Liebe, Passwort oder 1234 – noch immer sind die dümmsten Passwörter die häufigsten. Warnungen und Aufrufe, dies zu ändern, belächeln die meisten. Kein Wunder: Betroffen von einem Passwort-Klau waren bisher die wenigsten. Doch das ändert sich jetzt. Denn ein einzelner Hacker bietet gerade gigantische Mengen an geklauten Passwörtern zum Kauf an. Der Datendiebstahl erreicht damit eine neue Dimension, und schon bald könnten auch Millionen Deutsche die Folgen zu spüren bekommen.
Derzeit werden frei im Internet zum Download 117 Millionen sogenannte Passwort-Hashes des Business-Netzwerks LinkedIn angeboten. Passwort-Hashes sind verschlüsselte Passwort-Datensätze. Zuvor hatte sie ein krimineller Hacker mit dem Pseudonym „peace_of_mind“ im sogenannten „Darknet“ zum Kauf angeboten – ein Teil des Internets, der vor allem von Kriminellen genutzt wird und nur mit der Anonymisierungssoftware Tor erreichbar ist.
Noch nie waren so viele Passwörter in Händen von Kriminellen
Derselbe Hacker bietet auch 360 Millionen Passwort-Datensätze des Netzwerkes MySpace an, das auf Musik spezialisiert ist. Dafür verlangt er sechs Bitcoin, etwas mehr als 3.000 Euro. Auch vom Mikroblogging-Dienst Tumblr verkauft „peace_of_mind“ derzeit 36 Millionen verschlüsselte Passwort-Daten. Diese kosten sogar nur 0,4 Bitcoin, denn die Verschlüsselung ist hier etwas stärker, die Käufer müssen also etwas mehr Aufwand betreiben, um sie für ihre krummen Geschäfte einzusetzen.
Und seit dieser Woche offeriert der Datendieb außerdem weitere 171 Millionen Passwörter von Konten des russischen Facebook-Klons vk.com – diesmal sogar im Klartext, also unverschlüsselt, berichtet ZDNet. Das IT-Nachrichtenportal hat eine Kopie des Datensatzes untersucht. Die Daten enthalten für viele Konten demnach auch Telefonnummern und Ortsangaben.
Insgesamt sind durch die Datenlecks derzeit mehr als 642 Millionen Passwortdaten kompromittiert, schreibt Ars Technica – wohl noch nie waren so viele Datensätze in den Händen der Kriminellen. Die meisten derzeit im Umlauf befindlichen Passwort-Daten gehen auf Hackerangriffe zwischen Ende 2012 und Anfang 2013 zurück, werden aber erst jetzt auf dem Schwarzmarkt angeboten.
Auch deutsche Anbieter sind betroffen
Auch bei deutschen Anbietern häufen sich Datenlecks. Kriminelle konnten die Hashwerte, also die Verschlüsselungen, von Passwörtern samt weiterer Nutzerdaten vom SZ Magazin kopieren, wie der Verlag selbst mitteilte. Beim DuMont-Verlag standen im März Zehntausende Passwörter sogar im Klartext öffentlich auf Servern des Verlags im Netz – abrufbar für jedermann, der die Adresse im Web kannte.
Die Datenlecks sind vor allem deshalb fatal, weil zahlreiche Nutzer noch immer gegen den Rat von Experten ein und dasselbe Passwort für alle Dienste im Netz nutzen – inklusive der E-Mail-Adresse. Übernehmen die Kriminellen die E-Mail-Adresse mithilfe eines bekannt gewordenen Passworts, ist ein kompletter Identitätsdiebstahl möglich. Über die E-Mail-Adresse können Passwörter aller Online-Dienste geändert – und so der eigentlich legitime Nutzer ausgesperrt werden.
Schutzmechanismen sind relativ simpel
Dabei könnten sich Nutzer relativ einfach schützen: Experten raten seit Jahren dazu, kein Passwort zwei Mal zu verwenden – insbesondere nicht das Passwort des E-Mail-Kontos. Da sich aber niemand Dutzende Passwörter merken kann, ist ein Passwortmanager empfehlenswert. Mit dieser Software kann für jeden Dienst ein eigenes Passwort festgelegt werden – merken muss sich der Nutzer aber nur das Generalpasswort für den Passwortmanager.
Eine solche Software sollte auch für das Erstellen der Passwörter genutzt werden. Wenig komplexe Passwörter, insbesondere Wörter, die im Lexikon stehen, können leichter erraten werden. Wie fatal ein einfaches Passwort ist, demonstrierte kürzlich ausgerechnet Facebook-Chef Mark Zuckerberg. Sein Twitter- und Pinterest-Konto wurde von Hackern übernommen – angeblich lautete das Passwort in beiden Netzwerken und bei LinkedIn „dadada“.
Für ein sicheres und dennoch leicht zu merkendes Passwort kann ein eingängiger Satz wie „Mein Auto hat vier Räder und ein Lenkrad“ – ergänzt um Sonderzeichen oder eine Zahl verwendet werden. Im diesem Beispiel lautete das Passwort also beispielsweise „MAhvRueL343“.
Nach Angaben des deutschen Anbieters der Fernwartungs-Software TeamViewer wurden nach den jüngst bekannt gewordenen Datenlecks bereits Tausende Rechner mit TeamViewer-Software von Kriminellen übernommen – weil die Nutzer für ihre Konten dasselbe Passwort nutzten wie auf den Diensten, die jetzt von Datenlecks betroffen sind, sagt der Hersteller.
Neue Gefahr von Trojanern
Doch nicht nur die Hashwerte der LinkedIn-Passwörter aus den Datenlecks werden genutzt. Das Bundesamt für Sicherheit in der Informationstechnik BSI warnt auf Twitter, dass die LinkedIn-Datensätze auch für E-Mails genutzt werden, in denen das potenzielle Opfer mit korrektem Namen, Unternehmensnamen und Position im Unternehmen angeschrieben wird. Darin sei von einer nicht bezahlten Rechnung die Rede. „Namen und Unternehmenspositionen in den Mails sind nach unseren Stichproben konsistent mit öffentlichen LinkedIn-Profilen“, schreibt das BSI auf Twitter.
Öffnet der Angeschriebene den E-Mail-Anhang, wird unter Umständen ein sogenannter Trojaner installiert – eine Schadsoftware, die es Kriminellen ermöglicht, den Rechner über das Internet komplett zu kontrollieren. Besonders beliebt ist in letzter Zeit der Erpressungs-Trojaner Locky, der wichtige Daten verschlüsselt und diese nur gegen Zahlung einer bestimmten Geldsumme wieder freigibt.
Die Tatsache, dass nun mehrere Hundert Millionen Passwortdaten im Netz verfügbar sind, hat Auswirkungen weit über die direkt betroffenen Nutzer hinaus. Für Kriminelle sind die Datenbanken perfektes Übungsmaterial, um bei künftigen Datenlecks Passwörter noch schneller zu entschlüsseln.
Schützen können Anbieter von Online-Diensten ihre Nutzer, indem zur Verschlüsselung der Passwörter ein sogenannter gesalzener Algorithmus verwendet wird, also ein wesentlich besser verschlüsselter – so wie es beispielsweise auch Tumblr gemacht hat. Deshalb sind diese Passwort-Daten nun deutlich weniger wert als zum Beispiel die von LinkedIn.
Dieser Text erschien zuerst in der Welt.