04.12.2014

INTERNETSelfies, lässig verschlüsselt

Was haben Kirsten Dunst, Google und Millionen Bundesbürger gemeinsam? Sie werden Opfer von Datenklau. Der Grund für den Schwund: löchrige Schutzwälle, kriminelle Geschäftsmodelle - und unser aller Passwort-Schludrigkeit.
Auch in Hollywood ist 2014 das Jahr der Selfies. Einige Stars und Sternchen werden sich allerdings wünschen, sie wären mit ihren digitalen Selbstporträts zurückhaltender gewesen - oder hätten sie zumindest nicht in Apples iCloud hochgeladen.
Private Fotos von Schauspielerinnen wie Kirsten Dunst, von Popstars wie Rihanna und Sportlerinnen wie der Fußballerin Hope Solo tauchen auf diversen Internetplattformen auf. Die Damen sind mal mehr, mal weniger bekleidet. Mitunter zeigen die Bilder Intimeres als nur nackte Haut.
Gewagte Bilder von Prominenten, die gegen ihren Willen und wie aus dem Nichts plötzlich im Netz auftauchen, hat es schon zuvor gegeben. Doch diesmal werden die Konten vieler Celebrities auf einen Schlag gehackt: Mehr als 100 Accounts sollen betroffen gewesen sein. Die amerikanische Bundespolizei FBI nimmt Ermittlungen auf.
Dabei ist das Datendesaster der amerikanischen A-Prominenz nur der weithin wahrgenommene Höhepunkt eines Jahres, das auf dem Gebiet der Datensicherheit alle bisherigen Negativrekorde hinter sich lässt.
Hunderte Millionen Internetnutzer erleiden das gleiche Schicksal wie Kim Kardashian & Co. Auch ihre Daten werden gestohlen. Anders als die Prominenten bemerken sie das in vielen Fällen nicht gleich.
Aus deutscher Perspektive beginnt das Jahr des Datenraubs im Januar mit der Hiobsbotschaft, 16 Millionen Einwahlkombinationen aus Passwörtern und E-Mail-Adressen seien in die Hände von Hackern geraten. Das zuständige Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) schaltet eine Website frei, auf der Bürger überprüfen können, ob ihre Mail-Adressen betroffen sind.
Die Nutzer sind aufgeschreckt, geben 30 Millionen Adressen ein - von denen sich mehr als 1,6 Millionen als "Treffer" entpuppen, also geknackt sind. Der Ansturm ist so groß, dass die BSI-Server ihm zeitweise nicht gewachsen sind.
Danach folgt Datenleck auf Datenleck. Es scheint, als sei kaum ein Server mehr sicher. Noch im Januar räumen südkoreanische Finanzinstitute den Verlust von 104 Millionen Kreditkartendaten ein. Im April meldet das deutsche BSI einen zweiten Fund von diesmal 18 Millionen sensiblen Datensätzen, und Ebay muss im Mai einräumen, Unbekannten sei es gelungen, an 145 Millionen Kundendaten zu gelangen - darunter sind Mail-Adressen, Telefonnummern und verschlüsselte Passwörter. Im Juli ist die größte US-Bank JPMorgan Chase & Co. an der Reihe. Dort ist zunächst von einer Million erbeuteter Kundendaten die Rede. Erst im Oktober räumt die Bank ein, 76 Millionen Haushalte und 7 Millionen Kleinfirmen seien betroffen.
Für die Internetdatenbank DataLossDB, die Datenlecks weltweit dokumentiert, ist schon nach dem ersten Halbjahr 2014 klar, dass der Negativrekord des Vorjahres noch einmal deutlich übertroffen wird. Bis zum Juli verzeichnet sie 1331 "Zwischenfälle" mit mehr als 500 Millionen verlustig gegangenen Daten.
Die gewaltig nach oben korrigierten Zahlen von JPMorgan sind darin ebenso wenig enthalten wie der bislang größte Datendiebstahl aller Zeiten: Anfang August berichtet die New York Times über insgesamt 1,2 Milliarden gestohlener Datensätze voller Nutzerkonten-Informationen, die von mehr als 400 000 internationalen Websites stammen sollen. Die Zeitung beruft sich auf Erkenntnisse der US-IT-Firma Hold Security, die zuvor schon ein riesiges Datenleck bei der Softwarefirma Adobe aufgedeckt hatte. Hinter dem neuen Daten-GAU vermutet Hold einen russischen Hackerring.
Im September ist Google an der Reihe: Da tauchen knapp fünf Millionen G-Mail-Nutzernamen und Passwörter auf, ebenfalls in einem russischen Hackerforum. Dann muss auch die US-Baumarktkette Home Depot den Verlust von 56 Millionen Kundendaten zugeben. Und im Oktober werden Dropbox- und Snapchat-Nutzer Opfer ungewollter Datenabflüsse.
Ähnliches gab es früher schon, auch damals sind Informationen in unautorisierte Hände geraten, ganz ohne Internet. Und derlei analoge Aktenschluderei gibt es heute weiterhin: Im Juni beispielsweise landen vertrauliche Planungsunterlagen zum Berliner Skandalflughafen in zwei öffentlich zugänglichen Müllcontainern; ein zwischenzeitlich insolventes Planungsbüro hat sie offenbar nicht ordnungsgemäß geschreddert.
Der digitale Datenschwund hat allerdings eine andere Dimension als der analoge. Er betrifft in mehr als der Hälfte aller Fälle die Wirtschaft (55 Prozent), es folgen Regierungen (16 Prozent) sowie das besonders sensible Gesundheitswesen (in knapp 9 Prozent der bekannt gewordenen Fälle). Das Phänomen ist international, Deutschland liegt zum Halbjahr auf Rang acht der am stärksten betroffenen Nationen. Das Spitzentrio bilden die USA, Großbritannien und Kanada.
