NIFIS: Yahoo wohl kein Einzelfall

Sicherheitstipp: „Haustier regelmäßig ändern “

Frankfurt am Main, x. September 2016 – „Es ist sicherlich kein Einzelfall, dass wie aktuell bei Yahoo die Entwendung personenbezogener Daten aus einem Unternehmen über Monate oder gar Jahre hinweg nicht auffällt“, befürchtet Rechtsanwalt Dr. Thomas Lapp, Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS). Yahoo waren offenbar schon im Jahr 2014 mindestens 500 Millionen Kundendaten gestohlen worden, ohne dass dies bis zum Sommer 2016 aufgefallen war.

Permanente lückenlose Überwachung notwendig

Nach Angaben von Yahoo befinden sich die dafür verantwortlichen Hacker mittlerweile nicht mehr im Netzwerk der Firma. „Wenn Yahoo heute feststellen kann, dass sich die Angreifer nicht mehr in der Firmen-IT aufhalten, lässt dies den Schluss zu, dass die Präsenz der Hacker auch vor zwei Jahren durchaus feststellbar gewesen wäre, wenn man gründlich geprüft hätte“, mutmaßt RA Dr. Thomas Lapp. Der NIFIS-Vorsitzende rät der Wirtschaft: „Unternehmen sollten ihr Firmennetzwerk permanent und lückenlos auf ungewöhnlichen Datenverkehr und mögliche Angriffsszenarien überprüfen. Nur so können sie im Fall der Fälle Angriffe noch stoppen oder - falls es dazu zu spät ist - die betroffenen Nutzer wenigstens informieren, so dass diese beispielsweise rasch ihre Passwörter ändern können.“
Zweites Haustier gefordert

Yahoo hatte zwar angegeben, dass die Angreifer keinen Zugang zu unverschlüsselten Passworten erlangt hätten. Aber sie waren offenbar auf die Antworten auf Sicherheitsfragen wie „Wie lautet der Name Ihres erstes Haustiers?“ vorgestoßen, mit denen sich Passwörter zurücksetzen lassen. „Das ist im Grunde noch viel schlimmer, weil zu befürchten ist, dass viele Nutzer genau dieselben Sicherheitsantworten auch bei anderen Accounts außerhalb von Yahoo verwenden, so dass die Hacker diese ebenfalls leicht knacken können“, warnt RA. Dr. Thomas Lapp. Er rät: „Wir alle sollten nicht nur regelmäßig unsere Passwörter ändern, sondern auch die Antworten auf die damit zusammenhängenden Sicherheitsfragen“ und sagt lakonisch: „Glücklich, wer ein zweites oder drittes Haustier hat.“

Wohl größter bekannter Datendiebstahl

Der Yahoo-Hack ist laut NIFIS der wohl größte bekannte Datendiebstahl der Geschichte. Bei ähnlichen Vorfällen waren „nur“ 100 Millionen Datensätze (jeweils bei LinkedIn und im russischen Netzwerk Vk.com), 83 Millionen (J.P. Morgan), 80 Millionen (US-Krankenversicherung Anthem), 68,7 Millionen (Dropbox), 56 Millionen (US-Baumarktkette Home Deport), 45,6 Millionen (US-Einzelhandelskette TJX),
40 Millionen (Supermarktkette Target), 21,5 Millionen (US-Personalverwaltung), 15 Millionen (Sony Pictures) und 15 Millionen Datensätze (T-Mobile) erbeutet worden.

„Es ist wohl davon auszugehen, dass die bekannten Datendiebstähle nur die Spitze des Eisbergs darstellen und der bis heute unbekannte Datenraub um ein Vielfaches höher liegt“, befürchtet der NIFIS-Vorsitzende RA Dr. Thomas Lapp.