Rekord-Datenklau bei Yahoo
Was Nutzer des amerikanischen E-Mail-Anbieters jetzt wissen müssen
Der Internet-Konzern Yahoo ist Opfer eines der größten Datendiebstähle aller Zeiten geworden. Wer bei dem US-Anbieter ein Konto hat, muss nun schleunigst sein Passwort ändern. Besonders heikel ist der Datendiebstahl für Kunden, die ihre Yahoo-Zugangsdaten auch für andere Dienste verwenden.
Sunnyvale. Dem Internet-Konzern Yahoo wurden im Jahr 2014 Informationen zu mindestens einer halben Milliarde Nutzer gestohlen. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter, gestand das Unternehmen nun ein.
Nach derzeitigem Kenntnisstand seien keine Passwörter im Klartext entwendet worden. Dafür könnten aber sowohl verschlüsselte als auch unverschlüsselte Sicherheitsfragen samt Antworten in die Hände der Angreifer gelangt sein. Das sind die typischen Standardfragen nach dem Namen des ersten Haustiers oder der Lieblingsfarbe. Sie kommen zum Einsatz, wenn ein Nutzer sein Passwort vergisst. Beantwortet er die Sicherheitsfrage korrekt, kann er ein neues Passwort festlegen. Mit Yahoo-Zugangsdaten können Anwender sich auch bei Diensten wie Flickr oder Tumblr anmelden, die zu Yahoo gehören. Bei Flickr sind auch Kreditkarten-Informationen gespeichert, da die Foto-Plattform einen kostenpflichtigen Premium-Dienst anbietet.
Erste Berichte über einen Datendiebstahl bei Yahoo waren Anfang August aufgekommen. Hacker behaupteten, Zugang zu 200 Millionen Profilen zu haben. Einer von ihnen bot die angeblichen Nutzerdaten für weniger als 2000 Dollar im Internet zum Kauf anbot.
Nutzer des Onlinedienstes Yahoo müsstensofort ihr Passwort ändern, rät Yahoos Sicherheitschef Bob Lord in einem Blogeintrag. Da auch Antworten auf die Sicherheitsfragen gestohlen wurden, hat Yahoo diesen Weg zur Überwindung des Passwortes nach eigenen Angaben teilweise abgestellt. Das Unternehmen rät Nutzern, die identische Sicherheitsfragen auch bei anderen Onlinekonten verwenden, diese ebenfalls zu ändern.
Das Bundesamt für Sicherheit in der Informationstechnik warnt generell davor, für verschiedene Dienste dieselben Passwörter zu verwenden. Gerate das Passwort einer Anwendung in falsche Hände, habe der Angreifer freie Bahn für alle übrigen Dienste.
Yahoo will Betroffene per EMail über weitere Schritte informieren. Da sich jedoch auch Betrüger mit gefälschten Sicherheitshinweisen an YahooNutzer wenden könnten, weist das Unternehmen darauf hin, dass die Hinweismail keine Anhänge oder Links enthalten wird. Auch werden keine persönlichen Daten abgefragt. Vermeintliche Mails von Yahoo mit Anhängen, Links oder der Abfrage persönlicher Daten müssten umgehend gelöscht werden.
Für viele Yahoo-Nutzer stellt sich nun die Frage, mit welchem neuen Passwort sie ihr Konto schützen können. Dazu empfiehlt das BSI mindestens zwölf Zeichen zu wählen, darunter Groß- und Kleinbuchstaben, Zahlen und Satzzeichen. Das Passwort dürfe nicht in Wörterbüchern vorkommen und dürfe nicht aufgrund von Kenntnissen über die Person zu erraten sein. Namen der Kinder oder des Partners seien deshalb tabu. Jedes Nutzerkonto brauche zudem zwingend ein eigenes Passwort, das regelmäßig geändert wird.
Biete ein Dienst eine sogenannte Zweifaktor-Authentifizierung an, sollten Nutzer diese in Anspruch nehmen. Dieser Schutzmechanismus könne etwa ein zusätzlicher Sicherheitscode sein, der erst nach Eingabe des richtigen Passworts aufs Handy gesandt wird. Viele Nutzer verwenden eine Zweifaktor-Authentifizierung bereits beim Online-Banking.