Hacker-Beute In dieser Datenbank sollte Ihr Passwort nicht auftauchen

Ein Sicherheitsexperte hat 500 Millionen Kennwörter gesammelt, die bei Datenlecks und Hackerangriffen erbeutet wurden. Alle diese Passwörter gelten als unsicher - und sollten daher auf keinen Fall genutzt werden.
Von Jörg Breithut
Passwort eingeben

Passwort eingeben

Foto: Oliver Berg/ dpa

Wer sein Passwort in dieser Datenbank  von Troy Hunt findet, sollte es dringend ändern: Der IT-Sicherheitsexperte führt ein Online-Archiv voller Zugangsdaten, die in den vergangenen Jahren bei einem Hacker-Angriff oder einem Datenleck erbeutet worden sind. Mittlerweile enthält das Archiv eine halbe Milliarde Passwörter.

Diese Kennwörter stehen teils leicht erreichbar im Netz, Computernutzern - und damit prinzipiell auch Kriminellen - fällt es also nicht schwer, sie zu finden. Geht man davon aus, dass heutige Rechner bei einer sogenannten Brute-Force-Attacke schon mal automatisiert eine Milliarde Kennwörter pro Sekunde ausprobieren können, sind die Datenbank-Inhalte im schlimmsten Fall nach kaum einer halben Sekunde abgearbeitet.

Und wenn sein Passwort irgendwo im Netz steht, hilft es dem Nutzer auch wenig, wenn er sichere Passwörter benutzt oder es mit einem Passwort-Manager erstellt hat. Retten kann ihn dann höchstens noch eine aktivierte Zwei-Faktor-Authentifizierung.

Allgemein zeigen die Daten von Troy Hunt, dass einfache Passwörter immer noch sehr beliebt sind. Wer seinen Online-Zugang etwa mit "123456" schützt, geht ein extremes Risiko ein. Mehr als 20 Millionen Mal taucht das Kennwort in Hunts Datenbank auf. Das englische "password" erscheint 3 Millionen Mal, die deutschsprachigen Begriffe "hallo" und "passwort" werden jeweils 60.000 Mal aufgelistet.

Wie man ein sicheres Passwort anlegt, das man sich auch merken kann, erklärt unsere Fotostrecke:

Fotostrecke

Computersicherheit: So erstellen Sie ein sicheres Passwort

Foto: PAWEL KOPCZYNSKI/ REUTERS

Troy Hunt hat für seine Sammlung unter anderem das Darknet durchforstet. Seine Quellen will der IT-Experte nicht nennen. Er schreibt in einem Blogbeitrag  lediglich, dass es sich um eine große Sammlung mit weit mehr Passwörtern als bei der Vorgängerversion handle. Er findet: Sobald ein Passwort auf seiner Liste mit Nutzerdaten auftaucht, sollte es niemand mehr nutzen dürfen.

Sicherheitsexperte fordert Verbot für entblößte Passwörter

Hunts Meinung nach sollten geleakte Passwörter beim Anmelden auf Web-Portalen grundsätzlich verboten werden. Es genüge nicht, die Kennwörter lediglich nach mathematischen Berechnungen auf ihre Sicherheit zu prüfen.

Diese Empfehlung deckt sich zwar mit denen von Sicherheitsbehörden wie dem National Institute of Standards and Technology. Aber da höre die Unterstützung auch schon auf, heißt es, da Online-Konzernen die wichtigste Zutat fehle: die kompromittierten Passwörter.

Fotostrecke

Von Equifax über LinkedIn bis Yahoo: Das sind die größten Hackerangriffe

Foto: TAMI CHAPPELL/ REUTERS

Online-Unternehmen bietet Hunt daher an, auf seine Datenbank zuzugreifen oder die Informationen herunterzuladen. Die Passwörter hat der Australier dafür mit der Hashfunktion SHA-1 unkenntlich gemacht. Das sei zwar kein sicherer Algorithmus, um die Kennwörter zu schützen, schreibt Hunt. Das sei aber auch nicht der Sinn. "Es geht einfach darum sicherzustellen, dass die Passwörter nicht gleich als Klartext zu sehen sind."

