Schrift:
Ansicht Home:
Netzwelt

"Collection #1" und Co.

Was tun, wenn die eigenen Daten Teil eines großen Leaks sind?

Wenn Anbieter gehackt werden oder versehentlich Daten öffentlich machen, nutzt oft auch das beste Passwort nichts: Jedem Internetnutzer kann es passieren, dass seine Daten in einem großen Leak landen. Was dann?

Getty Images/ Untitled X-Ray

Röntgenbild eines Laptops

Von und
Freitag, 18.01.2019   15:53 Uhr

Die Meldungen, dass Unbekannte eine Datenbank mit Hunderten Millionen E-Mail-Adressen und Passwörtern ins Netz gestellt haben - und dass da möglicherweise noch etwas nachkommt -, verunsichert viele Internetnutzer.

Im Folgenden erklären wir, wie man mit Online-Tools herausfindet, ob man vom jetzigen oder einem älteren großen Daten-Leak betroffen ist, was man in einem solchen Fall tun sollte und wie man einen Missbrauch seiner Accounts erschwert.

Was steckt in Datensätzen wie der "Collection #1"?

Die Datensammlung "Collection #1", die jetzt Schlagzeilen macht, ist nur eines von zahlreichen kleinen und großen Datenpaketen, die in der Hackerszene kursieren. Die Informationen in der "Collection #1" scheinen aus vielen verschiedenen, überwiegend älteren Hacks und Datenlecks zu stammen, hier wurden sie nun zusammen angeboten.

Die Rede ist von insgesamt 1,16 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern, von denen 772 Millionen E-Mail-Adressen und 21 Millionen Passwörter nur ein einziges Mal vorkommen - es geht also keineswegs nur um Standardpasswörter wie "12345".

Wichtig ist es, dabei zu beachten, dass in der Regel wohl nicht E-Mail-Adressen mit den direkt dazu gehörenden Passwörtern in der Datenbank auftauchen. Viel häufiger geht es wohl um Drittdienste, bei denen sich jemand mit seiner E-Mail-Adresse und (hoffentlich) einem extra für diesen Dienst gewählten Passwort angemeldet hat.

Was können Kriminelle mit solchen Informationen anfangen?

E-Mail-Adressen sind vor allem für Versender von Spam-Mails interessant, die ein Interesse daran haben, dass ihre Aussendungen an Empfängeradressen geschickt werden, die tatsächlich existieren. Auch Kriminelle, die Phishing-Mails verschicken, um ihren Opfern beispielsweise Zugangsdaten zu Onlinediensten, Internethändlern oder Bankkonten zu entlocken, können eine solche Adressdatenbank gut gebrauchen.

Interessant für Betrüger sind aber natürlich auch die Kombinationen aus E-Mail-Adressen und Passwörtern, selbst wenn die Daten teilweise schon älter oder nicht klar bestimmten Accounts zuzuordnen sind. Zum einen können solche Datensätze für Erpressermails genutzt werden, für Nachrichten im Stil von "Ich weiß, dass dein Passwort dsakljk ist". Mit den Informationen aus Leaks kann sich ein Erpresser durch die Nennung des Passworts Glaubwürdigkeit verschaffen, etwa, wenn er behauptet, persönliche Daten des Opfers kopiert oder ihn etwa beim Anschauen von Pornoseiten gefilmt zu haben.

Zum anderen können Kriminelle mit solchen E-Mail-Passwort-Kombinationen auf die Jagd nach neuen Daten gehen. Denn viele Internetnutzer benutzen aus Faulheit bei mehreren Online-Angeboten dasselbe Passwort. Mit einem einfachen Skript, dass die per Daten-Leak bekannt gewordene Kombination bei Dutzenden oder Hunderten Websites ausprobiert, können Kriminelle leicht Zugang zu weiteren Online-Konten der Betroffenen bekommen.

Wie finde ich heraus, ob ich betroffen bin?

Es gibt einige Internetdienste, die Daten-Leaks wie die "Collection #1" systematisch erfassen und Nutzern die Möglichkeit bieten, abzufragen, ob Ihre E-Mail-Adresse darin auftaucht. Der weltweit wohl bekannteste Dienst heißt "Have I been pwned". Hinter dem englischsprachigen Angebot steckt der australische Sicherheitsforscher Troy Hunt.

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) heißt es auf SPIEGEL-Anfrage zu seinem Dienst: "Troy Hunt gilt als vertrauenswürdiger IT-Sicherheitsforscher, dessen Web-Angebot zur Überprüfung von E-Mail-Adressen schon länger besteht und das wir als BSI auch empfehlen können."

