GMX und Yahoo gehackt – Wer ist der nächste?

Seit zwei Tagen kursiert das Gerücht, dass der Email-Anbieter GMX gehackt wurde. Der Schaden ist groß, aber nicht so groß wie bei Yahoo. Wie geht das weiter? Wer ist der nächste?

Der GMX-GAU

3000 GMX Email-Konten wurden mal eben gehackt. Dabei war es nicht einmal so, dass mal herausfinden musste, wie das jeweilige Passwort war. Die Angreifer wussten die Passwörter. Eine so genannte Brute Force Attacke (also das Durchprobieren der Möglichkeiten) scheidet aus. Nun – so heißt es in den Medien – kursieren Listen mit der Kombination „Email-Adresse – Passwort“ im Internet.

Der Image-Schaden bei einem der größten Email-Dienstleister Deutschlands ist immens, trotz dass es „nur“ 3000 der rund 15 Millionen Benutzerkonten betrifft. Aber die 3000 wurden mal eben gekapert und die Zugänge veröffentlicht. Die ZEIT hat in einem zugehörigen Artikel den Leiter für E-Mail-Sicherheit bei GMX, Leslie Romeo, wie folgt zitiert:

Eine groß angelegte Brute-Force-Attacke können wir nach aktuellem Stand ausschließen. Sehr wahrscheinlich ist, dass die Hacker eine Liste mit Passwort-Nutzernamen-Kombinationen vorliegen haben, mit der sie derzeit automatisiert auf gut Glück versuchen, auf E-Mail-Accounts zuzugreifen[…]

Unterm Strich kann man so argumentieren: Es gibt Nutzer, die für alle Portale, wo sie sich anmelden, das gleiche Passwort benutzen. Ist das einmal herausgefunden, kann jeder andere Zugang auch geöffnet werden. Und das muss wohl bei GMX passiert sein. Und so auch bei Yahoo.

Der Yahoo-Hack

OK, ein wirklicher Hack war es nicht. Denn die 450000 Benutzerkonten, die nun im Internet kursieren, müssen genauso ausgespäht worden sein wie bei GMX: Mit Passwortlisten. Das bedeutet, dass die Angreifer wussten, für welches Konto welches Passwort gilt.

Und trotzdem – so berichtet Heise Security – wurde mit einer „SQL Injection“ Zugriff verschafft. Hinter dem Angriff steht den Angaben zufolge „D33Ds Company“, und die hatte Zugriff auf eine nicht ausreichend gesicherte Datenbank von Yahoo. Beeindruckend ist dabei folgende Aussage in dem Artikel:

Ob die Passwörter im Klartext oder in der Datenbank gespeichert waren oder sich die Hacker vor der Veröffentlichung der Daten am Knacken von Passwort-Hashes versucht haben, ist unklar. Letzteres würde bedeuten, dass es sich bei den rund 450.000 nur um die Datensätze handelt, zu denen die Hacker die Passwörter ermitteln konnten und der tatsächliche Umfang der entwendeten Daten noch höher ist.

Konsequenzen

Es steht völlig außer Frage, dass bei GMX, Formspring (420000 Benutzerkonten gehackt) und Yahoo umfangreiche Ermittlungen nun laufen. Man will die Sicherheitslöcher stopfen. Und man will die Täter haben. Völlig klar. Und die Benutzer?

Noch ist nicht raus, inwieweit schon betroffene Benutzer feststehen. Sobald dies klar ist, werden die Anbieter wohl Rücksetzinformationen zusammenstellen und die Benutzerkonten zurücksetzen. Eines ist aber auf jeden Fall klar:

Es darf nicht vorkommen, dass man als Internetnutzer mehr als einen Dienst pro Passwort nutzt. Legen Sie sich selbst Passwortlisten an. Speichern Sie diese auf einem externen Medium (USB-Stick, CD etc.) in einer Textdatei nach dem Format:

-------------------------------------------
|  Dienst  |  Benutzerkonto  |  Passwort  |
-------------------------------------------

Verwenden Sie sichere Passwörter. Der Name des Hundes sollte es nicht sein. Ihr Geburtstag auch nicht. Es sollte eine Kombination aus Zahlen, Buchstaben und Sonderzeichen sein. Am besten bunt gewürfelt. Die Kanzlei Hülskötter & Partner hat in ihrem „Advoblog“ einen ganzen Artikel zum Thema „Sichere Passwörter“ verfasst. Es lohnt sich, ihn zu lesen.

Also folgende Faustregeln sollte man sich zu Gemüte führen:

  1. Eine Passwortdatei auf einem externen Speichermedium nutzen
  2. Ein Passwort nie doppelt verwenden
  3. komplexe Passwörter verwenden
  4. Die Passwörter nicht weitergeben

Dann sollte man weniger Ärger im Internet haben. Schaffen Sie es, das einzuhalten?

One Reply to “GMX und Yahoo gehackt – Wer ist der nächste?”

  1. Pingback: NetzNews

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert