Ab wann wusste Yahoo vom Datendiebstahl?
Internet Noch nie waren so viele Nutzer von einem Leck betroffen. Unklar ist, warum der Konzern seine Kunden so spät informierte
New York Nach dem ersten Schock über das Ausmaß des Datendiebstahls bei Yahoo mit mindestens einer halben Milliarde betroffener Nutzer rücken neue Fragen in den Vordergrund: Was wusste der Internet-Konzern und wann? Wie viel später wurden möglicherweise betroffene Menschen informiert? Auch der amerikanische Telekom-Konzern Verizon, der das Web-Geschäft von Yahoo für 4,8 Milliarden Dollar kaufen will, stellt kritische Fragen.
Die Öffentlichkeit bekam erstmals Wind davon Anfang August, nachdem der Hacker „Peace“ein Paket mit angeblichen Login-Daten zu 200 Millionen Nutzerkonten für die lächerliche Summe von weniger als 2000 Dollar zum Verkauf anbot. Von Yahoo hieß es damals, man kenne die Behauptungen und prüfe. Man nahm an, die Daten könnten 2012 entwendet worden sein. Einige Stichproben der Website „Motherboard“führten zu nicht gültigen E-Mail-Adressen, Zweifel an der Echtheit der Daten kamen auf.
Yahoo erklärte noch am 9. September in einer offiziellen Mitteilung bei der Börsenaufsicht SEC zum Verizon-Deal, dem Konzern seien überhaupt keine Fälle des Diebstahls von Kundendaten bekannt. Dabei heißt es jetzt in Medienberichten, Yahoo sei den Hinweisen bereits seit Juli nachgegangen. Bei einer ersten Überprüfung der Daten habe sich der Verdacht jedoch damals nicht bestätigt, heißt es einschränkend. Dennoch ist es gerade bei dieser Dimension des Datenlecks ungewöhnlich, dass Yahoo keine Zeitangaben zum Angriff und den eigenen Erkenntnissen aus der Untersuchung machte. Auch Verizon reagierte sichtlich verstimmt – war der Deal doch im Juli festgemacht worden, dem Monat, in dem Yahoo von dem Hack erfahren haben soll. Der Telekom-Konzern unterstrich, » dass er erst seit zwei Tagen Bescheid wisse. Verizon kündigte unzweideutig an, in der Situation an seine eigenen Interessen und die seiner Aktionäre zu denken. Keiner will sich schließlich für Milliarden auch noch mögliche Kundenklagen einkaufen. Das TechBlog „Recode“schrieb unter Berufung auf andere Interessenten, auch sie seien bei ihrem Werben um Yahoo nicht ausführlich über einen möglichen Hack informiert worden.
Dabei war der Angriff auf Yahoo nur der jüngste in einer Reihe von Attacken auf große Unternehmen. Die Liste, die in den vergangenen zwei Jahren zum Opfer von OnlineAttacken wurden, ist lang – das Online-Auktionshaus Ebay, der Büroartikel-Anbieter Staples, die Heimwerker-Kette Home Depot, der Warenhauskonzern Target, der zweitgrößte US-Krankenversicherer Anthem sowie die größte USBank JPMorgan und die TelekomTochter T-Mobile sind nur einige Beispiele. Viele informierten deutlich ausführlicher als Yahoo bisher.
Die Hacker machen auch vor Behörden und Institutionen nicht Halt. Auch die offizielle Internetseite der „Obamacare“genannten staatlichen Gesundheitsvorsorge wurde schon mit Schadsoftware infiltriert. Erst kürzlich sorgten im US-Wahlkampf brisante Dokumente für Schlagzeilen, die Cyber-Kriminelle von Servern der Demokratischen Partei gestohlen haben sollen. Geht es um die Frage nach den Schuldigen, so fällt der Verdacht der US-Ermittler immer wieder auf ausländische Regierungs-Hacker. Auch Yahoo geht von einem Angreifer mit staatlichem Hintergrund aus. So werden in den USA meist Hackergruppen mit Nähe zu russischen oder chinesischen Geheimdiensten bezeichnet. Zuletzt geriet allerdings vor allem Russland in Verdacht, das US-Ermittler unter anderem als treibende Kraft hinter den Attacken auf JPMorgan und die Partei der Demokraten vermuten. Kreml-Chef Wladimir Putin wies vor zwei Wochen in einem Interview des US-Wirtschaftsblatts Bloomberg Businessweek den Verdacht von sich: „Nein, davon weiß ich nichts. Auf jeden Fall tun wir so etwas nicht auf staatlicher Ebene.“Es gebe inzwischen eine Vielzahl von Hackern, die filigran und präzise genug agierten, um sich gut zu tarnen und falsche Fährten in andere Länder zu legen.
Trotz der hohen Risiken haben einer Studie des Beratungshauses NTT Com Security viele Firmen noch keine ausreichenden Maßnahmen ergriffen, um Sicherheitslücken zu schließen. Hannes Breustedt und Andrej Sokolow, dpa