Was wusste Yahoo und wann?

Nach dem ersten Schock über das Ausmaß des Datendiebstahls bei Yahoo mit mindestens einer halbe Milliarde betroffener Nutzer rücken neue Fragen in den Vordergrund: Was wusste der Internet-Konzern und wann? Wie viel später wurden möglicherweise betroffene Menschen informiert? Und auch der amerikanische Telekom-Konzern Verizon, der das Web-Geschäft von Yahoo für 4,8 Milliarden Dollar kaufen will, stellt kritische Fragen.

Die Öffentlichkeit jedenfalls bekam erstmals Wind davon Anfang August, nachdem der Hacker "Peace" ein Paket mit angeblichen Login-Daten zu 200 Millionen Nutzerkonten für die lächerliche Summe von weniger als 2000 Dollar zum Verkauf anbot. Von Yahoo hieß es damals, man kenne die Behauptungen und prüfe. Man nahm an, die Daten könnten 2012 entwendet worden sein. Einige Stichproben der Website "Motherboard" führten zu nicht gültigen E-Mail-Adressen, Zweifel an der Echtheit der Daten kamen auf.

Yahoo erklärte noch am 9. September in einer offiziellen Mitteilung bei der Börsenaufsicht SEC zum Verizon-Deal, dem Konzern seien überhaupt keine Fälle des Diebstahls von Kundendaten Hacker-Einbrüchen bekannt. Dabei heißt es jetzt in Medienberichten, Yahoo sei den Hinweisen bereits seit Juli nachgegangen. Bei einer ersten Überprüfung der Daten habe sich der Verdacht jedoch damals nicht bestätigt, heißt es einschränkend.

Dennoch ist es gerade bei dieser Dimension des Datenlecks ungewöhnlich, dass Yahoo keine Zeitangaben zum Angriff und den eigenen Erkenntnissen aus der Untersuchung machte. Auch Verizon reagierte sichtlich verstimmt - war der Deal doch im Juli festgemacht worden, dem Monat, in dem Yahoo von dem Hack erfahren haben soll. Der Telekom-Konzern unterstrich, dass er erst seit zwei Tagen Bescheid wisse. Verizon kündigte unzweideutig an, in der Situation an seine eigenen Interessen und die seiner Aktionäre zu denken. Keiner will sich schließlich für Milliarden auch noch mögliche Kundenklagen einkaufen. Das Tech-Blog "Recode" schrieb unter Berufung auf andere Interessenten, auch sie seien bei ihrem Werben um Yahoo nicht ausführlich über einen möglichen Hack informiert worden.

Dabei war der Angriff auf Yahoo nur der jüngste in einer Reihe von Attacken auf große Unternehmen. Seit Jahren setzen Hacker US-Unternehmen zu, dabei sind die unterschiedlichsten Branchen und Firmen betroffen. Die Liste der Unternehmen, die in den vergangenen zwei Jahren zum Opfer von Online-Attacken wurden, ist lang - das Online-Auktionshaus Ebay, der Büroartikel-Anbieter Staples, die Heimwerker-Kette Home Depot, der Warenhauskonzern Target, der zweitgrößte US-Krankenversicherer Anthem sowie die größte US-Bank JPMorgan und die Telekom-Tochter T-Mobile sind nur einige Beispiele. Viele informierten deutlich ausführlicher als Yahoo bisher.