Wie "Have I been pwned" funktioniert, erklären wir in dieser Fotostrecke Schritt für Schritt:

Wenn Sie lieber ein Angebot aus Deutschland nutzen wollen, ist der "Identity Leak Checker" des Hasso-Plattner-Instituts für Digital Engineering eine gute Alternative. Auch hier tippt man seine E-Mail-Adresse ein, anders als bei "Have I been pwned" bekommt man hier allerdings per E-Mail an die angegebene Adresse eine Rückmeldung. In der E-Mail erfährt man dann, ob die eigene Adresse "in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte".

HPI.de

"Identity Leak Checker"

Der Fokus der Forscher liegt beim "Identity Leak Checker" ausdrücklich auf Leaks, von denen auch deutsche Nutzer betroffen sind. Die Website selbst und die Auswertungs-E-Mails sind auf Deutsch geschrieben.

Die Daten aus der "Collection #1" sind schon seit Längerem in die Auswertung des Tools eingeflossen, teilt das Hasso-Plattner-Institut auf SPIEGEL-Anfrage mit. Der Daten-Leak, der jetzt unter dem von Troy Hunt vergebenen Namen weltweit Schlagzeilen macht, sei den Forschern seit Ende November 2018 bekannt gewesen.

Was soll ich als Betroffener tun?

Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. Dabei sollten Sie eine der Grundregeln für gute Passwörter beherzigen: Verwenden Sie jedes Passwort nur für einen Dienst. Verwenden Sie außerdem Passwörter, die für Fremde schwer zu erraten sind. Wie solche Passwörter aussehen können, erklärt dieser Artikel.

Damit der Alltagseinsatz komplizierter Passwörter leichter von der Hand geht, können Sie einen Passwortmanager wie beispielsweise KeePass einsetzen. Solche Angebote speichern zum einen Ihre Passwörter, können zum anderen aber auch komplexe Passwörter für Sie erzeugen. Dienste wie KeePass, Lastpass und 1Password haben sich in den vergangenen Jahren einen guten Ruf erarbeitet, auch weil sie auf PC und Mac, Android und iOS sowie in verschiedenen Browsern nutzbar sind.

Ist Ihre E-Mail-Adresse durch ein Leak bekannt geworden, sollten Sie bei unerwarteten E-Mails fortan sehr vorsichtig sein, das gilt besonders für Anhänge und Links.

Wie kann ich verhindern, dass meine Daten in Leaks auftauchen?

Bei den meisten großen Datenlecks sind Firmen schuld, etwa, weil sie ihre Datenbanken zu schlecht abgesichert haben. Da ist es dann im Grunde egal, wie gut oder schlecht ihr Passwort war, seine Qualität ist vor allem wichtig, wenn es konkret um ihren spezifischen Account und dessen Sicherheit geht.

Sie als Nutzer können gegen solche Datenlecks im Prinzip nichts machen, davon abgesehen vielleicht, dass sie Anbieter, die schon mehrfach wegen Problemen in den Schlagzeilen waren, meiden sollten, wie etwa Yahoo. Und natürlich sollten Sie ohnehin nur möglichst wenige heikle Informationen über sich unverschlüsselt oder schlecht geschützt im Netz stehen haben.

Ist ein geleaktes Passwort aber zwangsläufig das Ende jeder Account-Sicherheit? Nein. Jedenfalls dann nicht, wenn Sie überall, wo es möglich ist, die sogenannte Zwei-Faktor-Authentifikation aktivieren. Dieses manchmal auch "bestätigte Anmeldung" genannte System, das ihre Accounts neben dem Passwort durch einen zweiten Code sichert, der zum Beispiel per App generiert oder per SMS aufs Handy geschickt wird, gilt bislang als vergleichsweise sicher, solange es richtig umgesetzt wird. Wie man es einrichtet, erklären wir in diesem Artikel.

Einige weitere gute Tipps zum Schutz der eigenen Daten hat Linus Neumann vom Chaos Computer Club (CCC) hier in einem Blogpost gesammelt. Anlass für seinen Artikel war der Daten-Leak von "0rbit", der vor allem Politiker, Prominente und Webstars betraf. Der Sicherheitsexperte Neumann rät zum Beispiel dazu, geheime E-Mail-Adressen, die sonst nicht zur Kommunikation genutzt werden, als Adresse zur Passwort-Wiederherstellung anzugeben.

