Krisenkonzern Yahoo soll bewusst Sicherheit vernachlässigt haben

Yahoo ist Opfer des größten bekannten Hacks eines Firmennetzwerks geworden. Insider erheben schwere Vorwürfe gegen die Chefin des Konzerns. Marissa Mayer soll bewusst an der Sicherheit gespart haben.

  Marissa Mayer 2014 in Las Vegas
REUTERS

Marissa Mayer 2014 in Las Vegas


Bei dem Internetkonzern Yahoo soll die Sicherheit seiner Nutzer nicht oberste Priorität gehabt haben. Die "New York Times" berichtet unter Berufung auf Insider-Informationen, Yahoo habe vergleichsweise geringe Anstrengungen unternommen, um sich gegen Hackerangriffe zu wappnen.

Schon vor sechs Jahren sollen Yahoos Computersysteme Opfer eines großangelegten chinesischen Hackerangriffs geworden sein. Auch andere Technologiefirmen, unter anderem Google, waren damals betroffen. Doch während Google der Sicherheit seiner Systeme daraufhin die höchste Priorität eingeräumt habe, soll bei Yahoo kaum reagiert worden sein.

Neue Produkte statt Sicherheit

Als Marissa Mayer im Jahr 2012 den Chefposten bei dem kränkelnden Internetunternehmen übernahm, soll sie bereits vor einem Berg an Sicherheitsrisiken gestanden haben - neben vielen anderen Problemen. Statt auf eine verbesserte Sicherheit zu setzen, nahm Mayer das Redesign alter Produkte und die Entwicklung neuer in Angriff. Das sollte Yahoo wieder in die erste Reihe zu bringen.

Die Sicherheitsbedenken des Security Teams soll die Yahoo-Chefin immer wieder abgetan haben. Angeblich habe Mayer keine Abstriche bei der Nutzerfreundlichkeit der Produkte machen wollen. Dies ist jedoch häufig ein notwendiges Übel, um Computersysteme sicherer zu machen. Im Zuge seiner schlechten Sicherheitspolitik soll Yahoo auch viele seiner Sicherheitsexperten an die Konkurrenz verloren haben. Die Folgen waren verheerend: In den vergangenen Jahren geriet der Internetkonzern immer wieder mit Sicherheitslücken in die Negativschlagzeilen.

Fotostrecke

14  Bilder
Von Yahoo bis LinkedIn: Das sind die größten Hackerangriffe

Höhepunkt war in der vergangenen Woche das Bekenntnis des Unternehmens, 2014 Opfer eines Hackerangriffs geworden zu sein. Bei dem Angriff wurden die persönlichen Daten von mindestens 500 Millionen Kunden gestohlen. Es war der bisher größte bekannt gewordene Hack eines Firmennetzwerks überhaupt.

Gegenüber der "New York Times" verteidigte eine Unternehmenssprecherin die Sicherheitsbemühungen des Konzerns. So habe Yahoo zu Beginn des Jahres 2014 zehn Millionen Dollar in Verschlüsselungstechnologie investiert. Zudem seien die Investitionen in Sicherheitsinitiativen von 2015 bis 2016 um 60 Prozent angehoben worden.

Interne Zerwürfnisse mit der Sicherheitsabteilung

Ursprünglich hatte der Konzern 2014 einen Schritt in die richtige Richtung unternommen. Ein neuer Sicherheitschef sollte die Probleme angehen. Die Einstellung von Alex Stamos wurde als positives Zeichen gewertet: Stamos soll sich für eine stärkere Verschlüsselung des Datenverkehrs zwischen den Yahoo-Datencentern und einen besseren Austausch von Angriffsdaten mit anderen Firmen eingesetzt haben.

Doch dann sei es laut dem Bericht zu einem Zerwürfnis zwischen Stamos und Mayer gekommen sein, wie frühere Angestellte berichtet haben sollen. Der Streitpunkt: Mayer habe erneut kein Geld für die Konzepte des Sicherheitschefs locker machen wollen. Mayer soll sogar grundlegendste Sicherheitsmaßnahmen abgelehnt haben. Zum Beispiel das automatische Zurücksetzen aller Benutzerkennwörter nach einem Hackerangriff. Die Yahoo-Chefin habe befürchtet, dass allein durch diesen Schritt noch mehr E-Mail-Nutzer zu anderen Diensten wechseln könnten. Sicherheitschef Stamos wechselte 2015 zu Facebook.

Sowohl Stamos als auch Marissa Mayer wollten sich bisher nicht zu den neuen internen Informationen äußern. Aber der Druck auf die Yahoo-Chefin wächst durch die Enthüllungen.

tsi

Mehr zum Thema


insgesamt 2 Beiträge
Alle Kommentare öffnen
Seite 1
el_zombo 29.09.2016
1. Faktor Geld...
IT-Sicherheit ist sehr kostspielig und funktioniert heute nach dem vermeintlichen neoliberalen Naturgesetz der unsichtbaren Hand des Marktes: wenn es billiger ist, Nutzer fahrlässig in ihrer persönlichen Sicherheit zu gefährden durch mangelhafte Sicherheit als das Geld zu investieren Nutzerdaten zu sichern, dann wird das eben so gemacht und es wird sich auch in Zukunft nichts daran ändern. Die RAND Corporation hat kürzlich in einer Studie genau das belegt. Ein typischer Datenverlust in der Privatwirtschaft kostet im Durchschnitt $200000, sichere Technik jedoch ein Vielfaches. Hier bleibt nur der Gesetzgeber, der diesen Faktor umkehren muss mit so empfindlichen Strafen, dass diese existenzbedrohend für jedes Unternehmen sein müssen. Sonst wird sich nichts ändern, von selbst werden Unternehmen nicht in mehr Sicherheit für ihre Rohstoffe (die Nutzer) tun. Auch Datensparsamkeit, verbindliche und weitreichende Vorschriften zum Datenschutz und der kritische Umgang mit dem Hintergrund von Marketingbuzzwords (IoT usw.) sollte mehr in den Vordergrund treten, als nur dem nächsten Trend hinterherzuhecheln. Es geht hier um die persönliche Sicherheit von uns allen.
Tr1umph 29.09.2016
2. Hat für Yahoo ja auch keine Konsequenzen
Das große Problem bei der IT-Sicherheit ist ja, dass keiner dafür haftet. Durch den Mist den Yahoo da verzapft hat werden Schäden in Milliardenhöhe entstehen: Identitätsdiebstahl, Betrügereien, Spam/Virenverteilung, etc. Blöderweise werden sich die Schäden nicht direkt auf diesen Hack zurückführen lassen. Yahoo ist also fein raus. Ähnlich wie Adobe oder LinkedIn damals. Jeder der sich mit Softwareentwicklung und IT-Sicherheit ein wenig auskennt weiß, dass da Todsünden begangen wurden. Passwörter in Klartext speichern ist ungefähr so sicher wie ohne Fallschirm aus dem Flugzeug springen. Leider fehlen was das angeht noch immer passende Vorschriften und Gesetze. Insofern hatte/hat Merkel mit ihrem Neuland durchaus Recht.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.