Über 770 Millionen E-Mail-Adressen und über 20 Millionen Passwörter gestohlener Login-Daten sind im Internet aufgetaucht. Die folgenden Seiten sagen dir, ob du betroffen bist – und was du tun kannst.
Unsere Zugangsdaten stehen für unsere digitale Identität: Mit der Kombination aus zum Beispiel E-Mail-Adresse und Kennwort weisen wir uns im Web als die wahren, tatsächlichen Inhaber eines Kontos bei einem Dienst oder Shop aus.
Collection #1 Leak: an die 773 Millionen Betroffene
Das Problem: Wer unsere Zugangsdaten besitzt, kann das ebenfalls tun und sich als andere Person ausgeben. Schlimmer noch: Inzwischen werden Zugangsdaten fast täglich gestohlen und in Form von Listen entweder verkauft oder anderweitig veröffentlicht.
Aktueller Hack: 773 Millionen Datensätze tauchten auf, von Sicherheitsexperten Collection #1 genannt. Die Detailzahlen sind noch gewaltiger: Fast drei Milliarden Zeilen Daten umfasst das eigentliche Datenleck, in denen natürlich Zugangsdaten auch mehrfach vorkommen, weil „Collection #1“ aus verschiedenen Hacks zusammengebaut wurde.
Erst wenn man die Zahl auf nur einmal vorkommende Daten herunterdampft, kommt die noch immer ungeheure Zahl von 772.904.991 eindeutigen Mail-Adressen und 21.222.975 eindeutigen Passwörtern heraus.
Klar, manche Nutzer haben mehrere Mail-Adressen, aber es ist wohl keine Übertreibung, die Zahl der betroffenen Personen auf eine halbe Milliarde zu schätzen. Angesichts dieser schieren Zahl wäre es geradezu ein Wunder, wenn nicht auch du betroffen wärst.
Und das kannst du ganz einfach herausfinden – mit den folgenden Diensten:
Uni Potsdam / Hasso Plattner Institut
Der HPI Identity Leak Checker prüft mit Hilfe deiner E-Mail-Adresse, ob deine persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden und gibt an, ob weitergehende Daten (Adresse, Kreditkarten, …) geleakt wurden.
- Bedienung: Einfach die fragliche E-Mail-Adresse angeben – nach einiger Zeit trifft eine signierte Mail ein und listet jene Dienste, die betroffen sind. Mindestens bei diesen Diensten solltest du dein Passwort ändern. Eine Zeitangabe in der Spalte Datum gibt an, von wann das Passwort stammt: Wenn du seitdem dein Passwort nicht geändert hast, solltest du es jetzt ändern.
- URL: https://sec.hpi.de/ilc/
Firefox Monitor
Von Mozilla, den Machern des Browsers Firefox, kommt der Firefox Monitor: Mitte 2018 gestartet, wertet er eine Liste möglicher Lecks aus und meldet kritische Dienste auf Deutsch – auf Wunsch auch im Abo.
- Bedienung: Einfach deine E-Mail-Adresse angeben. Firefox Monitor meldet entweder, dass keine Probleme vorliegen, oder schickt dir eine Mail mit einer Liste von Leaks, in der deine Mail-Adresse gefunden wurde. Mindestens bei den genannten Webseiten solltest du dein Kennwort ändern.
- URL: https://monitor.firefox.com/
haveibeenpwned.com
Aus Australien kommt Have I Been Pwned? (engl., in etwa „Wurde ich verkauft?“). Er war einer der ersten Dienste dieser Art und er wird seit Jahren kontinuierlich entwickelt. Dort ist auch ein Abo möglich: Dann meldet sich die Site von selbst, wenn deine Zugangsdaten irgendwo geleakt wurden.
- Bedienung: Einfach deine E-Mail-Adresse angeben. haveibeenpwned.com zeigt sofort und unübersehbar, ob dieser Mailadresse gehackte Passwörter zugeordnet werden können und welche Dienste betroffen sind. Auch hier gilt: Passwort ändern, wenn ein Dienst genannt wird.
- URL: https://haveibeenpwned.com/
Wichtige Hinweise zu diesen Tools
Diese Dienste basieren darauf, dass sie selbst eine umfangreiche Datenbank mit Zugangsdaten-Paaren besitzen und auswerten. Aber: Sie fragen beim Benutzer nur die E-Mail-Adresse ab, niemals das Passwort.
Wenn ein Dienst, der vielleicht so ähnlich klingt und aussieht wie die oben genannten, sowohl Benutzername/Mail-Adresse als auch Passwort abfragt, dann handelt es sich um kriminelle Trittbrettfahrer, die auf diese Weise selbst nach Passwörtern fischen!
Was tun, wenn deine Mail-Adresse gefunden wurde?
Am Ende bleibt die Frage, was Betroffene tun sollten. Hier die Antwort:
- Keine Panik!
- Denn du bist nicht „schuld“. Die meisten Passwort-Hacks finden an der Nutzerdatenbank statt und werden durch fehlerhafte Programmierung möglich. (Dass die meisten Passwörter zu einfach sind, ist ein anderes Problem und hat mit geleakten Passwörtern wenig zu tun.)
- Wenn Dienste wie HPI Identity Leak Checker oder Firefox Monitor melden, welcher Dienst betroffen ist (Kickstarter, Dropbox, LinkedIn…), dann reicht es prinzipiell, dort sofort das Passwort zu ändern.
- Wenn klare Angaben fehlen, von welchem Dienst das geleakte Passwort stammt, solltest du sicherheitshalber alle Passwörter bei jenen Konten ändern, bei denen du die betroffene E-Mail-Adresse nutzt. Und zwar bei jedem Dienst ein anderes Passwort.
- Wiederhole also unbedingt den Test mit allen E-Mail-Adressen, die du zur Registrierung bei Diensten im Internet verwendet hast.
3 Tipps für sichere Kennwörter
- Wähle ein möglichst langes (16 Zeichen) Kennwort. Wie bei einem Zahlenschloss erhöht die Länge die Zahl der Kombinationen, die zum Knacken nötig sind. Acht Zeichen sind heute zu wenig.
- Formuliere ein möglichst komplexes Passwort mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Meide einfache Wörter oder Muster, die sich mit der Tastatur machen lassen.
- Verwende für jeden Dienst ein eigenes Passwort. Verwende auf keinen Fall ein Passwort mehrfach.
Noch mehr Tipps hier: 10 Tipps für sichere Passwörter
Weiterlesen auf Utopia.de:
- Suchmaschinen: 10 spannende Alternativen zu Google
- E-Mail-Alternativen: grüner, sicherer, werbefrei
- Grünes Webhosting: Webserver mit Ökostrom
- Grüne Apps fürs Smartphone
War dieser Artikel interessant?