Yahoo - Der 500-Millionen-Hack

Es gibt E-Mails, die man lieber nicht in seiner Mailbox vorfinden würde. Zur Zeit bekommt eine halbe Milliarde Kunden des Internet-Dienstleisters Yahoo! eine solche Mail, in der vorsichtig angedeutet wird, dass die Zugangsdaten ihres Kundenkontos in falsche Hände gefallen sein könnte. Wörtlich heißt es in dieser Mail:

"Die gestohlenen Kundendaten umfassen möglicherweise Namen, Mailadressen, Telefonnummern, Geburtsdaten, verschlüsselte Passwörter (die meisten mit bcrypt verschlüsselt) und - in einigen Fällen - verschlüsselte oder unverschlüsselte Sicherheitsfragen und die dazugehörigen Antworten. Nicht alle dieser Daten waren unbedingt in Ihrem Account vorhanden."

Dies liest sich wie eine erweiterte Version von "Don't panic", dem Leitspruch aus Douglas Adams Science-Fiction-Klassiker "Per Anhalter durch die Galaxis". Und wie im Buch bedeutet auch diese Mail, so beruhigend sie klingen soll, im Grunde das genaue Gegenteil: Es besteht Anlass, wenn vielleicht auch nicht zur Panik so doch zu großer Sorge.

Wer steckt hinter dem Hack?

Bob Lord, bei Yahoo für die Sicherheit der gespeicherten Informationen zuständig, teilt mit, das man es vermutlich mit einem "state-sponsored actor" zu tun habe. Diese Formulierung verwenden US-Firmen gerne, um anzudeuten, dass staatliche Stellen aus Russland oder China hinter einem Hack stehen. Wenn die Annahme stimmt, ginge es bei dem Datendiebstahl nicht in erster Linie um wirtschaftliche Interessen, sondern um Spionage oder Sabotage. Jedoch sollen schon im August dieses Jahres 200 Millionen Yahoo-Datensätze zum Spottpreis von 1900 US-$ online zum Kauf angeboten worden sein.

Was können die Hacker mit den gestohlenen Daten anfangen?

Dass die Konto-Passwörter nur in verschlüsseltem Zustand gestohlen wurden, ist ein schwacher Trost. Denn einerseits sind die Daten schon seit Ende 2014 in den falschen Händen - genug Zeit also, verschlüsselte Passwörter durch einen brute force-Angriff, also durch Ausprobieren aller möglichen Kombinationen zu knacken. MD5, der Verschlüsselungsalgorithmus aus dem Jahr 1991, den Yahoo noch im Jahr 2012 verwendete, gilt inzwischen als nicht mehr sicher. Doch auch im Falle von bcrypt, dem Verfahren, das Yahoo nach eigenen Angaben in der Mehrheit der betroffenen Accounts verwendet hat, diskutieren Experten, wie robust es wirklich ist.

Der Aufwand, um das Passwort zu knacken, ist aber gar nicht nötig, wenn zu einem Benutzerkonto, wie im Falle des Yahoo-Hacks auch die dazugehörigen Sicherheitsfragen und -antworten in unverschlüsseltem Zustand gestohlen wurden. Mit ihnen - zum Beispiel der Frage nach dem Namen des Lieblingshaustiers - kann der Datendieb das Passwort zu einem gestohlenen Konto ganz einfach ändern und hat so Zugang zu dem gekaperten Account. Der eigentliche Eigentümer bemerkt das beim nächsten Login-Versuch zwar sofort, aber bis dahin kann der entstandene Schaden schon beträchtlich sein.

In Zeiten, in denen geleakte E-Mails Schlagzeilen machen (zuletzt waren es private E-Mails des früheren US-Außenministers Colin Powell, der sich abfällig über die beiden US-Präsidentschaftskandidaten Donald Trump und Hillary Clinton geäußert hatte), ist die Vorstellung, private Mails könnten in die falschen Hände geraten, erschreckend genug. Jedoch kann jemand, der Zugang zu einem Mail-Account hat, auch aktiv Schaden anrichten, indem er beispielsweise der Bank, dem Arzt oder dem Anwalt des eigentlichen Kontoinhabers Anweisungen erteilt, die nicht im Sinne des Inhabers sind.

Das sind jedoch Szenarien, die bei einem Massenhack wie dem, den Yahoo eingestehen musste, eine untergeordnete Rolle spielen. Sie erfordern, dass sich der oder die Hacker gezielt mit einzelnen Konten aus der unüberschaubaren Masse von einer halben Milliarde Datensätzen befassen - etwas, das sich nur bei politisch, wirtschaftlich oder kulturell besonders prominenten Persönlichkeiten lohnt. Immerhin sollen auch solche wichtigen Menschen schon dabei beobachtet worden sein, Gratis-Mailaccounts bei Massenanbietern zu betreiben.

Viel wahrscheinlicher ist, dass die gestohlenen Adressen dazu verwendet werden, um Phishing-Mails zu versenden, mit denen ahnungslose Nutzer dazu verleitet werden sollen, weitere persönliche Informationen preiszugeben, oder sich durch einen unvorsichtigen Klick auf einen in der Mail enthaltenen Link Schadsoftware auf den eigenen Rechner herunterzuladen. Mit solcher Software könnten befallene Rechner zu Teilen eines ferngesteuerten Bot-Netzwerkes gemacht werden, mit denen Cyberangriffe im großen Stil gefahren werden können.

Welche Kundendaten sind noch sicher?

Nach Auskunft von Yahoo wurden keine Kreditkarten- oder Bankkontonummern mit den gestohlenen Nutzerdaten entwendet. Die Datendiebe können also keine Abbuchungen verursachen; Bestellungen mit Name, Mailadresse, Kreditkarte und einer fremden Lieferadresse sind unmöglich.

Was ist zu tun?

Yahoo-Kunden sollen sofort ihr Passwort ändern, heißt es in der Mail. Außerdem empfiehlt Yahoo den Einsatz von sogenannter Two-Factor-Authentication. Dabei wird beim Anmelden nach der Eingabe des Passwortes ein Zahlencode erzeugt, der nur eine kurze Zeit gültig ist. Solche Codes können von einer Smartphone-App oder einem kleinen Gerät in der Größe eines Schlüsselanhängers erzeugt werden, oder sie werden per SMS versandt. Erst nach der korrekten Eingabe von Passwort und Zahlencode erhält der Nutzer Zugang zu seinem Account. Derart geschützte Accounts sind auch nach einem Datendiebstahl wie dem bei Yahoo sicher. Eine solche Anmeldung mit Passwort und Passcode bieten übrigens viele Firmen im Netz an.

Darüber hinaus gelten die Empfehlungen, die Experten seit Jahren predigen:

• schwierig zu erratende Passwörter verwenden; leider sind solche Passwörter meist auch schwierig zu merken
• jedes Passwort nur für ein Konto verwenden; so wird verhindert, dass einmal geknackte oder gestohlene Passwörter auch bei anderen Konten verwendet werden können
• Passwörter nicht leicht zugänglich notieren; der Klebezettel am Monitor sollte schon seit Jahren ausgestorben sein (ist es aber nicht)
• Passwörter nur dann weitergeben, wenn man sich über die Indentität des Empfängers absolut sicher ist - also beispielsweise nie per E-Mail!

Der Hack wird nicht nur Yahoo-Kunden Kopfschmerzen bereiten; auch beim geplanten Verkauf des Konzerns an den US-Telekommunikationsriesen Verizon könnte er eine Rolle spielen.