Wie ein Schweizer Käse: Massiver Passwortdiebstahl

Da war es wieder soweit. Ein Sicherheitsanalyst hat verkündet, dass er Beweise für einen groß angelegten Passwortdiebstahl gefunden hat. 1,2 Milliarden Zugangskombinationen aus Benutzername und Passwort soll er betreffen, und über 500 Millionen E-Mail Adressen. 1,2 Milliarden, die Menge wäre ein neuer Rekord und ist angsteinflößend. Wenn man annimmt, dass jeder Bundesbürger im Durchschnitt etwa 10 bis 20 Passwörter benutzt, wären das alle Passwörter aller Deutschen. Betroffen sind allerdings Firmen und damit auch Anwender auf der ganzen Welt.

Wie wurde der Diebstahl begangen? Weil die Nutzer unvorsichtig waren? Nein, die Daten sind weg, weil die Firmen, denen die Daten anvertraut wurden, elementarste Sicherheitsmaßnahmen missachteten.

Alex Holden, der Sicherheitsanalyst, der den Diebstahl als erster verifizierte, spricht von 420.000 Firmen, kleinen wie großen, die durch eine russische Hacker-Gang attackiert wurden. Besonders schwer kann das nicht gewesen sein, Holden nennt SQL Injection als Angriffsvehikel. Dabei werden Anfragen an eine Datenbank über die Web-Oberfläche eines Online-Shops oder Internet-Auftritts so manipuliert, dass sie den Angreifern Zugang zu Systemen im Inneren des Firmennetzes gewähren. Allerdings ist SQL Injection so ziemlich der älteste Trick, den man sich vorstellen kann. Jeder Systemadministrator kennt diese Angriffsmethode und sollte wissen, wie sich die eigenen Systeme dagegen schützen lassen. Laut Holden sind die meisten der 420.000 Opfer nach wie vor durch die Sicherheitslücke verwundbar. Offensichtlich kontrollieren diese Firmen auch nicht, ob es Angriffe oder Angriffsversuche auf ihre Server gegeben hat.

Bislang sind weder betroffene Firmen noch Nutzer-Accounts bekannt – und das wird auch noch eine Weile so bleiben, Schwachstellen sollen nicht noch weiter ausgenutzt werden. Für Sie als Anwender ist es daher schwierig, zu reagieren. Eine der wenigen, nach wie vor gültigen Schutzmaßnahmen bleibt es, für wichtige Dienste unterschiedliche Kennwörter zu verwenden. So wird wenigstens nur eine Benutzername/Passwort-Kombination kompromittiert. Falls der Dienst es anbietet, sollten Sie auch Zwei-Faktor-Authentifizierung, beispielsweise mittels einer SMS, nutzen. Nur das Passwort allein gewährt dann noch keinen Zugang. Es scheint, als hätten die Hacker die Daten bisher vor allem benutzt, um über Mail-Accounts große Mengen an Spam und Schadsoftware zu verschicken. Achten Sie also darauf, dass Sicherheitssoftware auf allen Endgeräten installiert und aktuell ist, um die Spam-Mail-Wellen unbeschadet zu überstehen. Avira bietet mit seinem Portfolio für Privatanwender und Unternehmen den optimalen Schutz gegen diese Spamwellen und andere Cyber-Attacken an.

Dieser Artikel ist auch verfügbar in: Englisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.