Süddeutsche Zeitung

E-Mail-Adressen und Passwörter:So checken Sie Ihre Daten nach einem Leak

  • Der australische Sicherheitsforscher Troy Hunt hat die Website haveibeenpwned.com ins Leben gerufen. Dort können Nutzer überprüfen, ob sie Opfer eines Datendiebstahls geworden sind.
  • Mozilla bietet einen Service an, der auch mit diesen Daten arbeitet, aber noch weitere Sicherheits-Features hat.
  • Auch das Potsdamer Hasso-Plattner-Institut bietet einen ähnlichen Sicherheitsdienst an.

Von Jannis Brühl und Mirjam Hauck

Troy Hunt nennt den vergangenen Donnerstag die "größten 24 Stunden aller Zeiten" für seine Webseite. Das schrieb er über ein Kurvendiagramm, das er auf Twitter postete. Es zeigt, dass seine Seite haveibeenpwned.com an dem einen Tag mehr als fünf Millionen Mal besucht wurde. Nicht schlecht für einen Einzelkämpfer.

Das Projekt des Australiers ist schlagartig zur Anlaufstelle für verunsicherte Menschen aus aller Welt geworden. Sie wollten wissen, ob ihre Daten in dem riesigen Datensatz "Collection #1" enthalten sind, in dem Hacker mehrere Datenlecks zusammengefasst haben. 770 Millionen E-Mail-Adressen und 22 Millionen Passwörter sind im Umlauf, Hunt hatte sie auf einer Cloud-Seite zum Herunterladen entdeckt (von wo sie mittlerweile verschwunden sind). Auch das Hasso-Plattner-Institut hatte die Daten gefunden.

Aber wer ist Troy Hunt, und warum sollten Nutzer auf seiner Webseite ihre E-Mail-Adresse oder ihr Passwort eingeben? Schließlich besagt eine der wichtigsten Sicherheitsregeln für das Netz, genau das niemals zu tun. Schließlich sollen Hacker nicht das eigene Passwort abgreifen und sich damit Zugriff auf E-Mails, Bankkonten oder andere Accounts verschaffen können.

Hunt, ein blonder Surfer von der Gold Coast, lächelt auf Fotos stets breit. Er ist weltweit als selbständiger Fachmann und Coach für IT-Sicherheit gefragt und hat es sich zur Aufgabe gemacht, von Datenlecks betroffenen Menschen zu helfen.

Seit 2013 versucht Hunt mit "Have I Been Pwned?", den Schaden zu begrenzen, den die immer häufiger vorkommenden großen Leaks bei Online-Diensten von Yahoo bis zur Seitensprung-Plattform "Ashley Madison" anrichten. Über die Täter, die oft noch Teenager sind, sagte Hunt dem Magazin Wired: "Die Leute horten Datenpannen und handeln damit. Als hätten sie einen Satz Spielkarten, den sie dann tauschen." Der Name seiner Seite leitet sich aus dem Internet-Slangwort "pwn" ab und bedeutet in diesem Kontext so viel wie: "Hat jemand meine Zugangsdaten übernommen, um damit Unsinn zu machen?"

Hunts eigenes Leben findet halböffentlich statt. Auf Twitter ist er im Dauerdialog mit IT-Experten und verunsicherten Bürgern, zwischendrin postet er Fotos, auf der er seiner Tochter Surfen oder Programmieren beibringt. Seine Arbeit wird offiziell von Microsoft unterstützt.

Warum soll ich meine Daten eingeben?

Hunt lädt die Datensätze, auf die er in den dunklen Ecken des Netzes stößt, in die Datenbank seiner Webseite. Sichtbar ist der Datensatz als Ganzes deshalb aber nicht. Wer seine E-Mail-Adresse eingibt, erhält die Information, ob sie Teil eines Leaks war und wenn ja, im Datensatz welches Dienstes sie sich findet, etwa dem großen Leck von Kundendaten der Softwarefirma Adobe von 2013. Dann sollte er seine Log-in-Daten bei jener Webseite oder App ändern.

Auch sein Passwort kann der Besucher auf Hunts Seite eingeben, um festzustellen, ob es kompromittiert ist und er es ändern sollte. Hunt selbst warnt davor, ein Passwort in die Seite einzugeben, das man weiter benutzen möchte. Nur wer ein schlechtes Passwort genutzt habe, könne sich hier bestätigen lassen, dass es unter Hackern im Umlauf sei und deshalb nie wieder verwendet werden sollte.

