Cyberattacke 2013 betraf wohl 3 Mrd. Nutzer...oder etwa noch mehr ?

Vor knapp einem Jahr räumte das Unternehmen ein, bereits 2013 Opfer einer Cyberattacke geworden zu sein, bei der Daten von über 1.000.000.000 Nutzerkonten abhandengekommen sind.
Diese gigantische Zahl musste nun aber nach oben korrigiert werden.

Rekordverdächtiger Hack

Auf seiner Webseite teilt der mittlerweile zu Verizon gehörende Internetkonzern mit, dass der Hack einen weitaus größeren Umfang hatte, als eh schon angenommen: statt „nur“ einem Drittel seiner Kunden sind tatsächlich alle und somit 3 Milliarden Nutzerkonten betroffen. Damit toppt das Unternehmen sich erneut selbst, denn bereits 2012 wurden die Daten von 500 Mio. Nutzern geklaut.

Zu den betroffenen Daten zählen etwa Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Passwort-Hashes sowie teils unverschlüsselte Sicherheitsfragen inklusive der dazu gehörenden Antworten. Das Unternehmen hebt zwar hervor, dass keine im Klartext gespeicherten Passwörter abhandengekommen sind, teilt aber gleichzeitig mit, dass der veraltete Algorithmus MD5 verwendet wurde. Dieser lässt sich heutzutage jedoch relativ leicht „knacken“. Sensible Daten wie Zahlungsdaten oder Kontoinformationen waren laut Yahoo in dem betroffenen System nicht hinterlegt. Zu den Betroffen dürfen sich aber auch Nutzer von Flickr zählen, weil deren Konten gleichzeitig Yahoo-Konten sind.

Damals wie heute gilt: Ausmaß nicht absehbar
Das ganze Ausmaß ist erst jetzt im Rahmen einer erneuten Prüfung während der Übernahme des Yahoo-Kerngeschäfts durch Verizon bekannt geworden. Dazu seien auch externe Forensikexperten herangezogen worden.

Die konkreten Auswirkungen dieses Vorfalls dürften auch jetzt nicht ansatzweise absehbar sein. Der Hack liegt bereits mehrere Jahre zurück und wer die Angreifer waren und vor allem, wie es ihnen gelungen ist, in das System eizugringen und die Daten zu stehlen, ist nicht bekannt. Yahoo vermutete dahinter einen „staatlich finanzierten“ Angreifer. Konkrete Belege hierfür gibt es allerdings derzeit nicht.

Was kann der Nutzer jetzt noch tun?
In der Regel sofort in das eigene Konto einloggen und alle Zugänge mit neuen Passwörtern versehen. Im konkreten Fall sollte jeder, der sein Yahoo-Konto (oder Flickr-Konto) noch nutzt, sein Passwort ändern – wenn das seit 2013 nicht eh schon erfolgt ist. Dies ist umso wichtiger, wenn das gleiche Passwort auch bei anderen Diensten genutzt wird. Außerdem der obligatorische Hinweis: Wie man ein starkes Passwort auswählt und wie man es sich dann trotzdem noch merken kann, erfährt man hier.

Data Breach nach der DSGVO
Auch im Hinblick auf die anstehenden Änderungen durch die Datenschutz-Grundverordnung ist der Fall von Yahoo von Interesse. Das Unternehmen scheint keine effizienten Prozesse zur Erkennung und Meldung von einem solchen Data Breach eingerichtet zu haben. Es ist davon auszugehen, dass intern bereits länger Kenntnis über den Vorfall bestanden hat.

Ein so langes Abwarten mit der Meldung eines solchen Vorfalls wird ab 2018 nicht mehr möglich sein. Die DSGVO sieht eine deutlich verschärfte Meldepflicht bei Data Breaches vor. Wann eine solche Verpflichtung besteht, richtet sich nach den Art. 33 DSGVO für Meldungen an die Aufsichtsbehörde und Art. 34 DSGVO für Meldungen an die Betroffenen.

Bisher haben nach § 42a BDSG entsprechende Meldungen unverzüglich, also ohne schuldhaftes Zögern, nach Kenntniserlangung zu erfolgen.

Mit der DSGVO wird die Meldepflicht an die Aufsichtsbehörden auf 72 Stunden festgeschrieben. Erfolgt eine entsprechende Meldung erst nach Ablauf dieser Frist, muss die Verzögerung gesondert begründet werden. Und typisch für die DSGVO ist auch, dass bei einem Verstoß gegen die Pflichten aus Art. 33, 34 DSGVO durch die Aufsichtsbehörde ein Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweit erzielten Konzernumsatzes des Vorjahres sanktioniert werden kann. Damit steht die Ernsthaftigkeit dieses Themas für die Politik zweifelsfrei fest. Man kann nur hoffen, dass dies ausreichend Anreiz für Großkonzerne wie Yahoo ist, zukünftig sorgsamer mit den Daten ihrer Nutzer umzugehen.

MediaCom-Services GmbH
Druck-, Beratungs- und Medienagentur
Externer Datenschutzbeauftragter und Mitglied im DSB-Group e.V. und BvD e.V.
Neue Wiese 10
73760 Ostfildern

Fon: +49 711 50482795
Fax: +49 711 50482799
Email:
Web: www.mediacom-services.de

Geschäftsführer: Harald Kressler
Handelsregister: Stuttgart - HRB 746052
Ust-ID.: DE290658654

Socials

Fragen Sie uns

supportcWenn Sie Fragen zu unseren Services oder unseren Produkten haben, rufen Sie uns doch einfach an oder schreiben uns eine Mail.

 

Bürozeiten

Unsere Support Hotline ist für Sie erreichbar:

Tel.:  +49 (711) 5048 27-90

  • Montag-Donnerstag: 8:oo-17:oo Uhr
  • Freitag: 8:oo-15:oo Uhr