Handelsblatt

MenüZurück
Wird geladen.

05.10.2016

15:38 Uhr

Yahoo

Massenhafte Mail-Durchsuchung sorgt für Ärger

Yahoo wird vorgeworfen, auf Anweisung der US-Behörden Nachrichten von mehreren Hundert Millionen Kunden untersucht zu haben. Auch wegen des kürzlich enthüllten Datendiebstahls steht das Unternehmen unter Druck.

Dem Konzern wird vorgeworfen, ein Programm zum Spionieren geschrieben zu haben. AFP; Files; Francois Guillot

Yahoo-Chefin Marissa Mayer

Dem Konzern wird vorgeworfen, ein Programm zum Spionieren geschrieben zu haben.

San FranciscoNeue Enthüllungen setzen die ohnehin schon angeschlagene Yahoo -Chefin Marissa Mayer zusätzlich unter Druck. Insidern zufolge untersuchte der Internet-Pionier auf Anweisung der US-Behörden die eingehenden E-Mails aller Kunden. Yahoo habe ein spezielles Programm geschrieben, um die einlaufenden Mails von mehreren Hundert Millionen Kunden nach bestimmten Formulierungen oder Anhängen zu durchforsten, sagten vier mit der Sache vertraute Personen der Nachrichtenagentur Reuters. Unklar blieb, welche Daten genau der Konzern an die US-Behörden übergab. Yahoo erklärte auf Anfrage lediglich, man halte sich an die Gesetze der USA.

Für Yahoo kommt die Aufdeckung zur Unzeit. Erst Ende September enthüllte das Unternehmen einen bislang beispiellosen Datendiebstahl. Nach dem Bekanntwerden des erfolgreichen Hackerangriffs auf mindestens 500 Millionen Nutzerkonten muss Mayer nun um die vereinbarte Milliardenübernahme durch den amerikanischen Telekom-Riesen Verizon kämpfen. Analysten erwarten, dass Verizon zwar nicht abspringen, aber einen spürbaren Preisnachlass aushandeln will. Yahoo steht mit dem Rücken zur Wand, da es Mayer in den vergangenen Jahren nicht gelungen ist, die von den Rivalen Google und Facebook an den Rand gedrängte Firma wieder in die Erfolgsspur zu bringen. Im Juli vereinbarte sie daher den Verkauf des Kerngeschäfts an Verizon für 4,8 Milliarden Dollar.

Große Hacker-Angriffe der vergangenen Jahre

Yahoo

Es ist der wahrscheinlich größte Datendiebstahl bei einem einzigen Unternehmen bislang: Mindestens eine halbe Milliarde Nutzer des US-Internetkonzerns Yahoo sind Opfer eines Hackerangriffs geworden. Die Kriminellen erbeuteten E-Mail-Adressen, Geburtsdaten, Telefonnummern, Passwörter und auch unverschlüsselte Sicherheitsfragen, wie Yahoo am Donnerstag mitteilte. Der Angriff ereignete sich schon Ende 2014, im August 2016 wurden 200 Millionen Daten im Netz zum Kauf angeboten – für umgerechnet 1700 Euro.

Ebay

Bei der im Mai 2014 bekanntgewordenen Attacke verschafften sich die Hacker Zugang zu Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Die Handelsplattform leitete einen groß angelegten Passwort-Wechsel ein.

Target

Ein Hack der Kassensysteme des US-Supermarkt-Betreibers machte Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen, die Verkäufe von Target sackten nach Bekanntgabe im Dezember 2013 ab, weil Kunden die Läden mieden.

Home Depot

Beim Angriff auf die amerikanische Baumarkt-Kette gelangten Kreditkarten-Daten von 56 Millionen Kunden in die Hände unbekannter Hacker, wie im September 2014 mitgeteilt wurde. Später räumte Home Depot ein, dass auch über 50 Millionen E-Mail-Adressen betroffen waren.

JP Morgan

Die Hacker erbeuteten bei der im August 2014 bekanntgewordenen Attacke auf die US-Großbank die E-Mail- und Postadressen von 76 Millionen Haushalten und sieben Millionen Unternehmen.

Sony Pictures

Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurde die E-Mail-Korrespondenz aus mehreren Jahren erbeutet. Die Veröffentlichung vertraulicher Nachrichten sorgte für höchst unangenehme Momente für mehrere Hollywood-Player.

Ashley Madison

Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, waren die Enthüllungen für viele Kunden schockierend.

V-Tech

Der Spezialist für Lernspielzeug räumte den Hacker-Angriff im November 2015 ein. Später wurde bekannt, dass fast 6,4 Millionen Kinder-Profile mit Namen und Geburtsdatum betroffen waren, davon gut 500.000 in Deutschland.

