Mit einer Bilanzsumme von mehr als 2,3 Billionen US-Dollar ist JPMorgan Chase & Co. die größte Bank der USA. Vor ein paar Wochen wurden dem zweitgrößten börsennotierten Unternehmen der Welt 83 Millionen Kundendaten entwendet. Cyberkriminelle hatten unbemerkt bei Dutzenden Bankservern die höchste Ebene der administrativen Rechte erlangt. Die Verbraucher erholen sich noch von den letzten Schreckensmeldungen. Beim US-Händler Target wurden Ende letzten Jahres unzählige Kundendaten abgesaugt, auch die Baumarktkette Home Depot wurde das Opfer von Hackerangriffen. Das Unternehmen musste zugeben, dass ihre elektronischen Zahlungssysteme in rund 2.000 Geschäften in den Vereinigten Staaten und Kanada kompromittiert wurden. Die Diebe hatten es auf die sensiblen Kreditkarteninformationen der Konsumenten abgesehen.
Was kann man als Privatperson tun, wenn man Kunde einer gehackten Firma ist? Wie sollte ich darauf reagieren?
Anfang Oktober berichtete die New York Times über einen der größten Hacks der Geschichte. Die Kundendaten von 7 Millionen Firmen und 76 Millionen Privatpersonen sind schon vor Wochen unbemerkt in die Hände von Cyberkriminellen gelangt. Bei JPMorgan Chase & Co. ging man lange Zeit davon aus, dass nur eine Million Konten vom Angriff betroffen waren. Es dauerte rund einen Monat, bis das illegale Eindringen überhaupt bemerkt wurde.
Die größte Bank der USA hat aber nicht nur die Girokonto-Daten gespeichert, dort werden weitaus mehr Kundendaten vorgehalten. Angeblich sollen keine Passwörter oder Sozialversicherungsnummern entwendet worden sein. Dafür musste die Bank einräumen, dass sich die Hacker die Namen, Anschriften, Telefonnummern und E-Mail-Adressen von insgesamt 83 Millionen Kontoinhabern kopiert haben. Auch wissen die Hacker jetzt ganz genau, welche Software auf den Computern der Bank laufen. Das gibt ihnen für den nächsten Hack zahlreiche Angriffspunkte. Bis zum Austausch aller Programme werden einige Wochen vergehen. Zeit, die den Tätern bleibt, um weitere Schwachstellen zu suchen. Der Datenklau wird sich möglicherweise bald fortsetzen.
Wie tief die Cyberkriminellen tatsächlich in die technische Infrastruktur von JPMorgan Chase eingedrungen sind, ist noch immer unklar. Oder aber dies wird aus Angst vor schlechter Presse von der Bank geheim gehalten. Es entspricht der üblichen Vorgehensweise großer Konzerne wirklich nur das zuzugeben, was einem bewiesen werden kann. So gab die Bank bisher an, dass keine der Bankkonten geplündert wurden. Die erbeuteten Informationen wurden von den Tätern noch nicht benutzt, das kann sich aber noch ändern.
The Day after: Was kann ich tun?
Warum kommt es eigentlich im Moment zu so vielen Hackerangriffen? Zunächst: Das ist gar nicht der Fall. Eigentlich sind es nicht mehr als sonst auch. Wer sich aus 2012 oder 2013 die Datenschutz-Berichte anschaut, dem wird ein ähnliches Bild gezeigt. Wir müssen uns bewusst machen, dass wir in einer Zeit leben, in der immer mehr Daten generiert werden. Dazu kommt, dass IT Sicherheit zeitaufwändig ist und somit viel Geld kostet. Geld ist aber genau das, was bei Unternehmen knapp bemessen ist. Es rächt sich auf Dauer am falschen Ende zu sparen. Leider merken die Chefetagen dies erst dann, wenn es schon zu spät ist.
Was kann ich tun? Als Kunde sollte ich mir mittelfristig überlegen, ob ich einen Anbieter weiterhin mit meinen Gebühren unterstützen will, sollten Hackerangriffe erfolgreich verlaufen sein. Wir Konsumenten können in diesem Punkt nur mit dem Fuß abstimmen. Doch wenn genügend Kunden auf ihren Datenschutz achten indem sie kündigen und dem Unternehmen somit Umsätze verloren gehen, wird dieses Thema in Zukunft höher priorisiert.
Ein kritisches Auge sollte man unbedingt auf die Länge des Passworts beim Login seiner Bank werfen. Eine vierstellige Persönliche Identifikationsnummer (kurz: PIN) beim Login zum Online-Banking reicht bei weitem nicht aus, um den eigenen Online-Zugang vor Fremden zu schützen. Selbst wenn man für Überweisungen eine Transaktionsnummer (TAN) benötigt, so muss nicht jeder wissen, wie es um mein Depot, Festgeld oder mein Girokonto bestellt ist. Cyberkriminelle können sich per Brute-Force-Methode kurze Passwörter automatisch von einer Software ermitteln lassen. Umso länger ein Passwort ist, umso unwahrscheinlicher ist es, dass es Unbefugte knacken können. Das gilt auch, obwohl ein solcher Brute-Force-Angriff bei einer PIN aufgrund der Sicherheitsvorkehrungen der Banken eher unwahrscheinlich ist.
Nach dem Hack: alle Passwörter ändern!
Für den Fall, dass das eigene Kreditinstitut oder ein anderer Anbieter betroffen ist, sollte man sofort alle Passwörter ändern. Benutzen Sie dafür nicht das eigene Geburtsdatum, den Namen Ihrer Mutter, des Partners oder des Hundes. Diese Informationen kann man relativ leicht herausbekommen. Die Täter wissen so gut wie Sie, dass es Ihnen leichter fällt, sich diese Namen als Passwort zu merken. Im Idealfall sollte das neue Passwort aus mehreren Wörtern, Ziffern und aus klein und groß geschriebenen Buchstaben bestehen. Bilden Sie aus den Bestandteilen Ihres Passworts doch einfach einen einprägsamen Satz! Zum Beispiel „WennIch11AnrufeIstDiePolizeiDran“, „OhneKaffeeKommeIchUm6UhrNichtAusDemBett“ oder „IchTrauemeJedeNachtvom1.FCKoeln“ etc.
Wer sicher gehen und sich trotzdem nur ein Passwort merken will, benutzt einen Passwort Manager. Diese Software ist oftmals kostenpflichtig. Es gibt sie aber auch für Windows und macOS umsonst. Sie generiert für jeden Dienst ein eigenes Passwort, welches Sie sich nicht mehr merken müssen. Die Eingabe der Passwörter übernimmt dann die Software beim Login automatisch.
Tipp: Bei dieser Webseite können Sie überprüfen, wie sicher Ihr neues Passwort ist. Dort sind noch mehr gute Hinweise für starke Passwörter verfügbar.
Bildquellen: Adam Thomas, Meme Binge, zodman & Elias Bizannes – (CC BY 2.0).
Dieser Beitrag erschien ursprünglich am 6.10.2014 bei Stern.de.