Die größten IT-Hacks 2016 – Das Jahresranking

E-Mail-Postfach, Onlinebanking, Social Media Plattform: Bei immer mehr Accounts und Onlinekonten, die ein durchschnittlicher Internetnutzer ansammelt, steigt natürlich das Risiko, Opfer eines Hacks zu werden. Dementsprechend war 2016 ein aufregendes Jahr für die IT-Security-Branche. Hier kommen die zehn fiesesten Internethacks im Jahresrückblick, kommentiert von WEB.DE Sicherheitsspezialist Sebastian Koye.

8. Dezember 2016 von Jasmina Klein
Die fiesesten IT-Hacks des Jahres im Überblick.
Im Jahr 2016 gab es besonders viele Hackerangriffe zu verzeichnen. © Shutterstock

Mai: Tumblr und MySpace werden gehackt. Tumblr verliert Tausende Zugangsdatensätze, MySpace trifft es noch härter: dem Entertainment-Netzwerk gehen 427 Millionen Passwörter und 360 Millionen E-Mail-Adressen verloren. Die Datensätze der Kunden beider Plattformen standen daraufhin im Darknet zum Verkauf. Kennwörter gab’s für rund 200 Euro.
Sebastian Koye: „Der Tumblr-MySpace-Hack zeigt sehr deutlich, wie Online-Kriminelle mit gestohlenen Daten Geld verdienen. Nutzer sollten grundsätzlich sensibel mit ihren Passwörtern umgehen und diese regelmäßig ändern. Wer auch nur den leisesten Verdacht hat, dass ein Onlinekonto, egal bei welchem Anbieter geknackt worden ist, sollte unbedingt sofort sein Passwort ändern. Damit kann verhindert werden, dass mit der Kombination aus E-Mail-Adresse und Passwort der Zugang zu anderen Online Diensten ausprobiert wird, um dort an weitere Daten, im schlimmsten Fall Bank- oder Kreditkartendaten, zu gelangen.“

Juni: Attacke auf „russisches Facebook“. Bei Vkontakte.ru gehen durch einen Einbruch in die Datenbank 171 Millionen Nutzerdaten verloren.  VKontakte.ru zählt rund 350 Millionen Mitglieder, die vor allem aus Weißrussland, der Ukraine und Russland stammen. Die Datensätze umfassen auch Kontaktdaten wie Telefonnummern, unverschlüsselte Passwörter, Namen, Standorte und E-Mail-Adressen.
Sebastian Koye: „Überlegen Sie genau, welche Informationen Sie in einer Onlinedatenbank hinterlegen möchten, besonders bei der Anmeldung auf sozialen Netzwerken. Je mehr Daten Sie miteinander verknüpft an einem Punkt abspeichern, desto attraktiver sind Sie für Hacker.“

Juni: Cyber-Dating Plattform Badoo im Fadenkreuz. Die Beute: 127 Millionen Nutzerdatensätze. Besonders auffällig bei diesem Hack: Neben Benutzernamen waren im Datensatz auch leicht knackbare Passwörter enthalten. Nach dem Datendiebstahl tauchen die Daten dann auf verschiedenen Plattformen wie LeakedSource auf.
Sebastian Koye: „Je komplexer ein Passwort, desto besser. Das perfekte Passwort sollte mindestens acht Stellen haben und sowohl Groß-und Kleinbuchstaben als auch Zahlen und Sonderzeichen beinhalten.“

August: Passwort-Fail bei LinkedIn und Dropbox. Über das Passwort eines Dropbox-Mitarbeiters erhalten Hacker Zugang zu rund 70 Millionen Nutzerdaten. Nachdem kurz zuvor LinkedIn gehackt wurde und der Mitarbeiter für beide Portale das gleiche Passwort genutzt hatte, kommen die Angreifer so auch an die Dropbox-Daten. Glück im Unglück: Die Hälfte der erbeuteten Passwörter lag verschlüsselt vor; diese Dropbox-Konten können weder missbraucht noch weiterverkauft werden. Sebastian Koye: „Die Faustregel muss sein: Für jeden Dienst ein anderes Passwort verwenden! Wer für alles nur ein einziges Passwort nutzt, macht sich unnötig angreifbar.“

August II: Hackerangriff auf den Deutschen Bundestag. Per SPAM-Mails, die angeblich von der NATO stammten, wurden den Abgeordneten Links zu Schadsoftware zugeschickt. Zwar konnte der Angriff teilweise abgewendet werden, die Konsequenzen des Hacks sind bis heute allerdings unklar: Mit den gesammelten Daten könnte später gezielt etwa die Meinungsbildung im Vorfeld der Bundestagswahl manipuliert werden.
Sebastian Koye: „So genanntes Phishing, also SPAM-Mails die zum Klick auf einen bestimmten Link auffordern, ist nach wie vor groß in Mode! Klicken Sie nur auf einen Link in einer Mail, wenn Sie dem Absender hundertprozentig vertrauen. Oft kann man auch an der URL erkennen, dass es sich um einen Betrugsversuch handelt. Im Zweifelsfall die E-Mail lieber löschen.“