Vor allem geht der digitale Datenabfluss meist nicht auf Schluderei zurück. Der Anteil gestohlener oder verbummelter Notebooks und USB-Sticks ist verschwindend gering. Bei nahezu 80 Prozent der von der Firma Risk Based Security für ihren Halbjahresbericht ermittelten Fälle handelt es sich um gezielte Hacking-Attacken. So war es offenbar auch bei der Prominenz aus Hollywood - wobei die Hacker es in diesen Fällen dabei beließen, mit den Privataufnahmen ihren eigenen Voyeurismus und den der Betrachter zu bedienen.
In den meisten Fällen wollen die Datenräuber aber mittlerweile Geld verdienen. Hinter ihrem Datenhunger verbergen sich ausgefeilte und durchaus lukrative kriminelle Geschäftsmodelle.
Im Netz gibt es einen florierenden Markt für Login-Informationen, für Ebay-Konten samt Passwörtern und natürlich besonders für Kreditkartendaten. Die professionelleren Basare für derlei illegale Waren finden sich im sogenannten Deep Web mit seinen "hidden Services" - versteckten Angeboten. Manche Plattformen lassen sich indes auch über das offene Internet ansteuern.
So flogen die vom Bonner BSI bekannt gemachten 34 Millionen Datensätze nicht etwa auf, weil Betroffene den Verlust bemerkt hätten, sondern weil die Daten in der "Underground Economy" feilgeboten wurden.
Ein Streifzug über einschlägige Anbieter, die sich von legalen Handelsplattformen optisch kaum unterscheiden und mit Slogans wie "Qualität ist unser Streben" für sich werben, zeigt im Spätherbst, wie breit gefächert das illegale Datenangebot mittlerweile ist: Eine Datenbank mit einer Million deutscher E-Mail-Adressen beispielsweise ist für 350 Euro zu haben, zahlbar in der anonymen Netzwährung Bitcoin. Fünf Millionen Adressen gibt es, mit Mengenrabatt, für 1000 Euro.
Deutlich höhere Preise lassen sich mit Kreditkartendaten erzielen, besonders wenn es sich um westeuropäische Visa- oder Mastercard-Daten mit hohen Kreditlimits handelt und der dreistellige Sicherheitscode mit im Angebot ist.
Die Käufer haben dann verschiedene Möglichkeiten, diese Daten zu missbrauchen und zu Geld zu machen - beispielsweise indem sie unter der falschen Identität im Internet einkaufen oder kostspielige Verträge bei Mobilfunkanbietern abschließen. Die so ergaunerten Sim-Karten können sie dann für weitere kriminelle Geschäfte nutzen.
Viele Opfer von Datendiebstählen bemerken erst dann, wenn sie plötzlich unerklärliche Abbuchungen auf ihren Kontoauszügen feststellen, dass ihnen etwas abhandengekommen ist.
Mancher Umfrage zufolge war bereits jeder fünfte Internetnutzer hierzulande einmal von einem Identitätsdiebstahl betroffen.
Für die Opfer kann das, was mit einem unbemerkten Datenklau anfängt, nicht nur teuer werden, sondern zu einem manchmal monatelangen Martyrium. Wenn die Betrüger unter fremdem Namen teure Waren bestellen, an Packstationen schicken lassen und dann natürlich die Rechnung nicht bezahlen, flattern zunächst Mahnungen und Inkassobescheide ins Haus. In einigen Fällen führt das zu negativen Schufa-Einträgen.
Schützen können sich individuelle Nutzer teils schon mit einfachen Maßnahmen - beispielsweise komplexeren Passwörtern. Seit Jahren veröffentlichen IT-Sicherheitsfirmen regelmäßig Listen mit den Top Ten der internationalen Passwörter - und seit Jahren führen simple Kombinationen wie "123456" oder das besonders originelle Passwort "password" die Aufstellung an.
Leicht zu erratende Passwörter und naheliegende Antworten auf die verbreiteten "Sicherheitsfragen" haben wohl auch den Hollywood-Hack erst möglich gemacht - neben einem Sicherheitsversäumnis von Apple, das es den Hackern anscheinend erlaubte, mittels der sogenannten Brute-Force-Methode Zehntausende Passwörter pro Account durchzuprobieren.
Apple-Chef Tim Cook sieht sich gezwungen, den iCloud-Nutzern verbesserte Schutzmechanismen zu versprechen, auch und vor allem im eigenen Interesse.
Das Jahr der Datenlecks ist nämlich nicht nur aus dem Blickwinkel der Nutzer bedrohlich. Für betroffene Firmen können sie gravierende Folgen haben, wie das Beispiel der Supermarktkette Target zeigt.
Datenräuber erbeuteten aus dem Netz des US-Handelsunternehmens im Weihnachtsgeschäft 2013 allein 40 Millionen Kreditkartendaten sowie weitere 70 Millionen persönliche Angaben zu Target-Kunden wie Telefonnummern und Adressen.
Im Sommer beziffert das Unternehmen den bereits entstandenen Schaden auf 148 Millionen Dollar und hat rund hundert Klagen verärgerter Kunden am Hals. Experten schätzen, das Datendesaster werde Target am Ende mehr als eine Milliarde Dollar kosten.
Der verantwortliche Geschäftsführer hat übrigens mehr als Daten, Geld und Kunden verloren - nämlich seinen Job. Er tritt im Mai 2014 wegen des Daten-GAU zurück und ist damit wohl der erste Chef eines großen börsennotierten Konzerns, dem ein Datenleck zum Verhängnis wird.
Von Marcel Rosenbach

