Ob deutsche Nutzer betroffen sind, steht noch nicht fest. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft dies derzeit mit Hochdruck zusammen mit den amerikanischen Behörden, teilte das BSI gestern mit. "Sollte die Zahl von 1,2 Milliarden gestohlener digitaler Identitäten zutreffen, so ist mit hoher Wahrscheinlichkeit davon auszugehen, dass sich auch deutsche Internetnutzer darunter befinden", hieß es. Zuletzt hatte das BSI bei ähnlichen Ermittlungen einen Test angeboten, bei dem Nutzer überprüfen konnten, ob auch sie von dem Datenklau betroffen sind. Diesmal haben Privatnutzer dazu bisher keine Möglichkeit.

Der Branchenverband Bitkom forderte Hold Security und die US-Behörden auf, umgehend für Aufklärung zu sorgen. Jeder Internetnutzer müsse erfahren, ob seine Daten gestohlen wurden, hieß es. Hold Security wiederum war zuletzt mehrfach an der Aufdeckung spektakulärer Hacks beteiligt, verfolgt damit aber auch eigene Interessen: Das Unternehmen verkauft einen Test, mit dem Betreiber von Webseiten überprüfen können, ob auch sie betroffen sind.

Nach Angaben von Hold Security stammen die gestohlenen Daten von 420 000 Internetseiten, die auch von großen Unternehmen betrieben werden. Dort gaben die Nutzer die jetzt erbeuteten E-Mails und Passwörter ein, um ihre Profile aufzurufen. Eine Sicherheitslücke in der Datenbankabfrage soll es den Hackern ermöglicht haben, die sensiblen Informationen abzufischen. Die meisten der betroffenen Webseiten seien noch immer für weitere Attacken anfällig. Das BSI appellierte deshalb an die Anbieter von Online-Diensten, ihre Sicherheitsvorkehrungen zu verbessern. "Online-Anbieter müssen mehr für die IT-Sicherheit ihrer Systeme tun."

Das Problem: E-Mail-Konten sind im Internet die digitale Identität des Nutzers. Wer Zugriff auf die E-Mails hat, kann damit auch Passwörter beispielsweise in Online-Shops ändern und dann auf Kosten des Nutzers einkaufen gehen. Der Gründer von Hold Security, Alex Holden, erklärte, die russischen Angreifer hätten die erbeuteten Informationen bisher lediglich für den Versand von Spam-E-Mails mit Werbung oder mit Links zur Verbreitung von Schad-Programmen benutzt. Sie würden allerdings erwägen, die gestohlenen Daten zu verkaufen.

Internet-Nutzer sollten deshalb vorsorglich erneut ihre Passwörter ändern, um Betrügern zuvorzukommen. Dieses Passwort muss natürlich sicher sein. Doch darauf verzichten noch immer viele Nutzer. "Das Passwort ist immer noch die größte Schwachstelle", warnt Jan Oetjen, Geschäftsführer der beiden größten deutschen Mail-Dienste web.de und GMX. "Ein Viertel der Nutzer verwendet immer noch eines der beliebtesten 140 Passwörter, die auf jeder Hackerliste stehen."

Eine Möglichkeit, ein relativ sicheres Passwort zu finden: Einen einfachen Satz merken, dessen Anfangsbuchstaben aneinanderreihen, Zahlen und Sonderzeichen einfügen. Viele Internet-Browser bieten an, Passwörter automatisch zu speichern. Davor warnt jedoch Bitkom: "Diese Passwörter werden in der Regel unverschlüsselt auf dem Computer gespeichert."