Lesetipp zum Thema

insgesamt 13 Beiträge
helling 18.01.2019
1. Passwort nicht auf fremden Webseiten eingeben
Kein Passwort, dass man bei HIBP eingegeben hat, sollte man mehr verwenden, egal ob es Treffer gab oder nicht, denn damit hat man es der Webseite mitgeteilt (und vielleicht hat man praktischer Weise vorher auch schon nach seiner [...]
Kein Passwort, dass man bei HIBP eingegeben hat, sollte man mehr verwenden, egal ob es Treffer gab oder nicht, denn damit hat man es der Webseite mitgeteilt (und vielleicht hat man praktischer Weise vorher auch schon nach seiner Emailadresse gesucht, dann hat man beides zusammen aus der Hand gegeben). Besser ist, man ueberprüft die Passwörter bei sich lokal auf dem eigenen Rechner, dann gibt man keine Geheimnisse frei. Das geht zB mit einem einfachen Perl-Script: https://github.com/atdotde/HIBPPasswort Dieses ist so kurz, dass man sich selbst davon überzeugen kann, dass dass Passwort nirgendwo hin gerät.
Actionscript 18.01.2019
2. Unklar
Zitat "Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. " Normalerweise gibt man die Email Adresse bei anderen Diensten [...]
Zitat "Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. " Normalerweise gibt man die Email Adresse bei anderen Diensten nur als User Name ein, und dies ist die Kontakt Adresse. Das Passwort hat aber mit der Email Adresse nichts zu tun. Der obige Satz ist daher ziemlich konfus. Wenn ich bei Firma A einen Account mit der Email Adresse als User Name und bei Firma B ebenfalls, aber nur bei Firma B wurde gehackt, brauche ich bei Firma A nichts zu ändern und ebenfalls nicht bei dem Email Provider. Wenn der Email Provider gehackt wurde, brauche ich bei den Firmen nur das Passwort zu ändern, wenn mir über Email von den Firmen ein temporäres Passwort geschickt wurde, und ich diese Passwörter immer noch benutze. In vielen Fällen kann man solche Passwörter jedoch nur einmal benutzen und muss sofort sein Passwort ändern. Man sollte sowieso bei Email Providern so wenig Daten wie möglich hinterlassen und von Zeit zu Zeit Emails löschen.
der_unbekannte 18.01.2019
3. Keine gute Empfehlung
Ein Laie kann gar nicht beurteilen was dieses Skript mit seinem Passwort macht. Das Skript ruft übrigens die Web-API https://api.pwnedpasswords.com auf. Ist somit nicht nur "lokal". Außerdem kann dieses Skript nur [...]
Zitat von hellingKein Passwort, dass man bei HIBP eingegeben hat, sollte man mehr verwenden, egal ob es Treffer gab oder nicht, denn damit hat man es der Webseite mitgeteilt (und vielleicht hat man praktischer Weise vorher auch schon nach seiner Emailadresse gesucht, dann hat man beides zusammen aus der Hand gegeben). Besser ist, man ueberprüft die Passwörter bei sich lokal auf dem eigenen Rechner, dann gibt man keine Geheimnisse frei. Das geht zB mit einem einfachen Perl-Script: https://github.com/atdotde/HIBPPasswort Dieses ist so kurz, dass man sich selbst davon überzeugen kann, dass dass Passwort nirgendwo hin gerät.
Ein Laie kann gar nicht beurteilen was dieses Skript mit seinem Passwort macht. Das Skript ruft übrigens die Web-API https://api.pwnedpasswords.com auf. Ist somit nicht nur "lokal". Außerdem kann dieses Skript nur in einer Linux-Umgebung aufgerufen werden, haben aber die wenigsten Nutzer. Für Laien ist das Angebot vom Hasso-Plattner-Institut der Uni Potsdam noch am einfachsten und vertrauenswürdigsten.
Actionscript 18.01.2019
4. Zu meinem Kommentar, verstehe jetzt.
Zitat "Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. " Gemeint ist vermutlich, dass man sich neu bei einem Dienst zB mit [...]
Zitat "Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. " Gemeint ist vermutlich, dass man sich neu bei einem Dienst zB mit seiner Email oder Facebook einloggt. Das ist zwar bequem aber eben auch gefährlich. Das sollte man auf alle Fälle vermeiden, da man dann auch noch mehr Daten an Andere verteilt bzw seine Passwörter abgibt.
Little_Nemo 18.01.2019
5. Angeschlagene Schiffe versenken, anstatt die Löcher zu stopfen
Eine Anregung für mehr Sicherheit könnte ich auch noch beitragen. SPON könnte es ermöglichen, dass man in seinem Nutzerkonto eine andere E-Mail-Adresse eingibt, damit man den geleakten Mail-Account einfach löschen kann. Die [...]
Eine Anregung für mehr Sicherheit könnte ich auch noch beitragen. SPON könnte es ermöglichen, dass man in seinem Nutzerkonto eine andere E-Mail-Adresse eingibt, damit man den geleakten Mail-Account einfach löschen kann. Die meisten Nutzerkonten erlauben das. Bei SPON hingegen geht das offenbar nicht. Oder habe ich da was übersehen?

Verwandte Themen

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP