Firmenschild von Yahoo | Bildquelle: AP

Massiver Datendiebstahl bei Yahoo Ein 500-Millionen-Hack mit Folgen

Stand: 23.09.2016 01:27 Uhr

Das könnte der größte Datendiebstahl der Geschichte sein: Mindestens 500 Millionen Yahoo-Nutzer sind von dem Hackerangriff Ende 2014 betroffen. Namen, E-Mail-Adressen, Geburtsdaten. Steckt ein Staat dahinter? Und was heißt der Hack für den Verrizon-Deal?

Von Wolfgang Stuflesser, ARD-Studio Los Angeles

Es geht um Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten von mindestens 500 Millionen Nutzern. Angesichts dieser Menge ist es erstaunlich, dass Yahoo den Hacker-Angriff erst jetzt bemerkt haben will - die Daten wurden schon 2014 erbeutet. Es ist für die Kunden wohl nur ein kleiner Trost, dass die Hacker keinen Zugriff auf Passwörter im Klartext, Kreditkarten oder Bankverbindungen hatten. Dafür konnten sie sogenannte Sicherheitsfragen samt Antworten abrufen - das sind die typischen Fragen nach dem Namen des ersten Haustieres, mit denen ein Nutzer - oder eben auch ein Hacker, ein Passwort zurücksetzen und ändern kann.

Dieselben Daten für mehrere Konten?

Das könnte noch zu einem größeren Problem werden, sagt Erik Knight, Chef der IT-Sicherheitsfirma SimpleWan, im Gespräch mit der Nachrichtenagentur Reuters: "Yahoo hat die nötigen Schritte unternommen, damit die erbeuteten Informationen nicht genutzt werden können, um Zugriff auf Yahoo-Konten zu bekommen. Aber wenn die Kunden dieselben Daten auch für andere Konten eingesetzt haben, zum Beispiel bei Google, können die Hacker die Daten dort verwenden, um reinzukommen." Die Fragen und Antworten sind also womöglich genauso wertvoll wie ein Passwort. Deshalb raten Experten übrigens, bei solchen Fragen keine wahren Antworten zu geben, sondern willkürliche Angaben zu machen, die man sich dann sicher notiert.

Großer Schaden nach Hackerangriff auf Yahoo
tagesschau 20:00 Uhr, 23.09.2016, Ina Ruck, ARD Washington

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Yahoo vermutet Hacker mit staatlicher Unterstützung

Erste Berichte über den Hack gab es schon Anfang August: Da wollte ein Hacker die Daten von 200 Millionen Yahoo-Kunden verkaufen. Yahoo versprach, die Sache zu prüfen - jetzt heißt es etwas kleinlaut, das Unternehmen arbeite mit den Sicherheitsbehörden zusammen.

Yahoo glaubt, dass die Hacker staatliche Unterstützung hatten, in der veröffentlichten Erklärung des Unternehmens wird aber kein konkreter Staat genannt. In der Erklärung heißt es außerdem, die Daten seien zwar schon Ende 2014 erbeutet worden, das sei aber erst vor kurzem bei einer internen Untersuchung aufgefallen.

Folgen für den Verizon-Deal?

Für Yahoo könnte der Hackerangriff noch weitere Folgen haben: Im Juli hatte der US-Telekom-Konzern Verizon angekündigt, das Web-Geschäft von Yahoo für fast fünf Milliarden Dollar zu übernehmen. Noch ist unklar, ob der Angriff Auswirkungen auf den Verkaufsprozess hat. "Verizon versucht, die Marke Yahoo neu zu beleben", sagt Max Wolff, Analyst bei der Investmentfirma Manhattan Venture Partners. "Da wollen sie den Kunden natürlich nicht als erstes sagen, dass sie leider ihr Passwort verloren haben."

Alle möglicherweise betroffenen Kunden sollen nun E-Mails von Yahoo bekommen mit der Aufforderung, ihr Passwort zu ändern. Das könnten sich aber wiederum Kriminelle zu Nutze machen, die gefälschte E-Mails dieser Art verschicken und die Kunden so auf Nicht-Yahoo-Server locken, um dort ihre Passwörter abzugreifen.

500 Millionen Yahoo-Konten gehackt
W. Stuflesser, SWR
23.09.2016 00:41 Uhr

Download der Audiodatei

Wir bieten dieses Audio in folgenden Formaten zum Download an:

Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Dieser Beitrag lief am 23. September 2016 um 06:52 Uhr im Deutschlandfunk.

Darstellung: