Zugangsdaten im Netz Erneut riesige Daten-Leaks - Sind Ihre Passwörter dabei?

Eingabemaske für Passwörter auf einem Computerbildschirm.

(Foto: Daniel Hofer)
  • Das Potsdamer Hasso-Plattner-Institut für Informatik hat insgesamt 2,2 Milliarden Zugangsdaten von Bürgern im Netz entdeckt. Die vergangene Woche bekannt gewordene "Collection #1" war also erst der Anfang.
  • Auf einer Webseite des Instituts können Bürger prüfen, ob ihre Daten geleakt wurden.
  • Sollte das der Fall sein, sollten sie ihre Passwörter ändern und eventuell ihre Online-Konten mit Zwei-Faktor-Authentisierung absichern.
Von Max Muth

Das Potsdamer Hasso-Plattner-Institut (HPI) hat eine weitere gigantische Sammlung von Zugangsdaten im Netz entdeckt. Dabei handelt es sich offenbar um weitere Teile einer schon vergangene Woche öffentlich gemachten Zusammenstellung der privaten Daten, die unter dem Namen "Collection #1" veröffentlicht wurde.

Schon kurz nach den Berichten über das Datenleck vergangene Woche hatten IT-Sicherheitsforscher - unter anderem der US-Experte Brian Krebs - angemerkt, dass es sich bei Collection #1 wohl nur um einen Teil einer größeren Sammlung handelt - darauf wies schon der Name hin. IT-Sicherheitsexperten des HPI, die routinemäßig das Netz nach solchen Leaks durchsuchen, haben jetzt auch die anderen Teile der Sammlung mit den Namen "Collection #2 - #5" in einem öffentlich zugänglichen Teil des Netzes gefunden. Zusammen mit den bereits bekannten Daten von Collection #1 kommt das HPI auf mehr als 2,2 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern.

IT-Security "Collection #1" - Riesen-Leak von E-Mail-Adressen und Passwörtern aufgetaucht
Datenleck

"Collection #1" - Riesen-Leak von E-Mail-Adressen und Passwörtern aufgetaucht

Ein IT-Sicherheitsexperte hat eine gigantische Sammlung von Zugangsdaten im Netz gefunden. So können Sie prüfen, ob Sie betroffen sind.   Von Jannis Brühl und Max Muth

IT-Experten hatten bereits nach dem Auftauchen von Collection #1 davon gesprochen, dass es sich bei der Sammlung um eine Zusammenfassung älterer Leaks handelt. 90 Prozent der Zugangsdaten sollen demnach schon in anderen Datenlecks aufgetaucht waren. Das Hasso-Plattner-Institut, das seit Jahren Lecks in eine Datenbank einpflegt, kommt zu einer anderen Einschätzung. Demnach seien immerhin 750 Millionen Datensätze neu, also etwa ein Drittel.

Über Umwege kommen Hacker auch an Kontodaten

Durch die Leaks stehen Hunderte Millionen Zugangsdaten Hackern aus aller Welt zur Verfügung, um Nutzer auszuspähen oder zu versuchen, an Shopping- und Bankdaten zu kommen. Das geschieht im Falle derart großer Leaks häufig über so genanntes "credential stuffing", übersetzt etwa "Vollstopfen mit Anmeldedaten". Dabei feuern Hacker sehr lange Listen mit E-Mail-Passwort-Kombinationen automatisiert auf das Zugangssystem eines Dienstes ab, zum Beispiel auf Spotify oder E-Mail-Anbieter.

Die Software probiert selbständig, sich mit Hunderttausenden Zugangsdaten nacheinander einzuloggen. Bei dieser Masse ist die Chance nicht allzu klein, mit einigen der Kombinationen Treffer zu landen und sich Zugang zu Nutzerkonten zu verschaffen. Einer Analyse der IT-Sicherheitsfirma Shape Security vom Sommer 2018 zufolge kommen 80 Prozent der Log-in-Versuche auf Shoppingseiten von Unbefugten. Fast genauso hoch sind die Zahlen für die Webseiten von Fluggesellschaften.

Prüfen Sie, ob Sie betroffen sind

Das Hasso-Plattner-Institut betreibt eine Webseite, auf der Bürger prüfen können, ob ihre Daten in den Leaks enthalten sind. Auf der Seite müssen sie dazu einfach die zu prüfende Email-Adresse in das Suchfeld eintragen. Die Webseite gleicht diese Adresse mit den in den Leaks enthaltenen Daten ab und schickt dann eine Analyse an die angegebene E-Mail-Adresse.

Das Hasso-Plattner-Institut prüft zunächst, ob Ihre E-Mail-Adresse in den Datenlecks vorkommt. So sehen dann die Antwortmails aus.

(Foto: Screenshot / Muth)

Die Analyse zeigt, in welchem Leak die Zugangsdaten auftauchen, und welche weiteren Daten vorhanden sind. Welches Passwort betroffen ist, geht aus der Analysemail aus Sicherheitsgründen aber nicht hervor, damit Unbefugte es nicht sehen können.

Sollten die eigenen Daten von den neuen Leaks - oder älteren - betroffen sein, dann sollten Nutzer schnellstmöglich ihre Passwörter ändern. Sinvoll ist außerdem, sich bei wichtigen Plattformen, bei denen intime Daten oder Bankinformationen lagern, grundsätzlich mit Zwei-Faktor-Authentisierung anzumelden. Dabei wird mit jedem Anmeldeversuch - mit einem Zweitgerät wie einem Mobiltelefon - eine PIN generiert, die Sie zusätzlich zu ihrem Passwort eingeben müssen.

Eine ausführliche Anleitung, Daten im Netz zu schützen, lesen Sie hier:

IT-Sicherheit Zehn Regeln für Ihre digitale Sicherheit

Privatsphäre

Zehn Regeln für Ihre digitale Sicherheit

Die geleakten Datensätze zeigen: Selbst, wer sich selbst für vollkommen uninteressant hält, besitzt Daten über Dritte, die er schützen muss. Die wichtigsten Grundregeln im Überblick.   Von Simon Hurtz