Daten-Diebstahl: Yahoo: So könnten die Hacker an die Daten gekommen sein

Berlin - Haben Sie eine Yahoo-Email-Adresse? Dann sollte Sie genau jetzt ihr Passwort ändern. Und zwar sofort. Denn laut des US-amerikanischen Internetunternehmens haben unbekannte Hacker Daten von mindestens 500 Millionen Nutzern gestohlen. Insgesamt sind bei Yahoo rund eine Milliarde Nutzer registriert. Laut Konzernangaben des Webportals soll sich der Datendiebstahl schon Ende 2014 zugetragen haben.

Die Hacker sollen Kopien von Email-Adressen, Namen, Telefonnummern, Geburtsdaten und von Sicherheitsfragen und -antworten angelegt haben. Letztere sind zum Beispiel Fragen nach dem Namen des ersten Haustieres oder dem Mädchennamen der Mutter. Mithilfe dieser Fragen kann man ein Passwort zurücksetzen lassen oder neu anfordern, wenn man es vergessen hat. So hätten die Hacker zwar keinen direkten Zugriff auf die Passwörter im Klartext gehabt, hätten sie aber theoretisch mit Hilfe dieser Fragen erlangen können.

Yahoo verwies am Donnerstagabend in einer Mitteilung darauf, dass die Angreifer jedoch keine Kreditkarten- oder Bankdateninformationen gestohlen hätten, weil diese in einem anderen System hinterlegt seien. Es ist nicht das erste Mal, dass Yahoo Opfer eines Hackerangriffs geworden ist. 2012 veröffentlichen Datendiebe etwa eine halbe Million Yahoo-Zugangsdaten im Netz.

„Wir sind ja seit einigen Jahren so einige Datendiebstahl-Rekorde gewöhnt. Aber dass eine halbe Milliarde Nutzerdaten abhandenkommen, das ist schon ein neuer Standard“, sagte Netzexperte Markus Beckedahl von Netzpolitik.org. Wenn so viele Daten einfach repliziert werden können, seien da ganz offenbar Fehler gemacht worden. Die Frage sei auch, warum Yahoo diesen Diebstahl erst jetzt bemerkt habe. „Normalerweise gibt es Sicherheitsmechanismen, die Alarm schlagen, wenn plötzlich massenhaft Daten kopiert werden“, erklärte Beckedahl dieser Zeitung.

Das Unternehmen glaubt, dass ein Angreifer mit staatlichem Hintergrund hinter dem Hack stecke. So werden in den USA Hackergruppen bezeichnet, bei denen man eine Nähe zum russischen oder chinesischen Geheimdienst vermutet.
„Man kann nicht ausschließen, dass es ein staatlicher Hacker war. Aber bisher gibt es dafür noch keine Beweise“, sagte Beckedahl. Gehackte Unternehmen würden das gern als Erklärung nutzen, wenn Datenhacks besonders komplex seien und dafür entsprechendes Wissen und Ressourcen benötigt würden. „Dieser Hack ist jedenfalls nichts, was ein 16-jähriger gelangweilter Hacker aus dem Kinderzimmer heraus hätte machen können.“

Wie die Hacker ins System gelangt seien, erklärte Yahoo in seiner Mitteilung nicht. Das Unternehmen erklärte lediglich, dass die Hacker sich zum jetzigen Zeitpunkt nicht mehr in System befänden.

Es gebe Tausende Wege, wie man in so ein Netzwerk eindringen könne, sagte der Chefredakteur von Netzpolitik.org. Der Klassiker sei, dass man eine Mailware – also ein Schadprogramm – per Mail auf dem Rechner eines Mitarbeiters der Sicherheitsabteilung installiere. Man könne sich beispielsweise als Yahoo-Mitarbeiter ausgeben, indem man eine Email-Adresse fälscht und eine Datei an den vermeintlichen Kollegen schickt, auf der sich dann das Schadprogramm befinde. „Ist man einmal auf dem PC, kann man von dort weiter ins System eindringen“, erklärte Beckedahl.

Der Yahoo-Hack könnte auch Auswirkungen auf den Verkauf des Web-Geschäfts an den Telekom-Konzern Verizon haben. Die Yahoo-Übernahme für knapp fünf Milliarden Dollar war erst im Juli vereinbart worden. Unklar bleibt, seit wann Yahoo von dem Datendiebstahl wusste und ob das Unternehmen die Information aus Sorge vor einem platzenden Übernahme-Deal geheim hielt. Nach Informationen der „Washington Post“ erhielt Yahoo schon im Juli Informationen, dass rund 200 Millionen Nutzerdaten im sogenannten Dark Net verkauft würden.

„Darüber kann man nur spekulieren. Klar ist aber, dass so ein Fall natürlich einen erheblichen Vertrauensverlust in der Öffentlichkeit schafft und dass so ein Datendiebstahl den Wert eines Unternehmens massiv mindert“, betonte Beckedahl.

Der Provider Yahoo könne für Schäden seiner Kunden voll haftbar gemacht werden, sagte Christian Solmecke, Rechtsanwalts für IT- und Internetrecht. „Man kann argumentieren, dass Yahoo hier eine Pflichtverletzung begangen hat, da die Sicherheitsvorkehrungen nicht gut genug waren. Die schiere Masse der entwendeten Daten spricht schon dafür, dass Yahoo den Datendiebstahl zu vertreten hat, selbst wenn die Hintergründe derzeit noch unklar sind.“ Problematisch sei aber, dass die Kunden einen konkreten Schaden im Zusammenhang mit dem Datendiebstahl nachweisen müssten.