Hack-Check So funktioniert "Have I been pwned"

War Ihre E-Mail-Adresse Teil eines großen Datenleaks? Mit dem Online-Tool "Have I been pwned" können Sie das nachprüfen.
1 / 10

Unter https://haveibeenpwned.com/  bietet der australische Sicherheitsforscher Troy Hunt Nutzern eine Möglichkeit zu prüfen, ob ihre E-Mail-Adresse Teil bekannter großer Daten-Leaks ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält den Betreiber des Dienstes für vertrauenswürdig. Zu den Leaks, die Hunt berücksichtigt, kam es oft durch Datenlecks bei Unternehmen, nicht durch ein Fehlverhalten der Nutzer. Um ein Ergebnis angezeigt zu bekommen, tippt man seine Adresse ins Eingabefeld und klickt auf "pwned?".

Foto: HaveIbeenPwned
2 / 10

Im Idealfall folgt darauf dieser Bildschirm: "Good news - no pwnage found!" - die Adresse ist in keinem der erfassten Leaks aufgetaucht. Dass Sie unhackbar sind, bedeutet das Ganze aber natürlich auch nicht. Wenn Sie beispielsweise ein leicht zu erratendes Passwort nutzen, sind Sie immer noch leicht angreifbar. Aber, das ist die gute Nachricht, zumindest in den großen, online veröffentlichten Datenpaketen der letzten Jahre fand sich nichts zu Ihrer Adresse.

Foto: HaveIbeenPwned
3 / 10

Im schlechteren Fall stoßen Sie auf diese Seite "Oh no - pwned!". In diesem Beispiel ist eine E-Mail-Adresse im Kontext von vier von Troy Hunt erfassten Datenlecks aufgetaucht. Damit Sie erfahren, um welche es sich handelt, scrollen Sie einfach nach unten, über die drei Sicherheitstipps hinweg zum Punkt "Breaches you were pwned in".

Foto: HaveIbeenPwned
4 / 10

Wichtig: Wenn Ihnen auf "Have I been pwned" angezeigt wird, dass Sie betroffen sind, heißt das noch nicht, dass wirklich jemand unbefugt in einem Ihrer Accounts war oder dass die Daten des Accounts im Netz kursieren. Es bedeutet erst mal nur, dass eine entsprechende Gefahr besteht oder bestanden hat. Sie können sich übrigens auch kostenlos auf der Website registrieren und werden dann automatisch per E-Mail benachrichtigt, wenn Ihre E-Mail-Adresse irgendwann in einem Datenleck auftaucht. Und Sie können Ihre Adresse in einem Opt-out-Feld  eingeben, dann können andere auf der Website nicht mehr danach suchen.

Foto: HaveIbeenPwned
5 / 10

Hier haben wir heruntergescrollt: Unsere Test-E-Mail-Adresse taucht dem Dienst zufolge unter anderem im Kontext von Datenlecks bei Adobe und Patreon auf - die Accounts dort sollten also mal überprüft werden, ein Passwortwechsel dort ist sinnvoll. Unter "compromised data" wird jeweils erklärt, welche Daten bei den Firmen abgegriffen werden konnten: Bei Adobe geht es etwa um E-Mail-Adressen, Passwörter und Nutzernamen.

Foto: HaveIbeenPwned
6 / 10

Wichtig: Angreifbar waren im Zweifel die Accounts bei den genannten Diensten, es geht nicht um das E-Mail-Konto selbst. Gefährlich wird es nur, wenn bei Adobe dasselbe Passwort wie beim E-Mail-Anbieter genutzt wurde. Die Alarmglocken sollten auch dann schrillen, wenn statt Firmen wie Adobe oder Patreon Ihr E-Mail-Anbieter direkt genannt wird.

Foto: HaveIbeenPwned
7 / 10

Manche Datenlecks kann Troy Hunt nicht direkt bestimmten Firmen und Diensten zuordnen. Das ist zum Beispiel bei der "Collection #1" der Fall, die auch in unserem Test auftaucht. Hier heißt es nur allgemein, dass die E-Mail-Adresse und "Passwörter" Teil des Leaks waren. In diesem Fall sollten Sie sicherheitshalber das Passwort des Mail-Accounts selbst ändern, ebenso dass Passwort wichtiger Dienste, bei denen Sie mit der eingegebenen E-Mail-Adresse angemeldet sind.

Foto: HaveIbeenPwned
8 / 10

In unserem Fall ist die E-Mail-Adresse noch im Kontext eines sogenannten "Pastes" aufgetaucht, sie stand also mal auf einer Seite wie Pastebin, auf der kriminelle Hacker mitunter Auszüge Ihrer Beute präsentieren. Auch hier ist es schwer, aus der Angabe konkrete Schlüsse zu ziehen: Vorsichtshalber sollten Sie auch in diesem Fall das Passwort Ihres E-Mail-Accounts ändern, sowie die Passwörter wichtiger Dienste, die Sie mit genau dieser E-Mail-Adresse nutzen.

Foto: HaveIbeenPwned
9 / 10

Wenn Sie sich fragen, wie gut oder schlecht bestimmte Passwörter sind, können Sie einen weiteren Service von Troy Hunt nutzen: Unter https://haveibeenpwned.com/Passwords  können Sie ein beliebiges Passwort eingeben und bekommen dann eine Rückmeldung, wie oft es in Datenlecks auftaucht. Ein Passwort, das aus Datenlecks bekannt ist, sollten Sie nicht mehr verwenden.

Foto: HaveIbeenPwned
10 / 10

Ob man sein eigenes, aktuelles Passwort auf Troy Hunts Seite eingeben sollte, ist umstritten. Das BSI rät hier zur Vorsicht: "Passwörter sollten vertraulich behandelt werden und privat bleiben." Ein Besuch von Hunts Seite mit ein paar Beispiel-Eingaben - etwa mit Alternativpasswörtern, über deren Einsatz Sie mal nachgedacht haben - kann Ihnen trotzdem helfen, ein Gefühl davon zu bekommen, wie sicher Ihre eigenen Kennwörter sind. Einige Tipps für starke Passwörter finden Sie hier.

Foto: HaveIbeenPwned
Die Wiedergabe wurde unterbrochen.