Diesmal könnte jeder Internet-Anwender weltweit betroffen sein: Hacker aus Russland sollen 1,2 Milliarden Login-Kombinationen aus Benutzernamen und Passwörtern erbeutet haben. Insgesamt fänden sich über 500 Millionen E-Mail-Adressen in dem Datensatz, berichtete die "New York Times". Experten schätzen, dass das Internet weltweit von über zwei Milliarden Menschen genutzt wird.

Es ist kein Zufall, dass der gigantische Datenklau in diesen Tagen enthüllt wurde. In der US-Wüstenstadt Las Vegas versammeln sich derzeit Netzexperten, Hacker und Geheimdienst-Leute zur jährlichen Konferenz "Black Hat". Hier wollen auch Sicherheitsfirmen mit spektakulären Enthüllungen glänzen. Nun fällt das Rampenlicht auf das Unternehmen Hold Security aus Milwaukee im US-Bundesstaat Wisconsin. Die Experten von Hold Security hatten in der Vergangenheit bereits andere große Hacks enttarnt und waren unter anderem an der Aufdeckung des Diebstahls einiger Millionen Daten von Adobe Systems beteiligt.

Nach Angaben von Hold Security stammen die geklauten Daten von 420 000 Websites, die auch von großen Unternehmen betrieben werden. Dort gaben die Nutzer die jetzt erbeuteten E-Mails und Passwörter ein, um ihre Profile aufzurufen. Eine Sicherheitslücke in der Datenbankabfrage soll es den Hackern ermöglicht haben, die sensiblen Informationen abzufischen. Die meisten der betroffenen Webseiten seien noch immer für weitere Attacken anfällig. Dabei hält sich der entstandene Schaden bislang in Grenzen. Der Gründer von Hold Security, Alex Holden, erklärte, die Angreifer hätten die erbeuteten Informationen lediglich für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schad-Programmen benutzt. Sie würden allerdings erwägen, die geklauten Daten zu verkaufen. Wie viele der erbeuteten Einwahl-Daten noch aktuell benutzt werden, ist unklar.

Hold Security versucht nun, mit dem Hinweis auf den Mega-Hack aus Russland für die eigenen Dienste zu werben und Kasse zu machen. Für eine Jahresgebühr von 120 Dollar bietet das Unternehmen den Betreibern von Websites einen Test an, bei dem sie feststellen können, ob sie auch betroffen sind. Den Netz-Nutzern will Hold Security in den kommenden 60 Tagen einen "Identity Protection Service" anbieten. Wer eine Voranmeldung für den Abo-Dienst ausfüllt, soll auch erfahren, ob er persönlich von dem Datenklau betroffen ist.

Trotz dieser kommerziellen Verbindung kann man den Report von Hold Security nicht als substanzlosen PR-Gag abtun. Die "New York Times" ließ die Daten von einem Fachmann überprüfen, der nicht mit Hold Security verbunden ist. Er bestätigte, dass die Informationen authentisch sind. Wie viele Deutsche von dem gigantischen Diebstahl betroffen sind, ist noch unklar. Das Bundesamt für Sicherheit in der Informationstechnik teilte gestern mit, es prüfe mit Hochdruck, ob deutsche Internetnutzer und Online-Anbieter betroffen seien. Dabei arbeitet das Amt mit Behörden in Deutschland und den USA zusammen. Privatanwender können derzeit nicht selbst feststellen, ob sie Opfer des Diebstahls geworden sind.