Nach Hackerangriff: Erste Klagen gegen Yahoo
Berlin - Nach dem Hackerangriff auf Yahoo rät das Unternehmen seinen Kunden zu schnellem Handeln. Derweil klagen die ersten Kunden. Der Skandal kommt zu einem äußerst ungünstigen Zeitpunkt ans Licht.
Nutzer des Onlinedienstes Yahoo sollten sofort ihr Passwort ändern. Das rät Yahoos Sicherheitschef Bob Lord in einem Blogeintrag. Außerdem wird beim Log-in ins Nutzerkonto nun eine Aufforderung zum Passwortwechsel eingeblendet.
Anlass dafür ist der Hackerangriff auf Yahoo, bei dem Daten von rund 500 Millionen Nutzerkonten gestohlen wurden. Lord zufolge sollten mindestens alle Nutzer, die ihr Passwort seit dem Jahr 2014 nicht geändert haben, tätig werden. Da auch Antworten auf die Sicherheitsfragen zum Schutz des Kontos gestohlen wurden, hat Yahoo diesen Weg zum Überwinden des Passwortes nach eigenen Angaben teilweise abgestellt. Das Unternehmen rät zudem Nutzern, die gleiche Fragen auch bei anderen Onlinekonten nutzen, diese zeitnah zu ändern.
Nutzer werden per E-Mail über weitere Schritte informiert
Yahoo will die betroffenen Nutzer per E-Mail über weitere Schritte informieren. Da sich allerdings auch Betrüger mit gefälschten Sicherheitshinweisen an Yahoo-Nutzer wenden könnten, weist das Unternehmen darauf hin, dass die Hinweis-Mail keine Anhänge oder Links zum Anklicken enthalten wird. Auch werden keine persönlichen Daten abgefragt. Vermeintliche Mails von Yahoo mit Anhängen, Links oder der Abfrage persönlicher Daten sollten ungelesen gelöscht werden.
Für viele Yahoo-Nutzer stellt sich nun zugleich die Frage, mit welchem neuen Passwort sie ihr Konto schützen können. Nach Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) besteht ein sicheres Passwort aus mindestens zwölf Zeichen, darunter Groß- und Kleinbuchstaben, Zahlen und Satzzeichen. Nach Möglichkeit kommt das Passwort nicht in Wörterbüchern vor und ist nicht aufgrund persönlicher Kenntnisse über die Person leicht zu erraten - Namen der Kinder oder des Partners etwa sollten tabu sein. Jedes Nutzerkonto braucht zudem ein eigenes Passwort, das man regelmäßig ändern sollte.
Bietet ein Dienst eine Zweifaktor-Authentifizierung an - also zum Beispiel einen Sicherheitscode, der erst nach Eingabe des richtigen Passworts auf das Mobiltelefon gesandt wird -, so sollte dieser Service für zusätzliche Sicherheit genutzt werden, empfiehlt das BSI.
Erste Klagen nach riesigem Datendiebstahl
Nach dem Bekanntwerden des Diebstahls der Daten gibt es bereits die ersten Klagen in den USA. In den Bundesstaaten Kalifornien und Illinois zogen Kunden vor Gericht, die dem Internet-Konzern vorwerfen, nicht genug auf die Datensicherheit geachtet und die Nutzer zu spät informiert zu haben. Yahoo hatte den Hacker-Angriff von Ende 2014 am Donnerstagabend (Ortszeit) bekanntgegeben. Nach wie vor ist unklar, wann genau das Unternehmen erste Hinweise auf eine Attacke bekam und seit wann es vom Ausmaß des Diebstahls wusste.
Das „Wall Street Journal“ berichtete in der Nacht zum Samstag, Yahoo habe schon Ende 2014 einen Hacker-Angriff aus Russland entdeckt, bei dem es aber nur um Daten von 30 bis 40 konkreten Nutzern gegangen sei. Der Konzern habe damals auch das FBI darüber informiert, hieß es unter Berufung auf eine informierte Person.
Yahoo hatte für den riesigen Datendiebstahl jetzt Hacker mit staatlichem Hintergrund verantwortlich gemacht. Damit werden in den USA meist Gruppen mit Nähe zu russischen oder chinesischen Geheimdiensten gemeint. Es blieb jedoch unklar, ob zwischen den beiden Attacken ein Zusammenhang bestehen könnte.
Meine news
Skandal gefährdet Übernahme-Pläne
Die Klagen verstärken auch den Druck auf die geplante Übernahme des Web-Geschäfts von Yahoo durch den Telekom-Konzern Verizon für 4,8 Milliarden Dollar. In einer Pflichtmitteilung zum Verizon-Deal hatte Yahoo noch am 9. September erklärt, dem Unternehmen sei kein Diebstahl von Nutzerdaten bekannt.
Verizon betonte, man werde die Situation ausgehend von den Interessen des eigenen Unternehmens sowie der Kunden und Aktionäre prüfen. Der Telekom-Riese sei erst vor zwei Tagen von dem Datendiebstahl unterrichtet worden und verfüge bisher nur über eingeschränkte Informationen.
Große Hacker-Angriffe der vergangenen Jahre
Der Datendiebstahl bei Yahoo ist mit mindestens 500 Millionen betroffenen Nutzern der mit Abstand größte, der bisher bekannt wurde. Es ist aber nicht das erste Mal, dass Informationen von Dutzenden oder auch hunderten Millionen Kunden entwendet wurden. Ein Überblick über aufsehenerregende Fälle der vergangenen Jahre:
- EBAY: Bei der im Mai 2014 bekanntgewordenen Attacke verschafften sich die Hacker Zugang zu Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Die Handelsplattform leitete einen groß angelegten Passwort-Wechsel ein.
- TARGET: Ein Hack der Kassensysteme des US-Supermarkt-Betreibers machte Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
- HOME DEPOT: Beim Angriff auf die amerikanischen Baumarktkette gelangten Kreditkarten-Daten von 56 Millionen Kunden in die Hand unbekannter Hacker, wie im September 2014 mitgeteilt wurde. Später räumte Home Depot ein, dass auch über 50 Millionen E-Mail-Adressen betroffen waren.
- JP MORGAN: Die Hacker erbeuteten bei der im August 2014 bekanntgewordenen Attacke auf die US-Großbank die E-Mail- und Postadressen von 76 Millionen Haushalten und 7 Millionen Unternehmen.
- SONY PICTURES: Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurde die E-Mail-Korrespondenz aus mehreren Jahren erbeutet. Die Veröffentlichung vertraulicher Nachrichten sorgte für höchst unangenehme Momente für mehrere Hollywood-Player.
- ASHLEY MADISON: Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, waren die Enthüllungen für viele Kunden schockierend.
- VTECH: Der Spezialist für Lernspielzeug räumte einen Hacker-Angriff im November 2015 ein. Später wurde bekannt, dass fast 6,4 Millionen Kinder-Profile mit Namen und Geburtsdatum betroffen waren - davon gut 500 000 in Deutschland.
dpa/tmn