Ob die eigene E-Mail-Adresse oder das Lieblingspasswort bereits durchs Netz geistert, lässt sich auf der Website "Have I been pwned?"  überprüfen: Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text "Oh nein". In einer Liste zeigt sich dann, bei welchen Angriffen und Datenlecks die Zugangsdaten erbeutet worden sind.

Ein grundsätzliches Problem mit Passwörtern besteht darin, dass viele Nutzer ihre Zugangsdaten oft mehrfach verwenden. Denn eigentlich ist es in der Regel nicht so schlimm, wenn Angreifer zum Beispiel plötzlich Zugang auf den sowieso nicht mehr genutzten MySpace-Account haben. Heikel wird es aber dann, wenn sich mit demselben Passwort auch der E-Mail-Account voller privater Daten aufrufen lässt.

Mehr lesen über

Computersicherheit Kriminalität Hacker

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
5 Bilder Computersicherheit: So erstellen Sie ein sicheres Passwort
1 / 5

Mindestens zehn Zeichen verwenden

Je länger das Passwort ist, desto schwieriger wird es für Angreifer, den Zugang zu knacken. Es sollte heutzutage mindestens aus zehn Zeichen bestehen, damit gängige Computer an der Berechnung der Zeichenfolge scheitern. Ist das Passwort kürzer, kann es vergleichsweise leicht per Brute-Force-Attacke erraten werden. Und mit einer gewissen Wahrscheinlichkeit steht es auch schon längst auf öffentlichen Kennwortlisten.

Foto: PAWEL KOPCZYNSKI/ REUTERS
2 / 5

Auf Namen und Geburtsdaten verzichten

Um sich das Kennwort besser merken zu können, setzen einige Nutzer darauf, Namen oder Geburtsdaten ihrer Partner, Söhne oder Töchter als Passwort zu verwenden. Das ist keine gute Idee. Solche Informationen lassen sich zum Teil auch ohne Hacker-Tools ganz einfach herausfinden.

Foto: Frank Rumpenhorst/ dpa
3 / 5

Die Mischung machts

Auf zusammenhängende Wörter sollte man möglichst verzichten, da Hacker-Tools auch auf Lexika und Wörterbücher zugreifen. Auch einfach einzutippende Zeichenfolgen wie "1234" sind kein guter Schutz. Am sichersten sind immer noch zusammengewürfelte Zeichenfolgen aus Buchstaben, Ziffern und Sonderzeichen. Als Gedächtnisstütze kann man dazu etwa die Anfangsbuchstaben von eingängigen Sätzen verwenden, Satzzeichen einstreuen und Buchstaben wie E, B und S in Zahlen wie 3, 8 und 5 umwandeln.

Foto: SPIEGEL ONLINE
4 / 5

Immer wieder wechseln

Es ist anstrengend, aber notwendig: Da es aufgrund von Sicherheitslücken und Hackerangriffen immer wieder passieren kann, dass Nutzerinformationen ausgelesen werden, sollte man alle paar Monate das Kennwort wechseln. Das gilt auch dann, wenn es keine Berichte über ein mögliches Datenleck gibt. Denn in manchen Fällen dauert es einige Zeit, bis die Sicherheitslücke bekannt wird.

Foto: Oliver Berg/ dpa
5 / 5

Verschiedene Kennwörter verwenden, Zwei-Faktor-Authentifizierung aktivieren

Auch das sicherste Passwort ist nichts wert, wenn es durch ein Datenleck bei einer Onlineplattform entblößt wurde. Um zu verhindern, dass Angreifer mit diesen bekannt gewordenen Zugangsdaten gleich Zugriff auf mehrere Accounts haben, sollte man niemals ein Passwort mehrfach verwenden. Ebenso ist es empfehlenswert, bei wichtigen Webdiensten die sogenannte Zwei-Faktor-Authentifizierung zu aktivieren: Dann braucht es zum Einloggen mehr als nur ein erbeutetes Passwort.

