"Collection #1" und Co. Was tun, wenn die eigenen Daten Teil eines großen Leaks sind?

Wenn Anbieter gehackt werden oder versehentlich Daten öffentlich machen, nutzt oft auch das beste Passwort nichts: Jedem Internetnutzer kann es passieren, dass seine Daten in einem großen Leak landen. Was dann?

Die Meldungen, dass Unbekannte eine Datenbank mit Hunderten Millionen E-Mail-Adressen und Passwörtern ins Netz gestellt haben - und dass da möglicherweise noch etwas nachkommt -, verunsichert viele Internetnutzer.

Im Folgenden erklären wir, wie man mit Online-Tools herausfindet, ob man vom jetzigen oder einem älteren großen Daten-Leak betroffen ist, was man in einem solchen Fall tun sollte und wie man einen Missbrauch seiner Accounts erschwert.

Was steckt in Datensätzen wie der "Collection #1"?

Die Datensammlung "Collection #1", die jetzt Schlagzeilen macht, ist nur eines von zahlreichen kleinen und großen Datenpaketen, die in der Hackerszene kursieren. Die Informationen in der "Collection #1" scheinen aus vielen verschiedenen, überwiegend älteren Hacks und Datenlecks zu stammen, hier wurden sie nun zusammen angeboten.

Die Rede ist von insgesamt 1,16 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern, von denen 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter nur ein einziges Mal vorkommen - es geht also keineswegs nur um Standardpasswörter wie "12345".

Wichtig ist es, dabei zu beachten, dass in der Regel wohl nicht E-Mail-Adressen mit den direkt dazu gehörenden Passwörtern in der Datenbank auftauchen. Viel häufiger geht es wohl um Drittdienste, bei denen sich jemand mit seiner E-Mail-Adresse und (hoffentlich) einem extra für diesen Dienst gewählten Passwort angemeldet hat.

Was können Kriminelle mit solchen Informationen anfangen?

E-Mail-Adressen sind vor allem für Versender von Spam-Mails interessant, die ein Interesse daran haben, dass ihre Aussendungen an Empfängeradressen geschickt werden, die tatsächlich existieren. Auch Kriminelle, die Phishing-Mails verschicken, um ihren Opfern beispielsweise Zugangsdaten zu Onlinediensten, Internethändlern oder Bankkonten zu entlocken, können eine solche Adressdatenbank gut gebrauchen.

Interessant für Betrüger sind aber natürlich auch die Kombinationen aus E-Mail-Adressen und Passwörtern, selbst wenn die Daten teilweise schon älter oder nicht klar bestimmten Accounts zuzuordnen sind. Zum einen können solche Datensätze für Erpressermails genutzt werden, für Nachrichten im Stil von "Ich weiß, dass dein Passwort dsakljk ist". Mit den Informationen aus Leaks kann sich ein Erpresser durch die Nennung des Passworts Glaubwürdigkeit verschaffen, etwa, wenn er behauptet, persönliche Daten des Opfers kopiert oder ihn etwa beim Anschauen von Pornoseiten gefilmt zu haben.

Zum anderen können Kriminelle mit solchen E-Mail-Passwort-Kombinationen auf die Jagd nach neuen Daten gehen. Denn viele Internetnutzer benutzen aus Faulheit bei mehreren Online-Angeboten dasselbe Passwort. Mit einem einfachen Skript, dass die per Daten-Leak bekannt gewordene Kombination bei Dutzenden oder Hunderten Websites ausprobiert, können Kriminelle leicht Zugang zu weiteren Online-Konten der Betroffenen bekommen.

Wie finde ich heraus, ob ich betroffen bin?

Es gibt einige Internetdienste, die Daten-Leaks wie die "Collection #1" systematisch erfassen und Nutzern die Möglichkeit bieten, abzufragen, ob Ihre E-Mail-Adresse darin auftaucht. Der weltweit wohl bekannteste Dienst heißt "Have I been pwned ". Hinter dem englischsprachigen Angebot steckt der australische Sicherheitsforscher Troy Hunt.

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) heißt es auf SPIEGEL-Anfrage zu seinem Dienst: "Troy Hunt gilt als vertrauenswürdiger IT-Sicherheitsforscher, dessen Web-Angebot zur Überprüfung von E-Mail-Adressen schon länger besteht und das wir als BSI auch empfehlen können."

