Die Zahl alleine lässt aufschrecken: Medienberichte sprechen von 1,2 Milliarden betroffenen Datenpärchen aus Nutzername und Passwörtern, die russische Hacker gesammelt haben sollen. Das erinnert an mehrere Vorfälle zu Beginn des Jahres, als in Deutschland besonders ein ähnlicher Fall viel Aufsehen erregte – doch dabei ging es am Ende nur um etwa 15 Millionen solche Kombinationen. Der nun von einem US-IT-Sicherheitsunternehmen aufgedeckte Fall mit 1,2 Milliarden Datenpaaren wäre die größte jemals bekanntgewordene derartige Datensammlung durch Kriminelle.

Das Bundesamt für Sicherheit in der Informationstechnik hat noch keine genauen Kenntnisse des Vorgangs, steht aber mit den US-Behörden in Kontakt:

so BSI-Sprecher Tim Griese gegenüber diesem Sender.

Die russische Bande soll zuerst Daten vom digitalen Schwarzmarkt erworben haben, später jedoch in großem Stil Sicherheitslücken in veralteten Datenbanksystemen von Webseiten ausgenutzt und dafür hunderttausende Seiten angegriffen haben. Auf diese Weise sollen sie an die Kombinationen von Nutzernamen und Passwörtern gelangt sein. Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik betont, dass zwar die Nutzer auch für IT-Sicherheit zuständig wären. Aber:

Zu den Details, welche Seiten von den Angriffen betroffen sind, schweigt sich die Firma Hold Security aus. Die meisten der Seiten seien jedoch auch heute noch verwundbar, so deren Chef Alex Holden gegenüber der New York Times. Sollte das so sein, dürften Nutzer tatsächlich weitgehend machtlos sein: auch bei einer Passwortänderung, die Sicherheitsexperten nach solchen Fällen regelmäßig anraten, wäre der Zugang nur so lange sicher, bis die Hacker erneut auf die Datenbanken zugriffen.

Der netzpolitische Sprecher der CDU-Bundestagsfraktion Thomas Jarzombek forderte anlässlich des neuen Falls, dass das im Koalitionsvertrag geplante IT-Sicherheitsgesetz, das Meldepflichten bei Angriffen auf die IT-Sicherheit für Anbieter vorsieht, nun schnell kommen müsse.