"Ich weiß, dass dein Passwort dsakljk ist." So beginnt eine Erpressungs-Mail, die im vergangenen Jahr viele Internetnutzer erhielten. Der Absender behauptet darin, sich in den Computer des Empfängers gehackt und diesen beim Besuch einer Pornowebsite gefilmt zu haben. Nur mit einer Bitcoin-Überweisung an eine angegebene Adresse könne man verhindern, dass das entsprechende Video veröffentlicht wird.

Das Video gab es nicht, es handelte sich um eine leere Drohung. Doch viele Nutzer waren verunsichert, denn das Passwort war echt. Es stammte aus einem von vielen Datenleaks, die in den vergangenen Jahren bei zahlreichen größeren Internet-Dienstanbietern auftraten. In vielen Fällen waren die Passwörter dort ungeschützt gespeichert.

2008 etwa wurde das damals noch populäre MySpace gehackt und Daten von 400 Millionen Kunden gestohlen, acht Jahre später tauchten die Daten im Internet auf. Zunächst versuchte der verantwortliche Hacker, der sich "Peace" nannte, die Daten zu verkaufen. Kurze Zeit später fand man sie jedoch auch kostenlos im Netz.

Vergleich zweier Datenleaks zeigt hohe Übereinstimmung bei Passwörtern

MySpace ist kein Einzelfall. Ähnliche Vorfälle gab es bei Yahoo, LinkedIn, Sony und Dropbox, außerdem bei weniger bekannten Services. Die Datensätze sind für Kriminelle auch heute noch leicht auffindbar, sie werden in einschlägigen Foren geteilt und enthalten Zugangsdaten zu den Services.

Worauf Angreifer dann häufig abzielen: Viele Nutzer verwenden dasselbe Passwort für zahlreiche Accounts. Bei einem Vergleich von zwei Datenleaks von Yahoo und Sony fand sich bei Mailadressen, die in beiden Leaks vorhanden waren, eine Übereinstimmung der Passwörter bei mehr als der Hälfte der Nutzer. Die Angreifer probieren dann häufig einfach aus, ob das Passwort, das bei einem Service abgegriffen wurde, auch anderswo zum Login verwenden werden kann.

Adresse von Robert Habecks Frau in einem älteren Datensatz entdeckt

Vieles spricht dafür, dass auch bei den jüngsten Datenleaks von Politikern und Prominenten solche Passwörter aus alten Datenleaks zum Einsatz kamen. Der SPIEGEL hat das auf haveibeenpwned.com überprüft, einer Website des australischen IT-Sicherheitsexperten Troy Hunt, auf der Nutzer ihre Mailadresse eingeben können. Die Website verrät einem dann, in welchen Leaks die Adresse aufgetaucht ist. Die weiteren Daten, also etwa Passwörter, erfährt man dort allerdings nicht. Das Ergebnis der Recherche: Mehrere der Politiker-Adressen tauchen schon in den Hacks auf Dropbox und andere Dienste auf, aber nicht alle.

In manchen Fällen drang der Täter stattdessen in die Konten der Angehörigen der Politiker, Prominenten und Journalisten ein: Eine Kopie aus dem Familienchat des Grünen-Vorsitzenden Robert Habeck etwa stammt offensichtlich aus dem Facebook-Account seiner Frau. Ihre E-Mail-Adresse wiederum tauchte laut haveibeenpwned.com vor knapp einem Jahr in einer Liste von 80 Millionen Login-Daten auf, die Unbekannte ins Netz gestellt hatten.

Mark Zuckerbergs Twitter-Passwort soll "dadada" gewesen sein

Ein anderer Fall von Wiederverwertung geleakter Zugangsdaten stammt aus dem Jahr 2016. Damals wurden die Twitter-Accounts einer ganzen Reihe von Prominenten gehackt - kurz nachdem die gehackten Zugangsdaten von LinkedIn auf einschlägigen Webseiten zu finden war. Auch Facebook-Besitzer Mark Zuckerberg verlor damals kurzfristig die Kontrolle über seinen Twitter-Account - er soll dafür nach Angaben der Hacker das Passwort "dadada" verwendet haben. Ein Angriff auf den Fahrdienstleister Uber fand nach Angaben des britischen Datenschutzbeauftragten statt, weil ein Entwickler von Uber ein anderswo geleaktes Passwort für seinen Account auf der Entwicklerplattform Github verwendete.

So hilfreich Dienste wie haveibeenpwned.com oder der Identity Leak Checker des Hasso-Plattner-Instituts einerseits für Nutzer sind - sie können auch von Angreifern missbraucht werden. Wer eine bestimmte Person angreifen will, kann deren Mailadresse dort eintragen und weiß dann schon einmal, ob Passwörter in einem Datenleak aufgetaucht sind. Das Datenleak zu finden, ist dann meist nicht schwer.

Für Nutzer heißt das vor allem eines: Man sollte dasselbe Passwort nicht mehrfach verwenden und am besten einen Passwortmanager nutzen. Und falls man irgendwo immer noch das Passwort verwendet, das man 2006 bei Myspace hatte, sollte man es jetzt schleunigst ändern.