Mayers Entscheidung, der geheimen Anordnung der US-Regierung Folge zu leisten, brachte sie auch intern in Bedrängnis, wie die Insider Reuters sagten. So habe Sicherheitschef Alex Stamos das Unternehmen aus Protest verlassen, sagten zwei frühere Angestellte. Er übt dieses Amt nun bei Facebook aus. Die Anfrage nach einem Interview mit ihm ließ er durch einen Sprecher des weltgrößten Internet-Netzwerkes ablehnen.

Der nun bekanntgewordene Fall bei Yahoo ist Experten zufolge der erste, in dem ein US-Konzern der Forderung nach einer Überwachung des gesamten eingehenden Mail-Verkehrs nachgegeben hat. Die Anordnung für die Überprüfung bestimmter Zeichenketten kam den insgesamt drei ehemaligen Mitarbeitern und einer mit dem Vorgang vertrauten Person zufolge entweder vom Geheimdienst NSA oder der Bundespolizei FBI. Die NSA stellt oft derartige Anträge über das FBI, was die genaue Zuordnung zu einem Dienst erschwert. Die NSA verwies auf das Büro des Direktors der US-Geheimdienste, das eine Stellungnahme ablehnte.

Zehn Tipps für mehr IT-Sicherheit

Geschäftsleitung involvieren

Oft beschneidet das Management aus Renditegründen das Budget. Daher: Informieren und sicherstellen, dass die Firmenlenker die Tragweite des Sicherheitsprojekts erkennen.

Bestandsanalyse durchführen

Geräte und Lösungen sowie ihre Eignung für die Abwehr von Cyberattacken katalogisieren - ebenso Rechteverwaltung, Sicherheitsbewusstsein sowie interne und externe Gefahren.

Einsatzteam aufbauen

Eine zentrale Abteilung stimmt alle sicherheitsrelevanten Punkte aufeinander ab. Silos sind wenig effizient und übersehen Sicherheitslücken. Ratsam: einen Chief Information Security Officers ernennen.

Sicherheitsstrategie entwickeln

Wie viel darf welche Sicherheitsmaßnahme kosten, welche Risiken werden in Kauf genommen? Anschließend Budget- und Personal-Szenarien entwerfen.

Budgets verhandeln

Je früher Führungskräfte in das IT-Sicherheitsprojekt eingebunden sind, desto besser können sie nötige Ausgaben nachvollziehen - und desto konstruktiver gestalten sich Verhandlungen.

Sicherheitsrichtlinien ausarbeiten

Und zwar unternehmensweit: Diese sollten auch alle notwendigen Compliance- und sonstigen gesetzgeberischen Aspekte berücksichtigen.

Systeme und Updates installieren

Nicht nur moderne Systeme und Lösungen, die es mit fortschrittlichen Attacken aufnehmen, sind essenziell - aktuelle Updates sind es ebenfalls.

Schulungen vorsehen

Auf Basis eines mittelfristigen Schulungsplans festlegen: Wer wird wie oft zu welchen Themen aus- beziehungsweise fortgebildet?

Der Geschäftsleitung berichten

Dann bleibt sie dem Sicherheitsprojekt gewogen. Eine grafische Aufbereitung der Sicherheitslogs sensibilisiert nachhaltig.

Kontrollschleife einbeziehen

Regelmäßig die Effizienz neuer Maßnahmen und Strukturen durchleuchten. Dabei neue Gefahren, Lösungen am Markt sowie Organisationsveränderungen berücksichtigen.

Quelle

Schluss mit dem Silodenken: Geht es nach den Experten von Dell, sollten Mittelständler ihre Sicherheitsstrategie im Rahmen eines abteilungsübergreifenden Projekts auf einheitliche Füße stellen - und zwar mit folgenden zehn Schritten (erschienen im Magazin creditreform 06/2016):

Bereits 2013 wurden massive Spähaktionen der NSA durch den früheren Geheimdienst-Mitarbeiter Edward Snowden aufgedeckt. Seitdem haben viele Firmen deutlich umfangreichere Verschlüsselungssysteme eingeführt. Für Aufsehen sorgte zudem Apple, als es sich weigerte bei der Entsperrung eines iPhones zu helfen. Das amerikanische Justizministerium wollte den Konzern dazu zwingen, das Smartphone von einem der Attentäter im kalifornischen San Bernadino für die Ermittler zu knacken. Bei dem Anschlag hatten zwei Islamisten 14 Menschen erschossen und 22 verletzt, bevor sie selbst von der Polizei getötet wurden. Die Behörden knackten das Telefon schließlich selbst.

Die beiden anderen großen Anbieter von E-Mail-Diensten, Google und Microsoft, erklärten unabhängig voneinander, keine Mails durchsucht zu haben. „Wir haben eine solche Anfrage nie bekommen”, sagte ein Sprecher des Google-Mutterkonzerns Alphabet. „Und wenn, hätte unsere Antwort gelautet: auf keinen Fall.” Ein Microsoft-Sprecher sagte, der Konzern habe keine Mails überprüft. Ob Microsoft eine entsprechende Anfrage erhalten habe, wollte er nicht sagen.

Von

rtr

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×