Foto: SPIEGEL ONLINE
15 Bilder Von Equifax über LinkedIn bis Yahoo: Das sind die größten Hackerangriffe
1 / 15

Equifax

Bei einem Hackerangriff auf den US-Finanzdienstleister Equifax sind die Daten von möglicherweise 143 Millionen US-Verbrauchern kompromittiert worden. Die Attacke habe von Mitte Mai bis Juli 2017 gedauert, teilte das Unternehmen mit. In Hunderttausenden Fällen hätten die Kriminellen Zugriff auf sensible Daten wie Sozialversicherungs- oder Kreditkartennummern gehabt.

Equifax hatte den Einbruch eigenen Angaben zufolge im Juli bemerkt und gestoppt, aber die Betroffenen erst im September informiert. Die Angreifer hätten sich auch Zugang zu Namen, Geburtsdaten und Adressen verschafft, heißt es weiter. Die Kombination aus diesen Informationen kann es Betrügern etwa ermöglichen, Kredite in fremdem Namen aufzunehmen. Ende September trat der Firmenchef Richard Smith infolge des Skandals zurück.

Foto: TAMI CHAPPELL/ REUTERS
2 / 15

Yahoo

Unbekannte haben beim Internetkonzern Yahoo Daten von drei Milliarde Konten erbeutet - zunächst war von einer Milliarde Konten die Rede gewesen. Der Vorfall ereignete sich bereits im August 2013. Die Hacker seien dabei an persönliche Daten wie Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter gekommen, heißt es. Yahoo machte den Hackerangriff Mitte Dezember 2016 öffentlich.

Im September 2016 hatte das Unternehmen bereits eingeräumt, dass auch 2014 mindestens 500 Millionen Konten kompromittiert wurden. Auch bei dieser Attacke sollen ähnliche Daten in die Hände der Angreifer gefallen sein. Darunter auch verschlüsselte und unverschlüsselte Sicherheitsfragen samt Antworten. Yahoo vermutet hinter dem Hack einen Angreifer mit staatlichem Hintergrund.

Foto: NOAH BERGER/ REUTERS
3 / 15

Sony Pictures

Rund 50.000 aktuelle und ehemalige Mitarbeiter von Sony Pictures waren 2014 von einem Datenleck betroffen. Hacker haben zahlreiche Dokumente, die sie von einem Sony-Server erbeutet hatten, im Netz veröffentlicht. Die Dokumente enthielten Lohnabrechnungen, Geburtsdaten und Sozialversicherungsnummern. Auch Auszüge aus dem Strafregister und ärztliche Atteste von Mitarbeitern wurden veröffentlicht.

Die Angreifer hatten zudem E-Mails und Filme des Unternehmens ins Netz gestellt. Es wird vermutet, dass Nordkorea hinter dem Angriff steckt. Die Angreifer drohten Kinos mit Gewalt, wenn sie den Film "The Interview" zeigten, in dem zwei US-Journalisten den nordkoreanischen Machthaber töten sollen. Die Regierung in Pjöngjang hatte den Film zuvor scharf kritisiert.

Foto: KEVORK DJANSEZIAN/ REUTERS
4 / 15

T-Mobile

Bei einem Angriff auf einen Dienstleister der Telekom-Tochter T-Mobile erbeuteten Hacker die Daten von etwa 15 Millionen Menschen. Die Attacke auf den Dienstleister Experian, der für T-Mobile die Kreditwürdigkeit von Kunden prüft und bei der Betrugsprävention hilft, lief von September 2013 bis September 2015.

Laut T-Mobile seien komplette Datensätze mit Namen, Geburtstagen und Adressen entwendet worden. Auch Angaben zu Sozialversicherungs-, Führerschein- und Reisepassnummern seien von dem Hack betroffen. Diese seien zwar verschlüsselt gewesen, allerdings könne dieser Schutz geknackt worden sein, hieß es damals. Daten von Bankkonten und Kreditkarten seien dagegen nicht erbeutet worden.

