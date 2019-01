25. Januar 2019, 15:33 Uhr Zugangsdaten im Netz Erneut riesige Daten-Leaks - Sind Ihre Passwörter dabei?

Das Potsdamer Hasso-Plattner-Institut für Informatik hat insgesamt 2,2 Milliarden Zugangsdaten von Bürgern im Netz entdeckt. Die vergangene Woche bekannt gewordene "Collection #1" war also erst der Anfang.

Auf einer Webseite des Instituts können Bürger prüfen, ob ihre Daten geleakt wurden.

Sollte das der Fall sein, sollten sie ihre Passwörter ändern und eventuell ihre Online-Konten mit Zwei-Faktor-Authentisierung absichern.

Von Max Muth

Das Potsdamer Hasso-Plattner-Institut (HPI) hat eine weitere gigantische Sammlung von Zugangsdaten im Netz entdeckt. Dabei handelt es sich offenbar um weitere Teile einer schon vergangene Woche öffentlich gemachten Zusammenstellung der privaten Daten, die unter dem Namen "Collection #1" veröffentlicht wurde.

Schon kurz nach den Berichten über das Datenleck vergangene Woche hatten IT-Sicherheitsforscher - unter anderem der US-Experte Brian Krebs - angemerkt, dass es sich bei Collection #1 wohl nur um einen Teil einer größeren Sammlung handelt - darauf wies schon der Name hin. IT-Sicherheitsexperten des HPI, die routinemäßig das Netz nach solchen Leaks durchsuchen, haben jetzt auch die anderen Teile der Sammlung mit den Namen "Collection #2 - #5" in einem öffentlich zugänglichen Teil des Netzes gefunden. Zusammen mit den bereits bekannten Daten von Collection #1 kommt das HPI auf mehr als 2,2 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern.

IT-Experten hatten bereits nach dem Auftauchen von Collection #1 davon gesprochen, dass es sich bei der Sammlung um eine Zusammenfassung älterer Leaks handelt. 90 Prozent der Zugangsdaten sollen demnach schon in anderen Datenlecks aufgetaucht waren. Das Hasso-Plattner-Institut, das seit Jahren Lecks in eine Datenbank einpflegt, kommt zu einer anderen Einschätzung. Demnach seien immerhin 750 Millionen Datensätze neu, also etwa ein Drittel.

Über Umwege kommen Hacker auch an Kontodaten

Durch die Leaks stehen Hunderte Millionen Zugangsdaten Hackern aus aller Welt zur Verfügung, um Nutzer auszuspähen oder zu versuchen, an Shopping- und Bankdaten zu kommen. Das geschieht im Falle derart großer Leaks häufig über so genanntes "credential stuffing", übersetzt etwa "Vollstopfen mit Anmeldedaten". Dabei feuern Hacker sehr lange Listen mit E-Mail-Passwort-Kombinationen automatisiert auf das Zugangssystem eines Dienstes ab, zum Beispiel auf Spotify oder E-Mail-Anbieter.

Die Software probiert selbständig, sich mit Hunderttausenden Zugangsdaten nacheinander einzuloggen. Bei dieser Masse ist die Chance nicht allzu klein, mit einigen der Kombinationen Treffer zu landen und sich Zugang zu Nutzerkonten zu verschaffen. Einer Analyse der IT-Sicherheitsfirma Shape Security vom Sommer 2018 zufolge kommen 80 Prozent der Log-in-Versuche auf Shoppingseiten von Unbefugten. Fast genauso hoch sind die Zahlen für die Webseiten von Fluggesellschaften.

Prüfen Sie, ob Sie betroffen sind

Das Hasso-Plattner-Institut betreibt eine Webseite, auf der Bürger prüfen können, ob ihre Daten in den Leaks enthalten sind. Auf der Seite müssen sie dazu einfach die zu prüfende Email-Adresse in das Suchfeld eintragen. Die Webseite gleicht diese Adresse mit den in den Leaks enthaltenen Daten ab und schickt dann eine Analyse an die angegebene E-Mail-Adresse.

Das Hasso-Plattner-Institut prüft zunächst, ob Ihre E-Mail-Adresse in den Datenlecks vorkommt. So sehen dann die Antwortmails aus. (Foto: Screenshot / Muth)

Die Analyse zeigt, in welchem Leak die Zugangsdaten auftauchen, und welche weiteren Daten vorhanden sind. Welches Passwort betroffen ist, geht aus der Analysemail aus Sicherheitsgründen aber nicht hervor, damit Unbefugte es nicht sehen können.

Sollten die eigenen Daten von den neuen Leaks - oder älteren - betroffen sein, dann sollten Nutzer schnellstmöglich ihre Passwörter ändern. Sinvoll ist außerdem, sich bei wichtigen Plattformen, bei denen intime Daten oder Bankinformationen lagern, grundsätzlich mit Zwei-Faktor-Authentisierung anzumelden. Dabei wird mit jedem Anmeldeversuch - mit einem Zweitgerät wie einem Mobiltelefon - eine PIN generiert, die Sie zusätzlich zu ihrem Passwort eingeben müssen.