September: Yahoo wird um 500 Millionen Nutzerdatensätze erleichtert. Das Unternehmen selbst vermutet einen fremden Staat hinter dem Angriff. Bei den gestohlenen Daten handelte es sich um Namen, E-Mail-Adressen, Geburtsdaten, Nachrichten und verschlüsselte Passwörter. Die Yahoo-Kunden wurden aufgefordert, ihre Passwörter schnellstmöglich zu ändern.
Sebastian Koye: „Wenn ein Anbieter Sie auffordert, Ihr Passwort zu ändern, sollten Sie dem unbedingt und schnellstmöglich nachkommen. Grundsätzlich sollten Passwörter häufig geändert werden, um Missbrauch in einem solchen Fall zuvor zu kommen. Achten Sie zusätzlich darauf, die Änderung im eigenen Konto vorzunehmen, und nicht auf einen Link in einer Mail zu klicken – das reduziert das Risiko, Opfer von Phishing zu werden.“

Oktober: Hillary Clintons Wahlkampfmanager wird Opfer einer Cyberattacke. Laut Wikileaks wurde der E-Mail-Account von John Podesta während der heißen Phase der US-Präsidentschaftswahl gehackt: Insgesamt 50.000 veröffentlichte E-Mails belasten Podesta schwer. Hinter dem Angriff vermutet Hillary Clintons Management eine russische Sabotageaktion. Besonders pikant: Podesta verwendete unsichere Passwörter für sein E-Mail-Konto und gab diese sogar an seine Assistenten weiter.
Sebastian Koye: „Passwörter sind Privatsache: Ein Passwort sollte nicht an Dritte weitergegeben werden, bei vielen Diensten wird das auch in den AGB verboten.“

November: Spektakulärer Bankraub bei Tesco. Online-Kriminelle hacken sich übers Wochenende in 40.000 Girokonten der Tesco-Bank und überweisen Geld illegal an fremde Konten. Wie viel Geld insgesamt entwendet worden ist, teilte die Bank nicht mit; den Betroffenen wurde allerdings zugesichert, dass der finanzielle Schaden so schnell wie möglich ersetzt wird.
Sebastian Koye: „Besonders beim Onlinebanking kommt’s auf die Sicherheit an: Wer sich übers Netz bei seiner Bank einloggt, sollte auf jeden Fall für aktuelle Virenschutzsoftware, Sicherheitsupdates und einen regelmäßigen Wechsel des Banking-Passworts sorgen. Zudem sollten Bankgeschäfte nicht in öffentlichen WiFi Netzen getätigt werden, sondern am besten zu Hause.“

November II: Telekom-Router mit massiver Sicherheitslücke geben Kundendaten preis. Auch wenn die Hacker vom Sicherheitssystem der Telekom abgewiesen wurden, waren hunderttausende Kunden für zwei Tage ohne Internet-und Telefonzugang von der Außenwelt abgeschnitten.  Kundendaten wurden nach bisherigem Stand nicht abgegriffen; das Bundesamt für Sicherheit in der Informationstechnik sprach von einer weltweiten Attacke auf diverse Router.
Sebastian Koye: „Passwörter finden sich nicht nur am Smartphone oder am Laptop – oft nutzen wir Passwörter auch dort, wo sie kurz nach der Einrichtung vergessen werden: Zum Beispiel das Zugangspasswort am heimischen WLAN-Router. Auch solche Passwörter sollte man regelmäßig wechseln.“

November III: Größter Hack auf Dating-und Erotik-Portale. Online-Kriminelle erbeuten die Daten von über 412 Millionen Flirtwilligen, darunter auch Millionen deutschsprachige Accounts. Betroffene Seiten sind unter anderem Adultfriendfinder.com, Cams.com, Penthouse.com oder Stripshow.com, alles Online-Portale des Unternehmens Friend Finder Networks.
Login-Daten, IP-Adressen und vor allem Benutzernamen, E-Mail-Adressen und Passwörter gelangen auf Onlinebörsen im Darknet. Besonders pikant: Aus den geknackten Passwörtern geht hervor, dass Nutzer oft simple Passwörter, wie 123456, Password oder qwerty, wählten.
Sebastian Koye: „Ein besonders einfache Methode, sich komplexe Passwörter zu merken, ist die Satzmethode: Nehmen Sie einfach von einem Satz nur die Anfangsbuchstaben der Worte. Aus ‚Ich überlege mir ein echt sicheres Passwort mit Sonderzeichen‘ wird dann ‚IümeesPmS‘. Dazu dann noch ein Ausrufezeichen an den Schluss, eine 0 vorneweg, und Sie haben ein schön komplexes Passwort, das sehr schwer zu knacken ist.“