Die „New York Times“ berichtet in ihrer Ausgabe vom 6. August 2014 über die Aufdeckung eines Datendiebstahls, bei dem von Online-Kriminellen rund 1,2 Milliarden digitale Identitäten in Form von Kombinationen von Benutzername und Passwort sowie mehr als 500 Millionen E-Mail-Adressen gestohlen wurden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft derzeit mit Hochdruck zusammen mit den zuständigen deutschen und amerikanischen Behörden, ob deutsche Internetnutzer und Online-Anbieter von dem Vorfall betroffen sind. Sollte die Zahl von 1,2 Milliarden gestohlener digitaler Identitäten zutreffen, so ist mit hoher Wahrscheinlichkeit davon auszugehen, dass sich auch deutsche Internetnutzer darunter befinden. Derzeit gibt es für Privatanwender keine Möglichkeit festzustellen, ob sie von dem Vorfall betroffen sind. Internetnutzer, die die Empfehlungen des BSI zum sicheren Internetsurfen berücksichtigen, haben ihrerseits das Bestmögliche getan, um ihre digitalen Identitäten zu sichern.
Online-Anbieter müssen mehr für die IT-Sicherheit ihrer Systeme tun
Den Berichten zufolge ist der Hauptansatzpunkt der Angreifer nicht der Rechner des privaten Internetnutzers, sondern liegt offenbar im Bereich der Webseiten und Datenbanken von Online-Anbietern. Das BSI ruft angesichts dieses erneuten Falles die Anbieter von Online-Diensten auf, mehr für die Sicherheit ihrer Systeme und die Sicherheit der Daten zu tun, die ihnen ihre Kunden anvertrauen. Beispielsweise sollten Daten und Datenbanken durchgängig verschlüsselt vorgehalten werden. Bekannt gewordene Schwachstellen in IT-Systemen und Software müssen rasch geschlossen werden. Darüber hinaus sollten den Nutzern sicherere Authentisierungsmöglichkeiten angeboten werden, beispielsweise eine Zwei-Faktor-Authentisierung, die über die Standard-Anmeldung per Benutzername und Passwort hinausgehen. Das BSI hat bereits 2011 ein Eckpunktepapier mit Mindestanforderungen zur Informationssicherheit bei eCommerce-Systemen veröffentlicht.