Foto: Andrew Burton/ Getty Images
5 / 15

Office of Personnel Mangement

Bei dem Angriff auf die Personalverwaltung der US-Regierung wurden Daten von rund 21,5 Millionen Betroffenen erbeutet. Darunter waren aktuelle, ehemalige und potenzielle zukünftige Regierungsangestellte, zivile Auftragnehmer sowie deren Familien, Verwandte und Freunde.

Bei dem Großangriff auf das Office of Personnel Mangement (OPM) sind den Hackern auch die Fingerabdrücke von rund 5,6 Millionen Beschäftigten in die Hände gefallen. Der Hack ereignete sich dem OPM zufolge 2014 und wurde im Frühjahr 2015 bekannt. Die Behörde geht von einem chinesischen Spionageangriff aus.

Foto: © Gary Cameron / Reuters/ REUTERS
6 / 15

TJX

Bereits im Juli 2005 wurde die TJX, Muttergesellschaft der US-Einzelhandelsketten T.J. Maxx und Marshall, Opfer eines Cyberangriffs. Dabei erbeuteten die Hacker Nummern von 45,6 Millionen Kredit- und Bankkarten der Kunden. Den Angaben zufolge verlief der Angriff zwischen Juli 2005 und Dezember 2006.

Betroffen waren Karten, mit denen in diesem Zeitraum in Geschäften in den USA, Kanada und Puerto Rico bezahlt worden war. TJX machte den Angriff im März 2007 öffentlich. Experten zufolge handelte es sich dabei um den bis dahin größten bekannt gewordenen Zugriff auf Kartennummern.

Foto: MAX NASH/ AFP
7 / 15

Home Depot

Die US-Baumarktkette Home Depot wurde 2014 Opfer eines groß angelegten Hacks. Dabei könnten die Daten von rund 56 Millionen Kunden-Kreditkarten erbeutet worden sein, teilte das Unternehmen damals mit.

Die Angreifer hätten eine eigens entwickelte Schadsoftware eingesetzt, hieß es weiter. Die Kosten bezifferte Home Depot damals auf 48 Millionen Euro für das Geschäftsjahr.

Foto: BECK DIEFENBACH/ REUTERS
8 / 15

Dropbox

Der Speicherdienst Dropbox hat erst kürzlich eingeräumt, dass 2012 bei einem Datenleck mehr als 68 Millionen verschlüsselte Passwörter kompromittiert wurden. Im Netz war eine Datenbank mit knapp 68,7 Millionen Kombinationen aus E-Mail-Adressen und verschlüsselten Passwörtern gehandelt worden.

Dropbox hatte zunächst bestritten, Opfer eines Hackerangriffs geworden zu sein. Die Angreifer hatten offenbar Zugang zu dem Konto eines Angestellten.

Foto: Armin Weigel/ picture alliance / dpa
9 / 15

Anthem

Der US-Krankenversicherer Anthem gab Anfang 2014 bekannt, dass Hacker an Informationen über rund 80 Millionen aktuelle und ehemalige Kunden sowie Mitarbeiter gekommen seien. Die Angreifer hätten dabei unter anderem Zugriff auf Sozialversicherungsnummern, Namen, Adressen, Geburts- und Personaldaten haben können.

Laut Anthem hätte es aber keine Hinweise gegeben, dass sie auch an finanzielle oder Krankheitsdaten herangekommen seien. Nach dem Hack berichteten mehrere Anthem-Kunden über Identitätsdiebstähle.

Foto: © GUS RUELAS / Reuters/ REUTERS
10 / 15

J.P. Morgan

Bei der US-Großbank J.P. Morgan griffen Hacker im August 2014 83 Millionen Datensätze ab. Dabei seien Informationen von 76 Millionen Haushalten und sieben Millionen kleinen Unternehmen betroffen gewesen, teilte die Bank mit.

