Firmendaten, Regierungsdaten, Daten von Privatpersonen: Sie alle waren 2015 im Visier von Hackern. Und vielen gelang es, riesige Datenmengen zu stehlen. Wir haben uns mit den Online-Datenlecks beschäftigt, die 2015 besonders großen Schaden angerichtet haben – bei den meisten sind Millionen von Daten in falsche Hände gelangt. Der etwas andere Jahresrückblick…
Platz 10: Das US-Finanzamt
Betroffene Personen: 334.000
Sicherheitsexperten sprechen technisch gesehen nicht von einem „Hack“, als Diebe über die Webseite der US-Finanzbehörde Steuerdaten von insgesamt 100.00 Personen entwendeten . Vielmehr handelt es sich um einen Fall von zu laschen Sicherheitsmechanismen: Die Diebe gelangten über ein Formular auf der Webseite an die Daten, in welchem sie sich durch das richtige Beantworten von Sicherheitsfragen als jemand anderes ausgaben. Woher sie die Informationen hatten? Einerseits im Vorfeld an anderer Stelle zusammengesammelt, andererseits auch schlichtweg richtig geraten.
Ratgeber: Sicherheitslücke Webcam
Die Diebstähle ereigneten sich im Zeitraum von Februar bis Mitte Mai 2015 – und wurden am 26. Mai durch die Finanzbehörde selbst bekannt gemacht. Die Diebe (das Finanzamt selbst geht von russischen Hackern aus) wollten mit den gesammelten Daten (unter anderem Geburtsdatum, Sozialversicherungsnummer und Postadresse) wahrscheinlich Steuererstattungsbetrug begehen. Am 17. August 2015 – nachdem die Finanzbehörde den Fall weiter untersucht hatte – korrigierte die Behörde die Zahl der betroffenen Bürger weiter nach oben. Auf 334.000.
Platz 9: Patreon
Betroffene Personen: 2,3 Millionen
Patreon ist eine Crowdfunding-Webseite, die sich darauf spezialisiert hat, Geld für Künstler und ihre kreativen Projekte zu sammeln. Am 1. Oktober 2015 lagen plötzliche sämtliche Nutzerdaten für jeden sichtbar im Netz. Und noch schlimmer: Dieses knapp 15 GB große Datenpaket beinhaltete auch noch den Quellcode für die Patreon-Seite. Veröffentlicht wurden sowohl Informationen zu den Künstlern, die auf der Seite Spenden sammeln wollten, als auch zu den Geldgebern; darunter E-Mail-Adressen, Passwörter und sogar private Nachrichten, die über die Seite verschickt wurden. Der Betreiber der Online-Sicherheits-Webseite Have I Been Pwned? fand über 2,3 Millionen E-Mail-Adressen im veröffentlichten Datenchaos – sogar seine eigene.
Platz 8: Adult FriendFinder
Betroffene Personen: 3,9 Millionen
Nutzerdaten von Dating-Webseiten sind immer besonders heikel. In diesem Falle landeten sie dummerweise in einem Darknet-Forum: Alter, E-Mail-Adresse, IP-Adresse, Nutzername, Postleitzahl, sexuelle Vorlieben und die Bereitschaft zu außerehelichen Affären. Der britische Sender Channel 4 News, der die Nachricht über das Datenleck am 21. Mai zuerst brachte, konnte sogar einen Nutzer anhand seiner Daten vor Ort ausfindig machen. Er gab an, er habe sein Konto bereits vor dem Hack gelöscht – was bedeuten würde, dass Adult FriendFinder die Kundendaten auch bei Kündigung nicht entfernt. Über den Schuldigen ist bisher nur bekannt, dass er wahrscheinlich schon im Vorfeld mit der Veröffentlichung der Daten gedroht hat, sollte die Firma hinter Adult FriendFinder ihm nicht einen Betrag von rund 90.000 Euro zahlen.
Platz 7: LastPass
Betroffene Personen: 4,4 Millionen
Das Schöne an einem guten Passwort-Manager ist, dass er Ihre Anmeldedaten für jede beliebige Webseite speichert und diese automatisch eingibt, sobald Sie die entsprechende Seite besuchen. Schlecht wird es allerdings, wenn jemand Zugriff auf Ihre Anmeldedaten für den Passwort-Manager selbst erhascht. Genau das ist bei LastPass passiert. Am 15. Juni 2015 gab die Firma bekannt, ein Eindringling hätte es auf ihre Server geschafft, von wo er E-Mails, Passwort-Reminder und andere wichtige Daten entwendete – immerhin blieben die Passwörter zum Anmelden bei LastPass vom Diebstahl verschont. Ebenso die in LastPass für andere Webseiten gespeicherten Passwörter.
Im Januar 2016 wurde zudem bekannt, dass sich Lastpass relativ leicht hacken lässt.
Zum schmunzeln: Die dümmsten Hacker der IT-Geschichte
Platz 6: Scottrade
Betroffene Personen: 4,6 Millionen
Für die Hacker eine klassische Hausse: Sie erbeuteten eine Liste mit Kundennamen und Postadressen von diesem Online-Broker. Scottrade wurde selbst erst vom FBI darüber informiert, dass ein Hack stattgefunden hatte – der Zeitraum der Diebstähle wird auf Ende 2013 bis Anfang 2014 geschätzt. Doch bis zum 1. Oktober 2015 waren die Vorfälle nie an die Öffentlichkeit getragen worden. Obwohl auch sehr sensible Daten wie E-Mail-Adressen und Sozialversicherungsnummern zur Verfügung standen, wurden diese scheinbar vom Dieb verschmäht – ebenso wie Fonds und Geldmittel und Passwörter. Auch die Handelsplattformen von Scottrade wurden nie infiltriert. Es wird vermutet, der oder die Täter hatten es nur auf die Kundendaten der Firma abgesehen, um Börsenbetrug zu erleichtern.