Wie "Have I been pwned" funktioniert, erklären wir in dieser Fotostrecke Schritt für Schritt:

Fotostrecke

Hack-Check: So funktioniert "Have I been pwned"

Foto: HaveIbeenPwned

Wenn Sie lieber ein Angebot aus Deutschland nutzen wollen, ist der "Identity Leak Checker" des Hasso-Plattner-Instituts für Digital Engineering  eine gute Alternative. Auch hier tippt man seine E-Mail-Adresse ein, anders als bei "Have I been pwned" bekommt man hier allerdings per E-Mail an die angegebene Adresse eine Rückmeldung. In der E-Mail erfährt man dann, ob die eigene Adresse "in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte".

"Identity Leak Checker"

"Identity Leak Checker"

Foto: HPI.de

Der Fokus der Forscher liegt beim "Identity Leak Checker" ausdrücklich auf Leaks, von denen auch deutsche Nutzer betroffen sind. Die Website selbst und die Auswertungs-E-Mails sind auf Deutsch geschrieben.

Die Daten aus der "Collection #1" sind schon seit Längerem in die Auswertung des Tools eingeflossen, teilt das Hasso-Plattner-Institut auf SPIEGEL-Anfrage mit. Der Daten-Leak, der jetzt unter dem von Troy Hunt vergebenen Namen weltweit Schlagzeilen macht, sei den Forschern seit Ende November 2018 bekannt gewesen.

Was soll ich als Betroffener tun?

Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. Dabei sollten Sie eine der Grundregeln für gute Passwörter beherzigen: Verwenden Sie jedes Passwort nur für einen Dienst. Verwenden Sie außerdem Passwörter, die für Fremde schwer zu erraten sind. Wie solche Passwörter aussehen können, erklärt dieser Artikel.

Damit der Alltagseinsatz komplizierter Passwörter leichter von der Hand geht, können Sie einen Passwortmanager wie beispielsweise KeePass einsetzen . Solche Angebote speichern zum einen Ihre Passwörter, können zum anderen aber auch komplexe Passwörter für Sie erzeugen. Dienste wie KeePass, Lastpass und 1Password haben sich in den vergangenen Jahren einen guten Ruf erarbeitet, auch weil sie auf PC und Mac, Android und iOS sowie in verschiedenen Browsern nutzbar sind.

Ist Ihre E-Mail-Adresse durch ein Leak bekannt geworden, sollten Sie bei unerwarteten E-Mails fortan sehr vorsichtig sein, das gilt besonders für Anhänge und Links.

Wie kann ich verhindern, dass meine Daten in Leaks auftauchen?

Bei den meisten großen Datenlecks sind Firmen schuld, etwa, weil sie ihre Datenbanken zu schlecht abgesichert haben. Da ist es dann im Grunde egal, wie gut oder schlecht ihr Passwort war, seine Qualität ist vor allem wichtig, wenn es konkret um ihren spezifischen Account und dessen Sicherheit geht.

Sie als Nutzer können gegen solche Datenlecks im Prinzip nichts machen, davon abgesehen vielleicht, dass sie Anbieter, die schon mehrfach wegen Problemen in den Schlagzeilen waren, meiden sollten, wie etwa Yahoo. Und natürlich sollten Sie ohnehin nur möglichst wenige heikle Informationen über sich unverschlüsselt oder schlecht geschützt im Netz stehen haben.

Ist ein geleaktes Passwort aber zwangsläufig das Ende jeder Account-Sicherheit? Nein. Jedenfalls dann nicht, wenn Sie überall, wo es möglich ist, die sogenannte Zwei-Faktor-Authentifikation aktivieren. Dieses manchmal auch "bestätigte Anmeldung" genannte System, das ihre Accounts neben dem Passwort durch einen zweiten Code sichert, der zum Beispiel per App generiert oder per SMS aufs Handy geschickt wird, gilt bislang als vergleichsweise sicher, solange es richtig umgesetzt wird. Wie man es einrichtet, erklären wir in diesem Artikel.

Einige weitere gute Tipps zum Schutz der eigenen Daten hat Linus Neumann vom Chaos Computer Club (CCC) hier in einem Blogpost gesammelt . Anlass für seinen Artikel war der Daten-Leak von "0rbit", der vor allem Politiker, Prominente und Webstars betraf. Der Sicherheitsexperte Neumann rät zum Beispiel dazu, geheime E-Mail-Adressen, die sonst nicht zur Kommunikation genutzt werden, als Adresse zur Passwort-Wiederherstellung anzugeben.