SPIEGEL Chronik 1/2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


SPIEGEL Chronik 1/2014
Titelbild
Abo-Angebote

Sichern Sie sich weitere SPIEGEL-Titel im Abo zum Vorteilspreis!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Video 01:35

Donald Trump über Greta Thunberg "Sie wirkt wie ein sehr fröhliches junges Mädchen"

  • Video "Greta Thunberg auf UN-Klimagipfel: Ihr habt meine Jugend gestohlen" Video 01:31
    Greta Thunberg auf UN-Klimagipfel: "Ihr habt meine Jugend gestohlen"
  • Video "Thomas Cook meldet Insolvenz an: Das war's dann mit Urlaub" Video 01:59
    Thomas Cook meldet Insolvenz an: "Das war's dann mit Urlaub"
  • Video "Waldbrände in Brasilien: Wer die Umwelt schützt, wird getötet" Video 02:51
    Waldbrände in Brasilien: Wer die Umwelt schützt, wird getötet
  • Video "Lügen über Sex: Ehrlich kommt am Seltensten" Video 43:23
    Lügen über Sex: Ehrlich kommt am Seltensten
  • Video "Rekord bei den Emmy-Awards: Zwölf Auszeichnungen für Game of Thrones" Video 01:14
    Rekord bei den Emmy-Awards: Zwölf Auszeichnungen für "Game of Thrones"
  • Video "Rock-Legende wird 70: Bruuuuuce" Video 08:02
    Rock-Legende wird 70: Bruuuuuce
  • Video "Trump und die Ukraine-Affäre: Das Gespräch war perfekt" Video 01:07
    Trump und die Ukraine-Affäre: "Das Gespräch war perfekt"
  • Video "Beherzte Rettungsaktion: Am Geweih gepackt" Video 00:49
    Beherzte Rettungsaktion: Am Geweih gepackt
  • Video "Doku über Neuseeland: Bootstour auf Neuseeländisch" Video 43:38
    Doku über Neuseeland: Bootstour auf Neuseeländisch
  • Video "Kia eNiro im Test: Zum Einschlafen gut" Video 07:17
    Kia eNiro im Test: Zum Einschlafen gut
  • Video "Leben mit Endometriose: Ich habe gefühlt immer Schmerzen" Video 05:20
    Leben mit Endometriose: "Ich habe gefühlt immer Schmerzen"
  • Video "Webvideos der Woche: Tief gestürzt, weich gelandet" Video 02:56
    Webvideos der Woche: Tief gestürzt, weich gelandet
  • Video "Schmerzgriff-Vorwürfe: Hamburger Polizei verteidigt Einsatz bei Klimaprotesten" Video 01:52
    "Schmerzgriff"-Vorwürfe: Hamburger Polizei verteidigt Einsatz bei Klimaprotesten
  • Video "Uli Hoeneß: Kalkulierter Wutausbruch im Video" Video 02:47
    Uli Hoeneß: Kalkulierter Wutausbruch im Video
  • Video "Donald Trump über Greta Thunberg: Sie wirkt wie ein sehr fröhliches junges Mädchen" Video 01:35
    Donald Trump über Greta Thunberg: "Sie wirkt wie ein sehr fröhliches junges Mädchen"