Das US-amerikanische IT-Unternehmen Yahoo ist Opfer eines der größten Hackerangriffe der Geschichte geworden. Bereits im Juli 2016 hatten mehrere Quellen berichtet, dass ca. 200 Millionen Kundendatensätze des US-amerikanischen IT-Unternehmens im sog. Darknet angeboten würden.1vgl. u.a. https://motherboard.vice.com/read/yahoo-supposed-data-breach-200-million-credentials-dark-web (abgerufen am 02.11.2016)

In Deutschland besteht gem. § 42a BDSG eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte. Demnach hat eine nichtöffentliche Stelle einen Hackerangriff, bei dem personenbezogene Daten erbeutet werden, unverzüglich (ohne schuldhaftes Zögern, § 121 BGB) der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen und Maßnahmenempfehlungen zur Minderung möglicher nachteiliger Folgen abzugeben.

Doch Yahoo ließ sich zum Unwohl seiner Kunden mit einer Stellungnahme Zeit 2http://www.golem.de/news/sicherheitsluecke-yahoo-will-hack-von-mehreren-millionen-nutzern-zugeben-1609-123395.html (abgerufen am 02.11.2016) und gab erst im September 2016 bekannt, im Rahmen einer internen Untersuchung sei zu Tage gefördert worden, dass tatsächlich nicht 200 Millionen, sondern sogar mindestens 500 Millionen Kundendatensätze von Hackern erbeutet wurden 3https://yahoo.tumblr.com/post/150781911849/an-important-message-about-yahoo-user-security (abgerufen am 02.11.2016) . Der Angriff habe bereits Ende 2014 stattgefunden.

Zwar seien die Hacker nicht an Kreditkartenangaben oder Bankverbindungen gelangt. Neben Angaben wie Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum und Postleitzahl konnten sie aber auch Passwörter erbeuten. Diese lagen auf den Serversystemen von Yahoo zwar nicht im Klartext vor, jedoch waren diese teils nur mit MD5 gehasht 4http://www.searchsecurity.de/definition/MD5 (abgerufen am 02.11.2016) , sodass eine Entschlüsselung rasch möglich war 5http://www.golem.de/news/500-millionen-hack-yahoo-sparte-an-der-sicherheit-1609-123520.html (abgerufen am 02.11.2016) . Des Weiteren haben die Hacker auch sog. Sicherheitsfragen samt Antworten erlangt (also die typischen Fragen z.B. nach dem Namen des ersten Haustieres, mit denen sich vergessene Passwörter zurücksetzen lassen) 6vgl. https://www.tagesschau.de/ausland/yahoo-133.html (abgerufen am 02.11.2016) .

Laut Yahoo erfolgte der Angriff durch von staatlichen Stellen engagierte Hacker 7https://yahoo.tumblr.com/post/150781911849/an-important-message-about-yahoo-user-security (abgerufen am 02.11.2016) . Die Internet-Security Firma InfoArmor 8https://www.infoarmor.com/ (abgerufen am 02.11.2016) kam nach einer detaillierten Analyse aber zu dem Ergebnis, dass gewöhnliche Kriminelle hinter der Tat stecken 9http://www.wsj.com/articles/yahoo-hackers-were-criminals-rather-than-state-sponsored-security-firm-says-1475081065 (abgerufen am 02.11.2016) .

Der Hackerangriff könnte nach Angaben ehemaliger Yahoo-Mitarbeiter Folge zu geringer Investitionen in die Sicherheit der Produkte sein. Insbesondere die CEO des Unternehmens Marissa Mayer soll dafür verantwortlich sein, dass dem Security-Bereich nicht ausreichend Budget zur Verfügung stand, weswegen sogar zahlreiche Mitarbeiter das Unternehmen verlassen hätten 10http://www.nytimes.com/2016/09/29/technology/yahoo-data-breach-hacking.html (abgerufen am 02.11.2016) .

Fraglich ist, ob der Hackerangriff nun Auswirkungen auf die geplante Übernahme von Yahoo durch den US-amerikanischen Telekommunikationskonzern Verizon mit einem Volumen von ca. 4,8 Milliarden US-Dollar hat. Verizon hält sich hierzu bislang bedeckt. Es kann aber wohl davon ausgegangen werden, dass Verizon in den Übernahmeverhandlungen nun Druck ausüben wird 11http://www.nytimes.com/2016/09/24/technology/yahoo-hack-verizon.html?_r=0 (abgerufen am 02.11.2016) .

Referenzen   [ + ]