Was Unternehmen nach einem Hacker-Angriff tun sollten

Diese Woche erhielt ich eine belustigende Spam-Mail, in der mir der Absender mitteilte, er hätte mich über meine eigene Webcam gefilmt, wie ich mir ein Internet-Video angesehen hätte und dabei – in seinen Worten – etwas Spaß gehabt hätte. Gegen eine kleine Gebühr würde er dieses Video aber vernichten und ganz, ganz sicher nie jemanden zeigen.

Diese Betrugsmasche ist jetzt nicht neu. Da ich für jeden Kontakt eine eigene E-Mail-Adresse verwende, interessierte mich nur noch, welche denn für diesen Versuch verwendet wurde. Die üblichen Verdächtigen sind hier die Adresse, welche ich für eBay verwende, eine Adresse, die mal im Kontext des Online-Games Black Prophecy versehentlich öffentlich gemacht wurde oder jene Adresse, welche ich beim pleite gegangenen Versandhändler Neckermann verwendet habe und die wohl als derart wertvoll betrachtet wurde, dass man sie mehrfach aus der Konkursmasse heraus verkauft hat – übrigens ohne meine Zustimmung, so dass ich gegen jeden Verwender mit harten Bandagen vorgehe.

Ich war überrascht, eine E-Mail-Adresse zu entdecken, welche mir einmal ein Software-Hersteller im Gegenzug für eine Demo-Version seines Produktes abgenötigt hatte. Die Software selbst hatte ich nach einem kurzen Test schon wieder als für mich Unnütz von der Festplatte gelöscht, so dass außer einer einmaligen Bestätigungs-Nachricht nichts mehr in meinem Archiv zu finden war.

Ich kontaktierte den Hersteller per Facebook und informierte ihn über meine Entdeckung und bat ihn, zu prüfen, ob er vielleicht Opfer eines Datendiebstahls geworden sei. Ich erhielt aber nur die Aussage, dass man schon seit langem keinen Hacker-Angriff ausgesetzt war und man deswegen auch keinen Grund für eine entsprechende Untersuchung oder weitere Bemühungen sehe. Welcher Zeitraum ‚lange‘ umfasst, wollte man mir nicht sagen. Eben so wenig, warum ich über den letzten bekannten Hacker-Angriff keine Information erhalten hatte oder was man daraufhin unternommen hat.

Ich möchte daher folgende Empfehlung für all jene Unternehmen abgeben, welche E-Mail-Adressen oder andere Daten von anderen Menschen halten

  • Wenn Ihnen ein Angriff oder Diebstahl bekannt wird, informieren sie die entsprechenden Behörden, alle ihre Benutzer – und nicht nur die, die möglicherweise von diesem Vorgang betroffen sind, sowie die Öffentlichkeit.
  • Sollten Sie Passwörter speichern, setzen Sie diese auf einen zufälligen Wert und veranlassen Sie, dass sich ihre Benutzer ein neues, möglichst sicheres Passwort vergeben müssen.
  • Speichern Sie Zahlungsdaten, informieren Sie auch unbedingt alle betroffenen Banken über sämtlichen konkreten Fällen. Nur so können Sie verhindern, dass ihren Benutzern aufgrund ihrer Nachlässigkeit ein finanzieller Schaden entsteht.

Veröffentlicht von

Micha

Geboren 1972 bin ich nun doch schon im mittleren Alter angekommen. Entsprechend pflege ich meine Begeisterung für Computer und Videogames der 1980er und 1990er Jahre. Alles was mich sonst so beschäftigt, könnt ihr hier auf dieser Website lesen.