Kriminelle stahlen 2013 eine Milliarde Kundendaten von Yahoo. Es ist die größte bekannte Sicherheitslücke und könnte den Verkauf von Yahoo an Verizon scheitern lassen.
Washington. Wie viele schlechte Nachrichten verträgt ein Unternehmen? Eine genaue Antwort darauf gibt es nicht, aber der einstige Internetstar Yahoo tastet sich wacker an die Schmerzgrenze heran. Nach einer Reihe von gescheiterten Sanierungsversuchen musste das Unternehmen erst im September einräumen, dass Kriminelle im Jahr 2014 rund 500 Millionen Nutzerkonten gehackt hatten. Einen Monat später wurde bekannt, dass Yahoo alle E-Mails seiner Nutzer im Auftrag des amerikanischen Geheimdiensts nach bestimmten Schlagworten scannt. Aber damit nicht genug: In der Nacht auf Donnerstag setzte der Konzern noch eins drauf und gab bekannt, dass andere Hacker schon 2013 in einem zweiten „möglicherweise staatlich organisierten“ Angriff persönliche Daten von mehr als einer Milliarde Yahoo-Kunden gestohlen haben.
Eine Milliarde Kundendaten. Das ist mit Abstand das größte bisher bekannte Datenleck der Geschichte. Zum Vergleich: Bei der aufsehenerregenden Attacke auf Sony Pictures im Jahr 2014 kamen nur läppische zehn Millionen Datensätze abhanden. Diesmal seien den Angreifern Namen, E-Mail-Adressen, Telefonnummern, Geburtstage, verschlüsselte Passwörter und die Antworten auf Sicherheitsfragen von einer Milliarde Nutzern in die Hände gefallen, gab Yahoo bekannt. Kreditkarten- oder Bankdaten seien nicht betroffen.
Verschlüsseln ist kein Allheilmittel
Die Kriminellen haben dennoch einen regelrechten Schatz gehoben. Sie können die einzelnen Datensätze etwa zu brauchbaren Preisen im Internet an andere Hacker verkaufen. Zudem wurde bekannt, dass sich die Angreifer auch dauerhaften Zugang zu einigen Nutzerkonten verschaffen konnten. Damit steigt die Gefahr, dass sie weitere sensible Informationen der Nutzer, wie etwa Login-Daten und Passwörter für andere Internetseiten, ausspähen konnten.
Experten warnen seit Längerem davor, Yahoo-E-Mail-Konten zu verwenden, da das Unternehmen in der Abwehr von Cyberangriffen gegenüber der Konkurrenz ins Hintertreffen geraten sei. Auch die Nachricht, dass nur verschlüsselte Passwörter entwendet wurden, sollte Nutzer nicht in Sicherheit wiegen. Das Entschlüsseln derartiger Datensätze ist für Profis keine wirkliche Hürde, sondern kostet im besten Fall etwas Zeit. Yahoo rät seinen Kunden, nicht nur das Passwort auf der eigenen Plattform zu ändern, sondern auch ähnliche Passwörter und Sicherheitsantworten auf anderen Seiten.
Verizon will weniger bezahlen
Für Yahoo ist das Bekanntwerden des Datenlecks aber mehr als nur das jüngste Update in einer langen Reihe an Schreckensmeldungen. Auf dem Höhepunkt 2000 war das einstige „Tor ins Internet“ fast 130 Milliarden US-Dollar wert. Acht Jahre – und etliche Sanierungsversuche – später lehnte es ein Übernahmeangebot von Microsoft über 45 Milliarden Dollar ab, nur um diesen Sommer das Kerngeschäft mit der Internetwerbung um knapp fünf Milliarden an den US-Telekomriesen Verizon zu verscherbeln.
Und selbst dieses Geschäft könnte nun wackeln. Schon nach dem ersten Datenskandal im September kündigte ein Anwalt des US-Telekomriesen an, den Kaufpreis von 4,8 Milliarden US-Dollar angesichts des damit verbundenen Wertverlusts noch einmal nachverhandeln zu wollen. Die Aktien des Unternehmens gaben vorbörslich um knapp drei Prozent nach. Berichten zufolge hat Yahoo den intern bereits bekannten Datendiebstahl in den Verhandlungen mit Verizon nicht offengelegt. Es ist also anzunehmen, dass bald Gespräche über die neuen Konditionen des Deals aufgenommen werden. Die Führung des Telekomkonzerns teilte mit, zunächst die Auswirkungen des Vorfalls untersuchen zu wollen, bevor eine endgültige Entscheidung über die Übernahme gefällt werden sollte.
Unternehmen wiegen sich in Sicherheit
Die schockierenden Sicherheitsmängel bei einem der größten Internetkonzerne der Welt sind aber auch ein Weckruf für alle anderen Unternehmen, das Thema digitale Sicherheit nicht auf die leichte Schulter zu nehmen. Nach einer Studie von Cisco wiegen sich neun von zehn Unternehmen in Sicherheit, machen sich aber nicht einmal die Mühe, die Programme wenigstens auf dem neuesten Stand zu halten. Andere Unternehmen halten sich für zu klein und uninteressant, um Opfer einer Attacke zu werden. Markus Robin, Geschäftsführer des Wiener Sicherheitsdienstleisters SEC Consult, hält das für eine krasse Fehleinschätzung. „Jeder Rechner, der mit dem Internet verbunden ist, wird pro Stunde ein- bis zweimal auf Lücken abgeklopft.“ Sobald eine mögliche Schwachstelle gefunden ist, schlagen die Kriminellen zu. Ganz egal, ob es sich um die indische Zentralbank oder um einen kleinen Zulieferer in Oberösterreich handelt.
("Die Presse", Print-Ausgabe, 16.12.2016)
