Die Meldungen, dass Unbekannte eine Datenbank mit Hunderten Millionen E-Mail-Adressen und Passwörtern ins Netz gestellt haben - und dass da möglicherweise noch etwas nachkommt -, verunsichert viele Internetnutzer.

Im Folgenden erklären wir, wie man mit Online-Tools herausfindet, ob man vom jetzigen oder einem älteren großen Daten-Leak betroffen ist, was man in einem solchen Fall tun sollte und wie man einen Missbrauch seiner Accounts erschwert.

Was steckt in Datensätzen wie der "Collection #1"?

Die Datensammlung "Collection #1", die jetzt Schlagzeilen macht, ist nur eines von zahlreichen kleinen und großen Datenpaketen, die in der Hackerszene kursieren. Die Informationen in der "Collection #1" scheinen aus vielen verschiedenen, überwiegend älteren Hacks und Datenlecks zu stammen, hier wurden sie nun zusammen angeboten.

Die Rede ist von insgesamt 1,16 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern, von denen 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter nur ein einziges Mal vorkommen - es geht also keineswegs nur um Standardpasswörter wie "12345".

Wichtig ist es dabei zu beachten, dass in der Regel wohl nicht E-Mail-Adressen mit den direkt dazu gehörigen Passwörtern in der Datenbank auftauchen. Viel häufiger geht es wohl um Drittdienste, bei denen sich jemand mit seiner E-Mail-Adresse und (hoffentlich) einem extra für diesen Dienst gewählten Passwort angemeldet hat.

Was können Kriminelle mit solchen Informationen anfangen?

E-Mail-Adressen sind vor allem für Versender von Spam-Mails interessant, die ein Interesse daran haben, dass ihre Aussendungen an Empfängeradressen geschickt werden, die tatsächlich existieren. Auch Kriminelle, die Phishing-Mails verschicken, um ihren Opfern beispielsweise Zugangsdaten zu Onlinediensten, Internethändlern oder Bankkonten zu entlocken, können eine solche Adressdatenbank gut gebrauchen.

Interessant für Betrüger sind aber natürlich auch die Kombinationen aus E-Mail-Adressen und Passwörtern, selbst wenn die Daten teilweise schon älter oder nicht klar bestimmten Accounts zuzuordnen sind. Zum einen können solche Datensätze für Erpresser-Mails genutzt werden, für Nachrichten im Stil von "Ich weiß, dass dein Passwort dsakljk ist". Mit den Informationen aus Leaks kann sich ein Erpresser durch die Nennung des Passworts Glaubwürdigkeit verschaffen, etwa, wenn er behauptet, persönliche Daten des Opfers kopiert oder ihn etwa beim Anschauen von Pornoseiten gefilmt zu haben.

Zum anderen können Kriminelle mit solchen E-Mail-Passwort-Kombinationen auf die Jagd nach neuen Daten gehen. Denn viele Internetnutzer benutzen aus Faulheit bei mehreren Online-Angeboten dasselbe Passwort. Mit einem einfachen Skript, dass die per Daten-Leak bekannt gewordene Kombination bei Dutzenden oder Hunderten Websites ausprobiert, können Kriminelle leicht Zugang zu weiteren Online-Konten der Betroffenen bekommen.

Wie finde ich heraus, ob ich betroffen bin?

Es gibt einige Internet-Dienste, die Daten-Leaks wie die "Collection #1" systematisch erfassen und Nutzern die Möglichkeit bieten, abzufragen, ob Ihre E-Mail-Adresse darin auftaucht. Der weltweit wohl bekannteste Dienst heißt "Have I been pwned". Hinter dem englischsprachigen Angebot steckt der australische Sicherheitsforscher Troy Hunt.

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) heißt es auf SPIEGEL-Anfrage zu seinem Dienst: "Troy Hunt gilt als vertrauenswürdiger IT-Sicherheitsforscher, dessen Web-Angebot zur Überprüfung von E-Mail-Adressen schon länger besteht und das wir als BSI auch empfehlen können."

