Zwölf Batzilliarden E-Mail-Adressen geknackt! – Angst als Werbemaßnahme
Vor ein paar Tagen verbreitete sich zuerst in Portalen für IT-Sicherheit, dann auch den großen Medien, eine Nachricht wie ein Lauffeuer: 1,2 Milliarden E-Mail-Zugangsdaten seien zu Spottpreisen angeboten worden. Der Schwerpunkt liege in Russland, aber weltweit seien Anwender betroffen. Doch was meinen Puls unweigerlich steigen ließ und nach einem weiteren Datenleck klang, war wohl etwas ganz anderes.
Dass in dunklen Ecken des Internets Datensätze für Spammer und Hacker verkauft werden, ist nichts Neues. Normalerweise werden (meist ein paar Millionen) E-Mailadressen mit oder ohne passende Passwörter weitgehend anonym verkauft, bezahlt wird in der digitalen Währung Bitcoin. An die Opfer dieses Daten-Deals werden fortan munter SPAM-Mails geschickt oder man kapert die Zugänge ganz und nutzt sie für eigene Zwecke. Geht es organisierter ab, versucht man, mit diesen Emails und Passwörtern Portale wie Ebay oder Amazon zu nutzen. Denn viele Anwender nutzen nur ein Passwort für einfach alles im Internet.
Die Geschichte, die in einem Blog der Sicherheits-Firma erschien, war wie aus einem schlechten Film: Ein russischer Nerd, der noch brav zur Schule geht, hatte seine Tage damit verbracht, sich aus allen möglichen Quellen Massen von Benutzerdaten zusammen zu suchen. Selbst gehackt habe er nicht, wie er beteuerte, sondern nur in dubiosen Quellen gestöbert und alles zu einem großen Datensatz verbunden. Für diese Mühen (grob 1 Milliarde Nutzer sind schon was) wolle er aber entsprechend belohnt werden: 50 Rubel, aktuell grob 70 Cent. In diesem Moment wurde ich stutzig, denn was man Hackern dieser Richtung auch alles nachsagen mag: Blöd sind sie nicht und bescheiden auch nicht.
Das schien mir unwahrscheinlich. Und so gab ich auch nicht meine Adressen in eine Seite ein, wo man angeblich checken lassen konnte, ob man betroffen sei. Vielleicht wurden gerade an dieser Stelle fleißig E-Mail-Adressen gesammelt? Zeit für herrliche Paranoia. Ich wartete einfach, nun wieder mit Ruhepuls. Aus den 1,2 Milliarden Nutzern wurden, bereinigt von Doppelten, 272 Millionen, immer noch eine Menge. Kurze Zeit später wurden die Datensätze von den betroffenen E-Mail-Anbietern überprüft – die Daten waren wertlos. Veraltet, längst gesperrt oder frei erfunden. Aber die Nachricht war schon längst durch die Medien, bei vielen wird ein ungutes Gefühl zurück geblieben sein. Und sie werden sich eventuell an einen Namen erinnern – Hold Security, Berater zum Thema IT-Sicherheit und Urheber dieser Story.
Wie so häufig, wurde aus dem Datenleck, der großen Bedrohung - ein Papiertiger. Und das erinnert mich an eine uralte Werbestrategie, mit der man seine Waren losbekommt – Angst. Viren werden häufig von AV-Herstellern gemeldet, mitsamt katastrophalen Prognosen und dem leisen Hinweis, dass Ihre Software den Übeltäter schon kennt. Ohne Milch darben wir mit porösen Knochen dahin, behaupten die jeweiligen Lobbys weltweit immer wieder. Die nächste Grippe-Welle wird uns alle dahin raffen, wie uns Impfstoff-Produzenten glaubhaft versichern. Oder die Zukunft wird ein Desaster, wenn wir nicht die eine Partei wählen, die alle Probleme lösen kann. Angst lässt uns aufhorchen, Angst beschleunigt den Griff zum Portemonnaie und Angst macht auch bekannt.
Einfach mal ein rotes Schloss in der Hand halten: Bringt auch nichts, wenn die Daten futsch sind
Lässt sich all das beweisen? Nein, aber man darf mit Recht kritisch sein. Denn so zuverlässig wie schlechtes Wetter kommen die immer gleichen Nachrichten, leicht variiert aus den üblichen Quellen. Sollte uns das gleich sorglos machen? Natürlich nicht. Wer aber gute Passwörter hat (1234 reicht leider nicht), diese immer mal wieder wechselt und für alles nicht nur ein Passwort benutzt, muss nicht bei jeder Meldung dieser Art einen Herzinfarkt bekommen.
<strong>Anmerkung des Autors</strong>
Der Ashampoo-Blog feiert seinen ersten Geburtstag! Haben Sie Wünsche? Worüber würden Sie gerne mehr lesen? Einfach rein damit in die Kommentare!