Nach der Entdeckung des riesigen "Collection #1"-Datensatzes gestohlener Log-in-Informationen kommt nach Einschätzung der Munich Re aufwendige Schadenbegrenzung auf betroffene Unternehmen zu. "Mit Hilfe der Datensätze könnte man versuchen, sich in Mailaccounts, Bankkonten, Firmennetzwerke oder soziale Netzwerke einzuloggen", sagte am Freitag Martin Kreuzer, Cyberexperte beim Rückversicherer.

"Identitätsdiebstahl ist in hohem Maß eine Gefahr für Privatpersonen, aber auch für Unternehmen, wenn sich jemand unter dem Namen eines Mitarbeiters einloggt, die Passwörter ändert und den Zugang für den eigentlich Berechtigten sperrt." Die "Collection #1" enthält insgesamt 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter im Klartext.

45 Dollar

Die Sammlung war auf der Cloud-Plattform Mega aufgetaucht, wo er mittlerweile gelöscht ist. "Der Zugang zur gesamten Sammlung mit über 773 Millionen Datensätzen kostete 45 Dollar", sagte Kreuzer. "Da viele Menschen ihre privaten Passwörter auch beruflich nutzen, kommt man da schnell in eine unglaubliche Dimension, was alles möglich wäre. Für betroffene Unternehmen wird das sehr aufwendig die Systeme wieder zu sichern".

Die Experten des Münchner Traditionsunternehmens analysieren Internetkriminalität, da dies für das noch junge Geschäftsfeld der Cyberversicherung von großer Bedeutung ist – die Preise richten sich nach der Risikoeinschätzung. "Mit Hilfe der Datensätze könnte man versuchen, sich in Mailaccounts, Bankkonten, Firmennetzwerke oder oder soziale Netzwerke einzuloggen", sagte Kreuzer.

Die Täter seien wahrscheinlich verschiedene Cyberkriminelle, die die Sammlung über mehrere Jahre zusammen getragen hätten. "Warum das jemand veröffentlicht hat, darüber können wir nur spekulieren. Es ist erschreckend, was Sie für 45 Dollar bekommen können."

Die Identifizierung der Angreifer sei bei Cyberkriminalität unglaublich schwierig, sagte Kreuzer. "Das betrifft auch die Feststellung, ob Kriminelle oder staatliche Akteure am Werk waren. Weltweit hätten mittlerweile über 35 Staaten Cyberprogramme, auch Deutschland. "Wer sich effektiv verteidigen will, muss die Angreifer verstehen. Und wer sich verteidigen kann, hat auch die Fähigkeiten in umgekehrter Richtung."

Es gebe ein internationales Powerplay in der Cybersicherheit, bei dem die eigentlichen Akteure immer im Dunkeln blieben. "Es wird nach dem Prinzip der maximum deniability ("größtmögliche Abstreitbarkeit") verfahren, sagte Kreuzer. "Es wird immer mit dem Finger auf bestimmte Staaten gezeigt, Russland, China und Nordkorea, aber es hat noch nie einen Politiker gegeben, der gesagt hätte: Jawohl, das war unser Land." (APA, 18.1. 2019)