Wie "Have I been pwned" funktioniert, erklären wir in dieser Fotostrecke Schritt für Schritt:

So funktioniert "Have I been pwned" Unter https://haveibeenpwned.com/ bietet der australische Sicherheitsforscher Troy Hunt Nutzern eine Möglichkeit zu prüfen, ob ihre E-Mail-Adresse Teil bekannter großer Daten-Leaks ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält den Betreiber des Dienstes für vertrauenswürdig. Zu den Leaks, die Hunt berücksichtigt, kam es oft durch Datenlecks bei Unternehmen, nicht durch ein Fehlverhalten der Nutzer. Um ein Ergebnis angezeigt zu bekommen, tippt man seine Adresse ins Eingabefeld und klickt auf "pwned?". Im Idealfall folgt darauf dieser Bildschirm: "Good news - no pwnage found!" - die Adresse ist in keinem der erfassten Leaks aufgetaucht. Dass Sie unhackbar sind, bedeutet das Ganze aber natürlich auch nicht. Wenn Sie beispielsweise ein leicht zu erratendes Passwort nutzen, sind Sie immer noch leicht angreifbar. Aber, das ist die gute Nachricht, zumindest in den großen, online veröffentlichten Datenpaketen der letzten Jahre fand sich nichts zu Ihrer Adresse. Im schlechteren Fall stoßen Sie auf diese Seite "Oh no - pwned!". In diesem Beispiel ist eine E-Mail-Adresse im Kontext von vier von Troy Hunt erfassten Datenlecks aufgetaucht. Damit Sie erfahren, um welche es sich handelt, scrollen Sie einfach nach unten, über die drei Sicherheitstipps hinweg zum Punkt "Breaches you were pwned in". Noch ein wichtiger Punkt: Wenn Ihnen auf "Have I been pwned" angezeigt wird, dass Sie betroffen sind, heißt das noch nicht, dass wirklich jemand unbefugt in einem Ihrer Accounts war oder dass die Daten des Accounts im Netz kursieren. Es bedeutet erstmal nur, dass eine entsprechende Gefahr besteht oder bestanden hat. Hier haben wir heruntergescrollt: Unsere Test-E-Mail-Adresse taucht dem Dienst zufolge unter anderem im Kontext von Datenlecks bei Adobe und Patreon auf - die Accounts dort sollten also mal überprüft werden, ein Passwortwechsel dort ist sinnvoll. Unter "compromised data" wird jeweils erklärt, welche Daten bei den Firmen abgegriffen werden konnten: Bei Adobe geht es etwa um E-Mail-Adressen, Passwörter und Nutzernamen. Wichtig: Angreifbar waren im Zweifel die Accounts bei den genannten Diensten, es geht nicht um das E-Mail-Konto selbst. Gefährlich wird es nur, wenn bei Adobe dasselbe Passwort wie beim E-Mail-Anbieter genutzt wurde. Die Alarmglocken sollten auch dann schrillen, wenn statt Firmen wie Adobe oder Patreon Ihr E-Mail-Anbieter wie beispielsweise Yahoo direkt genannt wird. Manche Datenlecks kann Troy Hunt nicht direkt bestimmten Firmen und Diensten zuordnen. Das ist zum Beispiel bei der "Collection #1" der Fall, die auch in unserem Test auftaucht. Hier heißt es nur allgemein, dass die E-Mail-Adresse und "Passwörter" Teil des Leaks waren. In diesem Fall sollten Sie sicherheitshalber das Passwort des Mail-Accounts selbst ändern, ebenso dass Passwort wichtiger Dienste, bei denen Sie mit der eingegebenen E-Mail-Adresse angemeldet sind. In unserem Fall ist die E-Mail-Adresse noch im Kontext eines sogenannten "Pastes" aufgetaucht, sie stand also mal auf einer Seite wie Pastebin, auf der kriminelle Hacker mitunter Auszüge Ihrer Beute präsentieren. Auch hier ist es schwer, aus der Angabe konkrete Schlüsse zu ziehen: Vorsichtshalber sollten Sie auch in diesem Fall das Passwort Ihres E-Mail-Accounts ändern, sowie die Passwörter wichtiger Dienste, die Sie mit genau dieser E-Mail-Adresse nutzen. Wenn Sie sich fragen, wie gut oder schlecht bestimmte Passwörter sind, können Sie einen weiteren Service von Troy Hunt nutzen: Unter https://haveibeenpwned.com/Passwords können Sie ein beliebiges Passwort eingeben und bekommen dann eine Rückmeldung, wie oft es in Datenlecks aufgetaucht. Ein Passwort, das aus Datenlecks bekannt ist, sollten Sie nicht mehr verwenden. Ob man sein eigenes, aktuelles Passwort auf Troy Hunts Seite eingeben sollte, ist umstritten. Das BSI rät hier zur Vorsicht: "Passwörter sollten vertraulich behandelt werden und privat bleiben." Ein Besuch von Hunts Seite mit ein paar Beispiel-Eingaben - etwa mit Alternativ-Passwörtern, über deren Einsatz Sie mal nachgedacht haben - kann Ihnen trotzdem helfen, ein Gefühl davon zu bekommen, wie sicher Ihre eigenen Kennwörter sind. Einige Tipps für starke Passwörter finden Sie hier.

