnsysteme am Institut für Internet-Sicherheit, vom Radiosender SR 2 in der Sendung "Der Morgen" interviewt.
Dabei wurde klar, dass viele Sicherheitsfirmen bereits schon lange bereits nach Gefahren und Sicherheitslücken suchen – seien es die Anti-Virenhersteller oder bezahlte Security-Audits, mit denen Hersteller ihre Software professionell auf Schwachstellen testen lassen. Neu jedoch ist der Umfang, also die 1,2 Milliarden Zugangsdaten. "Wenn man gravierende Sicherheitslücken oder so einen immensen Berg an Zugangsdaten entdeckt, macht man sich mindestens moralisch strafbar, wenn die Betroffenen nicht kostenlos informiert werden", erklärt Dominique Petersen. "Man macht ja quasi mit gestohlenen Daten Geld."
Gerade hierbei ist problematisch, dass die Firma "Hold Security" offensichtlich stark gewinnorientiert ist, da sie gleichzeitig einen Abo-Dienst für 120$ pro Monat ankündigt, in dem Webseitenbetreiber erfahren können, ob sie jetzt oder in Zukunft betroffen sind. Rechnet man die Zahlen hoch, kann der Umsatz bei derzeit fast 246 Millionen registrierten Domains schnell Hunderte Millionen Dollar pro Jahr betragen. Hinzu kommt, dass die Authentizität der Daten bislang nicht ausreichend verifiziert wurde und noch weitere Fragen offen bleiben, beispielsweise wie alt die Daten sind, ob alle Dubletten entfernt wurden oder ob in den 1,2 Milliarden auch die bereits im Februar 2014 veröffentlichten 360 Millionen Zugangsdaten enthalten sind. "Weiterhin ist fragwürdig, ob die betroffenen Webseitenbetreiber auch ihre Nutzer informieren würden, da die Angst vor Reputationsschäden sehr groß ist", so Dominique Petersen. "Besser wäre es, wenn sich eine Non-Profit Organisation oder eine relativ unabhängige staatliche Institution um die Verteilung kümmern würde." In Deutschland hat das zuletzt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) durchgeführt. "Ideal für Deutschland wäre, wenn die Betroffenen aktiv und gesichert informiert werden würden, wenn ihre Zugangsdaten im Internet auftauchen", erklärt Dominique Petersen.
Um zu verhindern, dass Zugangsdaten im Internet landen, müssen sowohl Unternehmen als auch Privatleute etwas tun. Unternehmen müssen die erhobenen Kundendaten verschlüsselt speichern, sodass Kriminelle mit den erbeuteten Passwörtern nichts anfangen können. Ebenso Pflicht sind aktuelle Sicherheitsmechanismen, welche die Serverinfrastruktur schützen und es Kriminellen damit sehr schwer machen. Als Privatperson gilt es, sich an den üblichen Basisschutz zu halten: Updates einspielen, Virenscanner aktuell halten, mit den eigenen Daten sparsam umgehen, regelmäßig Backups erstellen und letztendlich den gesunden Menschenverstand benutzen. Zum Speichern der Passwörter sollte zudem ein Passwortsafe wie das kostenlose Open-Source-Programm KeePass verwendet werden. "Praktisch niemand kann kann sich Dutzende von Passwörtern merken", sagt Dominique Petersen. "Wenn man sicher sein möchte, kommt man um eine eigene Passwortdatenbank nicht herum – ob digital auf dem PC oder analog in einem kleinen Notizblock."
Der ganze Betrag mit dem Titel "SR 2 – Je größer der ‚Hack‘, desto größer das Geschäft" ist in der SR Mediathek online verfügbar: http://sr-mediathek.sr-online.de/index.php?seite=7&id=26847
Dominique Petersen im Expertentalk zur Cybersicherheit bei Radio SR 2