Platz 5: Vtech
Betroffene Personen: Mehr als 11,2 Millionen (4,854,209 Eltern und 6,368,509 Kinder)
Wie bringt man Kindern bei, wie wichtig Web-Sicherheit ist? Jedenfalls nicht so wie Vtech: Der App Store der Firma, die Technikspielzeug für Kinder herstellt, wurde am 14. November 2015 von einem Whitehat-Hacker gekapert, der daraufhin Zugriff auf die Kundendatenbank erhielt. In dieser Liste enthalten waren E-Mail-Adressen, Passwörter und Postadressen von fast 5 Millionen Menschen, die zuvor V-Tech-Spielzeug gekauft hatten. Doch es kommt noch schlimmer: Ebenso in der Liste enthalten waren Namen, Geburtsdaten und Geschlechtsangaben von über 6,3 Millionen Kindern, deren Eltern zuvor das Spielzeug gekauft hatten. Sofern das gekaufte Spielzeug über eine Kamera oder Sprachaufnahmefunktion verfügte, konnten auch Chat-Nachrichten, Fotos und Sprachnotizen abgerufen werden.
Am 15. Dezember 2015 wurde ein 21-jähriger Mann aus Berkshire, England, festgenommen, der im Verdacht steht, den Hack zu verantworten.
Platz 4: T-Mobile und Experian
Betroffene Personen: 15 Millionen
Hoffentlich haben Sie zwischen dem 1. September 2013 und dem 16. September 2015 keinen neuen Vertrag mit T-Mobile abgeschlossen. Denn ansonsten könnten Ihre persönlichen Daten vom Server gestohlen worden sein. Obwohl die Angriffe schon jahrelang andauerten, wurden sie erst am 15. September 2015 bemerkt. Gestohlen wurden unter anderem Kundennamen, Adressen, Geburtsdaten, Identifikationsnummern (zum Beispiel von Personalausweis oder Führerschein) und Sozialversicherungsnummern. Da alle diese Daten von einer Wirtschaftsauskunftei namens Experian verwaltet wurden, gab T-Mobile ihr die Schuld an dem Desaster: T-Mobile CEO John Legere, bekannt für seine offene und direkte Art, schrieb in einem Brief an seine Kunden, dass er „unglaublich sauer“ sei und „die Beziehungen zu Experian nochmal gründlich überdenken“ müsse.
PC-Welt Serie: So arbeiten Hacker
Platz 3: Personalbüro der US-Bundesregierung
Betroffene Personen: 25,7 Millionen
Am 5. Juni 2015 wurde bekannt, dass die persönlichen Daten von 4 Millionen aktuellen und früheren Beschäftigten der US-Bundesregierung aus der Systemdatenbank des Office of Personnel Management (OPM) gestohlen worden seien. Die Regierungsbehörde ist verantwortlich für Sicherheitsüberprüfungen. Nur einen Monat später wurde ein weiterer Hack entdeckt, bei dem satte 21,5 Millionen Datensätze erbeutet wurden. Die Daten befanden sich in der „Hintergrundanalyse“-Datenbank von OPM, in der nicht nur Sozialversicherungsnummern von Bewerbern und Angestellten lagern, sondern auch deren Fingerabdrücke. Nach aktuellen Informationen stammen die Hacker aus China.
Platz 2: Ashley Madison
Betroffene Personen: 32 Millionen
Die Drohung ging am 19. Juli ein: Ein Unbekannter, der die Nutzerdaten dieser berüchtigten Datingseite gestohlen hatte, verlangte die sofortige und dauerhafte Schließung von Ashley Madison und ihrer Schwesterseite Established Men – andernfalls würde er die Daten im Netz veröffentlichen. Als diese Forderung bis zum 18. August 2015 nicht erfüllt war, verstreute der Erpresser knapp 9,7 GB an Daten im Web. Darunter Mitgliedsnamen, Adressen, verschlüsselte Passwörter, Telefonnummern und Bezahlvorgänge, die bis ins Jahr 2008 zurück reichten (natürlich inklusive Mailadresse, Empfängername und -adresse der Zahlung). Die Veröffentlichung führte den ganzen Sommer über zu mehreren kleinen Folgeskandalen: Stars und Sternchen, die als Mitglieder von Ashley Madison entlarvt wurden; erfolgreich geknackte Passwort-Verschlüsselungen; tiefgreifende Analysen darüber, wie viele der Accounts tatsächlich Frauen gehörten; und natürlich zahlreiche Theorien darüber, wer eigentlich hinter dem Hack steckt…
Platz 1: US-Krankenkassen
Betroffene Personen: 115,7 Millionen
Im Jahr 2015 waren so viele US-Krankenversicherungen von Datendiebstählen betroffen, dass wir sie an dieser Stelle einfach zusammengefasst haben. Im Einzelnen betroffen waren: CareFirst (1,1 Millionen), Systema Software (1,5 Millionen), UCLA Health (4,5 Millionen), Premera Blue Cross (11 Millionen) und Anthem (97,6 Millionen). Bei Systema Software handelt es sich genau genommen nicht um einen Krankenversicherer, aber um eine Firma, die Versicherungsansprüche verwaltet.