Die Angreifer hätte allerdings keinen Zugriff auf Passwörter und Kontonummern bekommen, hieß es weiter. Auch Benutzernamen, Geburtsdaten und Sozialversicherungsnummern seien nicht betroffen gewesen. Dafür wurden Namen, Adressen, Telefonnummern und E-Mail-Adressen sowie interne Informationen von J.P. Morgan abgegriffen, etwa bei welcher Abteilung der Bank die Kunden seien.

Foto: CARL COURT/ AFP
11 / 15

Vk.com

Bei dem russischen Netzwerk Vk.com sind offenbar mehr als 100 Millionen Nutzerprofile abgegriffen worden. Im Internet wird eine Datenbank zum Kauf angeboten, die Millionen Datensätze enthält. Neben dem Nutzernamen sollen darin auch noch die E-Mail-Adresse, das Passwort und die Telefonnummer stehen.

Offenbar handelt es sich um Informationen, die in den Jahren 2012 und 2013 erbeutet worden waren. Die Plattform war früher unter dem Namen VKontakte bekannt und hat eigenen Angaben zufolge mehr als 350 Millionen Nutzer.

Foto: © Sergei Karpukhin / Reuters/ REUTERS
12 / 15

LinkedIn

2012 gab es ein Datenleck bei dem sozialen Netzwerk LinkedIn. Dabei wurden die Passwörter von mehr als 100 Millionen Kunden kompromittiert. Auch diese Liste wurde später im Internet zum Kauf angeboten.

Die Daten sollen früheren Angaben zufolge mit einem Algorithmus unkenntlich gemacht worden sein. Derart verschlüsselte Daten können mit einigem Aufwand aber wiederhergestellt werden.

Foto: Jens Büttner/ dpa
13 / 15

Target

Auch die Supermarktkette Target wurde angegriffen. Dabei haben die Täter nach Angaben des Unternehmens knapp 40 Millionen Kredit- und Bank-Kartendaten erbeutet. Die Attacke geschah zwischen November und Dezember 2013. Betroffen waren vor allem die Daten der Kunden, die in diesem Zeitraum ihre Einkäufe in einer Target-Filiale mit Karte bezahlt haben.

Wochen später gab Target bekannt, dass die Hacker auch persönliche Daten von 70 Millionen Kunden abgreifen konnten, darunter Namen, E-Mail-Adressen, Wohnadressen und Telefonnummern.

Foto: JONATHAN ALCORN/ REUTERS
14 / 15

Ebay

Bei dem Hackerangriff zwischen Ende Februar und Anfang März 2014 wurde eine Datenbank mit verschlüsselten Passwörtern und anderen persönlichen Daten wie E-Mail-Adressen, Geburtstagen und Telefonnummern angezapft.

Offenbar konnten die Angreifer Log-in-Daten von Mitarbeitern abgreifen und sich so Zugang zu den Kundendaten verschaffen. Wie viele Nutzer genau betroffen waren, teilte Ebay damals nicht mit, riet aber allen 145 Millionen Nutzern dazu, ihr Passwort zu ändern.

Foto: Ebay
15 / 15

WannaCry

Im Mai 2017 machte eine Angriffswelle mit der Erpressersoftware "WannaCry", sogenannter Ransomware, Schlagzeilen. Die Software infizierte weltweit zahlreiche Windows-Computer. In Deutschland traf der Angriff unter anderem Rechner der Deutschen Bahn, so dass selbst auf Anzeigetafeln an Bahnhöfen Lösegeld-Forderungen auftauchten.

Pikant machte den Angriff unter anderem, dass "WannaCry" eine Windows-Schwachstelle ausgenutzte, die dem US-Geheimdienst NSA wohl schon lange bekannt war. Die NSA behielt dieses Wissen aber zunächst für sich, statt Microsoft zu informieren. Dann jedoch wurde der NSA Daten gestohlen, eine Gruppe namens "Shadow Brokers" stellte Informationen zur Lücke ins Netz.

Foto: HANDOUT/ REUTERS
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten