Wie US-Unternehmen unter Hackerangriffen leiden

Ob große Einzelhändler wie Staples und Target, Finanzriesen wie JPMorgan Chase, Mobilfunker wie T-Mobile oder nun der Internet-Dino Yahoo: Cyber-Attacken machen immer mehr Unternehmen zu schaffen und gehören in den USA inzwischen fast schon zum Alltag.

Die üblichen Verdächtigen sind dabei meist Hacker im Auftrag anderer Staaten, häufig werden Russland und China als Übeltäter genannt. Trotz der zunehmenden Bedrohung sind viele Firmen immer noch nicht ausreichend gegen Angriffe aus dem Internet gerüstet.

«Wir haben bestätigt, dass dem Unternehmen Ende 2014 eine Kopie mit bestimmten Informationen zu Nutzerkonten gestohlen wurde», teilte Yahoo am Donnerstag in einer «wichtigen Nachricht» an die User mit. Die Daten von mindestens einer halben Milliarde Nutzer seien erbeutet worden - ein Schock für das seit Jahren schwächelnde Internet-Urgestein. Immerhin: Hinweise, dass der Cyber-Eindringling noch immer sein Unwesen im Netzwerk treibe, gebe es nicht.

Doch die bisher größte Hacker-Attacke gegen ein einzelnes Unternehmen, bei der Namen und E-Mail-Adressen von mindestens 500 Millionen Nutzern entwendet wurden, könnte für Yahoo noch unangenehme Folgen haben. Der Konzern hatte erst im Juli den 4,8 Milliarden Dollar teuren Verkauf seines Web-Geschäfts an den Telekom-Riesen Verizon unter Dach und Fach gebracht. Der dürfte sich die Sicherheitsstrukturen jetzt noch einmal ganz genau anschauen und möglicherweise nachverhandeln wollen, falls der Cyber-Angriff ungeplante Sonderkosten verursachen sollte.

Yahoo ist allerdings bei Weitem keine Ausnahme. Seit Jahren setzen Hacker US-Unternehmen zu, dabei sind die unterschiedlichsten Branchen und Firmen betroffen. Die Liste der Unternehmen, die in den vergangenen zwei Jahren zum Opfer von Online-Attacken wurden, ist lang - das Online-Auktionshaus Ebay, der Büroartikel-Anbieter Staples, die Heimwerker-Kette Home Depot, der Warenhauskonzern Target, der zweitgrößte US-Krankenversicherer Anthem sowie die größte US-Bank JPMorgan und die Telekom-Tochter T-Mobile sind nur einige Beispiele.

Die Hacker machen auch vor Behörden und Institutionen nicht Halt. Auch die offizielle Internetseite der «Obamacare» genannten staatlichen Gesundheitsvorsorge wurde schon mit Schadsoftware infiltriert. Erst kürzlich sorgten im US-Wahlkampf brisante Dokumente für Schlagzeilen, die Cyber-Kriminelle von Servern der Demokratischen Partei gestohlen haben sollen. Geht es um die Frage nach den Schuldigen, so fällt der Verdacht der US-Ermittler immer wieder auf ausländische Regierungs-Hacker. Auch Yahoo geht von einem Angreifer mit staatlichem Hintergrund aus.

So werden in den USA meist Hackergruppen mit Nähe zu russischen oder chinesischen Geheimdiensten bezeichnet. Auch hierzu gibt es eine lange Vorgeschichte. Der Krankenhausbetreiber Community Health Systems etwa machte Cyber-Attacken aus China für einen Datendiebstahl von rund 4,5 Millionen Patienten im Jahr 2014 verantwortlich. Die USA und Kanada erklärten auch schon verschiedene Staatsbehörden zu Opfern. Zuletzt geriet allerdings vor allem Russland in Verdacht, das US-Ermittler unter anderem als treibende Kraft hinter den Attacken auf JPMorgan und die Partei der Demokraten vermuten.

Kreml-Chef Wladimir Putin wies vor zwei Wochen in einem Interview des US-Wirtschaftsblatts «Bloomberg Businessweek» den Verdacht von sich: «Nein, davon weiß ich nichts. Auf jeden Fall tun wir so etwas nicht auf staatlicher Ebene». Es gebe inzwischen eine Vielzahl von Hackern, die filigran und präzise genug agierten, um sich gut zu tarnen und falsche Fährten in andere Länder zu legen. «Es ist extrem schwierig, das zu überprüfen, wenn es denn überhaupt möglich ist.»

Trotz der hohen Risiken haben einer Studie des Beratungshauses NTT Com Security viele Firmen noch keine ausreichenden Maßnahmen ergriffen, um Sicherheitslücken zu schließen. Eine Umfrage unter 1000 Top-Entscheidern von Unternehmen in Europa und den USA habe ergeben, dass bislang nur 49 Prozent speziell gegen Datenverlust durch Cyber-Kriminalität und Hacker-Angriffe abgesichert seien. «Firmen wissen, was sie zu tun haben, um ihre Daten zu schützen - aber nur in der Theorie», lautet das Fazit der Analyse.