Der Internet-Pionier Yahoo hat ein Problem: Am Abend bestätigte der Internetkonzern den Diebstahl von über 500 Millionen Nutzerdatan. Der Angriff erfolgte bereits im Jahr 2014. Die Hacker hätten dabei persönliche Daten wie Email-Adressen, Telefonnummern und Passwörter abgegriffen. Der Cyberangriff sei möglicherweise "von einem Staat organisiert" worden. Damit meint Yahoo offenbar Hackergruppen, die für externe staatliche Geheimdienste arbeiten. So werden in den USA meist Hackergruppen mit Nähe zu russischen oder chinesischen Geheimdiensten bezeichnet. Es seien keine Passwörter im Klartext oder Kreditkarten- und Bankkonto-Informationen entwendet worden. Die Angreifer seien derzeit nicht im Yahoo-Netzwerk Yahoo arbeite eng mit den US-Ermittlungsbehörden zusammen, um den Fall aufzuklären.

Zuvor hatte bereits das Technik-Onlinemagazin "Recode" berichtet. Yahoo mahnte seine User, die seit 2014 ihr Passwort nicht geändert hätten, dies möglichst schnell zu tun. Zudem würden betroffene Kunden des Internetdienstes informiert. Außerdem riet das Unternehmen, besonders vorsichtig sein, wenn User Emails von unbekannten Adressen erhalten, die mit Anhängen versehen sind und aufgefordert werden, diese zu öffnen. Denn selbst  wenn die Hacker nicht in die Yahoo-Profile vordringen können, können sie auch Daten wie Namen und E-Mail-Adressen für gezielte so genannte Phishing-Nachrichten nutzen und Schadsoftware auf den Kundenrechner installieren. Diese könnten dann weitere Passwörter und andere Daten ausspähen.

Daten werden bereits im Netz gehandelt

Bereits Anfang August hatte das Technologienachrichten-Portal Motherboard berichtet, ein Cyberkrimineller verkaufe Daten von rund 200 Millionen Yahoo-Nutzern. Erste Berichte über einen Datendiebstahl bei Yahoo waren Anfang August aufgekommen, als Hacker behaupteten, Zugang zu 200 Millionen Profilen zu haben. Die Daten sollen im August dieses Jahres im Dark-Web, quasi dem illegalen Schwarzmarkt des Internets, zum Kauf angeboten worden sein. Einer der Hacker soll die angeblichen Nutzerdaten für weniger als 2.000 Dollar zum Kauf angeboten haben.

Dieser Hacker mit dem Namen "Peace" hatte zuvor schon Nutzerdaten des Online-Netzwerks MySpace und der Karriere-Plattform LinkedIn verkauft. Yahoo prüfte seitdem den Sachverhalt. Jetzt hieß es, man arbeite mit den Sicherheitsbehörden zusammen. Die Frage ist nun, wie sicher die Passwörter verschlüsselt sind. Nach Informationen des "Wall Street Journal" kam dafür ein kryptografischer Algorithmus mit dem Namen MD5 zum Einsatz, der mit modernen Technologien geknackt werden könne.

Datendiebstahl ist definitiv riskant für Betroffene

Vor vier Jahren waren Yahoo rund 450.000 unverschlüsselte Passwörter gestohlen worden. Auch wenn die Angreifer die Passwörter nicht entschlüsseln und damit nicht in die Yahoo-Profile vordringen können, können sie auch Daten wie Namen und E-Mail-Adressen für gezielte Phishing-Nachrichten nutzen. Dabei werden Nutzern Passwort-Informationen abgeluchst oder Mails mit infizierten Links untergejubelt, über die dann Schadsoftware auf den Rechnern installiert wird.

Bei Yahoo könnte ein Datendiebstahl in dieser außergewöhnlichen Dimension auch den Verkauf des Web-Geschäfts an den Telekom-Konzern Verizon erschweren. Die Übernahme für gut 4,8 Milliarden Dollar war im Juli vereinbart worden.