Wenn Sie lieber ein Angebot aus Deutschland nutzen wollen, ist der "Identity Leak Checker" des Hasso-Plattner-Instituts für Digital Engineering eine gute Alternative. Auch hier tippt man seine E-Mail-Adresse ein, anders als bei "Have I been pwned" bekommt man hier allerdings per E-Mail an die angegebene Adresse eine Rückmeldung. In der E-Mail erfährt man dann, ob die eigene Adresse "in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte".

HPI.de "Identity Leak Checker"

Der Fokus der Forscher liegt beim "Identity Leak Checker" ausdrücklich auf Leaks, von denen auch deutsche Nutzer betroffen sind. Die Website selbst und die Auswertungs-E-Mails sind auf Deutsch geschrieben.

Die Daten aus der "Collection #1" sind schon seit längerem in die Auswertung des Tools eingeflossen, teilt das -Hasso Plattner-Institut auf SPIEGEL-Anfrage mit. Das Daten-Leak, der jetzt unter dem von Troy Hunt vergebenen Namen weltweit Schlagzeilen macht, sei den Forschern seit Ende November 2018 bekannt gewesen.

Was soll ich als Betroffener tun?

Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. Dabei sollten Sie eine der Grundregeln für gute Passwörter beherzigen: Verwenden Sie jedes Passwort nur für einen Dienst. Verwenden Sie außerdem Passwörter, die für Fremde schwer zu erraten sind. Wie solche Passwörter aussehen können, erklärt dieser Artikel.

Damit der Alltagseinsatz komplizierter Passwörter leichter von der Hand geht, können Sie einen Passwortmanager wie beispielsweise KeePass einsetzen. Solche Angebote speichern zum einen Ihre Passworte, können zum anderen aber auch komplexe Passwörter für Sie erzeugen. Dienste wie KeePass, Lastpass und 1Password haben sich in den vergangenen Jahren einen guten Ruf erarbeitet, auch weil sie auf PC und Mac, Android und iOS sowie in verschiedenen Browsern nutzbar sind.

Ist Ihre E-Mail-Adresse durch ein Leak bekannt geworden, sollten Sie bei unerwarteten E-Mails fortan sehr vorsichtig sein, das gilt besonders für Anhänge und Links.

Wie kann ich verhindern, dass meine Daten in Leaks auftauchen?

Bei den meisten großen Datenlecks sind Firmen schuld, etwa, weil sie ihre Datenbanken zu schlecht abgesichert haben. Da ist es dann im Grunde egal, wie gut oder schlecht ihr Passwort war, seine Qualität ist vor allem wichtig, wenn es konkret um ihren spezifischen Account und dessen Sicherheit geht.

Sie als Nutzer können gegen solche Datenlecks im Prinzip nichts machen, davon abgesehen vielleicht, dass sie Anbieter, die schon mehrfach wegen Problemen in den Schlagzeilen waren, meiden sollten, wie etwa Yahoo. Und natürlich sollten Sie ohnehin nur möglichst wenige heikle Informationen über sich unverschlüsselt oder schlecht geschützt im Netz stehen haben.

Ist ein geleaktes Passwort aber zwangsläufig das Ende jeder Account-Sicherheit? Nein. Jedenfalls dann nicht, wenn Sie überall, wo es möglich ist, die sogenannte Zwei-Faktor-Authentifizierung aktivieren. Dieses manchmal auch "bestätigte Anmeldung" genannte System, das ihre Accounts neben dem Passwort durch einen zweiten Code sichert, der zum Beispiel per App generiert oder per SMS aufs Handy geschickt wird, gilt bislang als vergleichsweise sicher, solange es richtig umgesetzt wird. Wie man es einrichtet, erklären wir in diesem Artikel.

Einige weitere gute Tipps zum Schutz der eigenen Daten hat Linus Neumann vom Chaos Computer Club (CCC) hier in einem Blogpost gesammelt. Anlass für seinen Artikel war das Daten-Leak von "0rbit", das vor allem Politiker, Prominente und Webstars betraf. Der Sicherheitsexperte Neumann rät zum Beispiel dazu, geheime E-Mail-Adressen, die sonst nicht zur Kommunikation genutzt werden, als Adresse zur Passwort-Wiederherstellung anzugeben.