Und was, wenn sich Hacker auch Zugriff auf Hunts Datenbank verschaffen? Die dort gelagerten Passwörter sind für Angreifer unlesbar, denn sie sind mit sogenanntem SHA-1-Hashing verschlüsselt. Zudem liegen die verschlüsselten Passwörter Hunt zufolge zwar in seinem System, sind aber mit keiner weiteren Information verknüpft, anhand derer sie einem Benutzer-Konto zugeordnet werden könnten. E-Mail-Adressen und Passwörter bleiben streng voneinander getrennt. Nur Hacker, die den originalen Datensatz haben, kennen die Kombinationen aus beidem.

Hunt bietet interessierten Webseiten-Betreibern sogar an, mehr als 300 Millionen Passwörter herunterzuladen. Damit will er Gutes tun: Die heruntergeladenen Sammlungen gehackter Passwörter können sich zum Beispiel Webseitenanbieter in ihre Zugangssysteme einpflegen - als schwarze Listen. Wer bei ihnen ein neues Kennwort festlegen will, erhält dann automatisch einen Hinweis wie: "Dieses Passwort war Teil eines Datenlecks. Bitte suchen Sie sich ein neues aus." So soll die Weitergabe geleakter Passwörter zur Sicherheit im Netz beitragen.

Insgesamt hat Hunt 6,5 Milliarden Konten erfasst, die aus den Leaks von 340 Webseiten stammen. Seine Seite gilt weltweit als Goldstandard unter den Abfragediensten. Der IT-Fachmann sagte 2017 als Sachverständiger vor dem US-Kongress zum Thema Datenpannen aus. Staatliche IT-Sicherheitsbehörden in Australien und Großbritannien nutzen seine Seite, um zu überwachen, ob Regierungs-Domains in geleakten Datensätzen auftauchen. Auch die deutsche Stiftung Warentest empfahl seine Seite. Hunt kommentierte: "Ich habe noch nie von ihnen gehört, aber ihre Meinung wird offensichtlich ernst genommen."

Welche Anbieter gibt es noch?

Neben Hunts Seite gibt es weitere Dienste, bei denen Nutzer abfragen können, ob ihre Daten gestohlen wurden und im Netz aufgetaucht sind. Grundsätzlich gilt: Sie sollten stets vorsichtig sein, wo sie ihre Daten eingeben - und nur Diensten vertrauen, die von verschiedenen Quellen als seriös bewertet werden, wie die folgenden Beispiele.

  • Firefox Monitor: Mozilla betreibt seinen Firefox Monitor seit September 2018. Der Dienst nutzt die Datenbank von "Have I been pwned?", zeigt allerdings nur Angriffe und Leaks der vergangenen zwölf Monate an. Aber Mozilla bietet auf der Seite weitere Features an: Für künftige Sicherheitslecks kann man seine E-Mail-Adresse angeben. Der Nutzer wird dann informiert, wenn die eigenen Daten (wieder) im Netz aufgetaucht sind. Den Dienst gibt es mittlerweile in 26 Sprachen, im Gegensatz zu haveibeenpwned.com also auch für Nutzer, die kein Englisch sprechen. Nutzer des aktuellen Firefox-Browsers Quantum erhalten außerdem eine Nachricht, wenn sie auf einer Website surfen, die von einem Angriff oder einem Datenleck betroffen ist. Mozilla informiert den Nutzer dann direkt auf der Website über Zeitpunkt und Ausmaß des Vorfalls und rät zu einer Abfrage seines Monitors.
  • Identity Leak Checker: Das Potsdamer Hasso-Plattner-Institut (HPI) bietet mit dem Identity Leak Checker (ILC) eine weitere seriöse Abfragemöglichkeit. Auch dort müssen Nutzer Ihre E-Mail-Adressen eingeben. Sie werden dann mit den Daten von mehr als 800 Leaks abgeglichen. So wird geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse schon im Internet offengelegt wurde, also auch missbraucht werden könnte. 2018 hat das HPI nach eigenen Angaben mehr als 60 Millionen Identitäten aus 120 Datenlecks in den Identity Leak Checker aufgenommen. Die jetzt veröffentlichten Daten seien seit November in der ILC-Datenbank eingetragen.

Schlagen die eigenen E-Mail-Adressen bei einem der Dienste an, sollte das bislang verwendete Passwort sofort geändert werden. Falls es keinen Treffer in einer der Datenbanken gibt, heißt das im Umkehrschluss aber nicht, dass man nicht doch von einem Identitätsdiebstahl betroffen sein könnte. Der Angriff könnte erst kürzlich stattgefunden haben oder der Leak wurde noch nicht entdeckt.

Onlinekonten sollten generell nicht nur mit starken, sondern vor allem mit individuellen Passwörtern und möglichst einer Zwei-Faktor-Authentifizierung geschützt werden. Wer da schnell den Überblick verliert, sollte auf Passwortmanager zurückgreifen.

Wichtige Tipps für Ihre Datensicherheit lesen Sie hier:

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.4293440
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/mri/jab/vd/rus
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.