Troy Hunt nennt den vergangenen Donnerstag die "größten 24 Stunden aller Zeiten" für seine Website. Die Seite "Haveibeenpwned.com" wurde an dem Tag mehr als fünf Millionen Mal besucht. Das Projekt des Australiers ist schlagartig zur Anlaufstelle für verunsicherte Menschen aus aller Welt geworden. Sie wollten wissen, ob ihre Daten in dem riesigen Datensatz "Collection #1" enthalten sind, in dem Hacker mehrere Datenlecks zusammengefasst haben. 770 Millionen E-Mail-Adressen und 22 Millionen Passwörter sind im Umlauf, Hunt hatte sie auf einer Cloud-Seite zum Herunterladen entdeckt.
Seit 2013 versucht der IT-Sicherheitsexperte mit "Have I Been Pwned?" den Schaden zu begrenzen, den die immer häufiger vorkommenden großen Leaks bei Online-Diensten von Yahoo bis zur Seitensprung-Plattform "Ashley Madison" anrichten. Über die Täter, die oft noch Teenager sind, sagte Hunt dem Magazin Wired: "Die Leute horten Datenpannen und handeln damit. Als hätten sie einen Satz Spielkarten, den sie dann tauschen."
Troy Hunts Seite gilt weltweit als Goldstandard unter den Abfragediensten
Hunt lädt die Datensätze, auf die er in den dunklen Ecken des Netzes stößt, in die Datenbank seiner Webseite. Sichtbar ist der Datensatz als Ganzes deshalb aber nicht. Wer seine E-Mail-Adresse eingibt, erhält nur die Information, ob sie Teil eines Leaks war. Und wenn ja, im Datensatz welchen Dienstes sie sich findet, etwa dem großen Leck von Kundendaten der Softwarefirma Adobe von 2013. Dann sollte er seine Log-in-Daten bei jener Webseite oder App ändern.
Auch sein Passwort kann der Besucher auf Hunts Seite eingeben, um festzustellen, ob es kompromittiert ist und er es ändern sollte. Hunt selbst warnt davor, ein Passwort in die Seite einzugeben, das man weiter benutzen möchte. Nur wer bisher ein schlechtes Passwort genutzt habe, könne sich hier bestätigen lassen, dass es unter Hackern im Umlauf sei und deshalb nie wieder verwendet werden sollte.
Und was, wenn sich Hacker auch Zugriff auf Hunts Datenbank verschaffen? Die dort gelagerten Passwörter sind für Angreifer unlesbar, denn sie sind mit sogenanntem SHA-1-Hashing verschlüsselt. Zudem liegen die verschlüsselten Passwörter Hunt zufolge zwar in seinem System, sind aber mit keiner weiteren Information verknüpft, anhand derer sie einem Benutzerkonto zugeordnet werden könnten. E-Mail-Adressen und Passwörter bleiben streng voneinander getrennt.
Hunt bietet Webseitenbetreibern sogar an, mehr als 300 Millionen Passwörter herunterzuladen. Damit will er Gutes tun: Die Sammlungen gehackter Passwörter können zum Beispiel Webseitenanbieter in ihre Zugangssysteme einpflegen - als schwarze Listen. Wer bei ihnen ein neues Kennwort festlegen will, erhält dann automatisch einen Hinweis wie: "Dieses Passwort war Teil eines Datenlecks. Bitte suchen Sie sich ein neues aus." Insgesamt hat Hunt 6,5 Milliarden Konten erfasst, die aus den Leaks von 340 Webseiten stammen. Seine Seite gilt weltweit als Goldstandard unter den Abfragediensten. Der IT-Fachmann sagte 2017 als Sachverständiger vor dem US-Kongress zum Thema Datenpannen aus. Staatliche IT-Sicherheitsbehörden in Australien und Großbritannien nutzen seine Seite, um zu überwachen, ob Regierungs-Domains in geleakten Datensätzen auftauchen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Stiftung Warentest empfehlen seine Seite.
Neben dieser gibt es weitere Dienste, bei denen Nutzer abfragen können, ob ihre Daten im Netz aufgetaucht sind. Grundsätzlich gilt: Nutzer sollten stets vorsichtig sein, wo sie ihre Daten eingeben - und nur Diensten vertrauen, die von verschiedenen Quellen als seriös bewertet werden, wie die folgenden Beispiele.
Mozilla zum Beispiel betreibt seinen Firefox Monitor seit September 2018. Der Dienst nutzt die Datenbank von "Have I been pwned?", zeigt allerdings nur Angriffe und Leaks der vergangenen zwölf Monate an. Aber Mozilla bietet weitere Features an: Für künftige Sicherheitslecks kann der Nutzer seine E-Mail-Adresse angeben. Er wird dann informiert, wenn die eigenen Daten (wieder) im Netz aufgetaucht sind. Den Dienst gibt es mittlerweile in 26 Sprachen, also auch für Personen, die kein Englisch sprechen. Wer den aktuellen Firefox-Browsers Quantum nutzt, erhält außerdem eine Nachricht, wenn er auf einer Website surft, die von einem Angriff oder einem Datenleck betroffen ist. Mozilla informiert den Nutzer dann direkt auf der betreffenden Seite über Zeitpunkt und Ausmaß des Vorfalls und rät zu einer Abfrage seines Monitor-Programms.
Das Potsdamer Hasso-Plattner-Institut (HPI) bietet mit dem Identity Leak Checker (ILC) eine weitere seriöse Abfragemöglichkeit. Auch dort können Nutzer ihre E-Mail-Adressen eingeben. Sie werden dann mit den Daten von mehr als 800 Leaks abgeglichen. So wird geprüft, ob die E-Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse schon im Internet offengelegt wurde. Im Jahr 2018 hat das HPI nach eigenen Angaben mehr als 60 Millionen Identitäten aus 120 Datenlecks in den Identity Leak Checker aufgenommen. Die jetzt veröffentlichten Daten seien bereits seit November in der ILC-Datenbank eingetragen.
Gegen Angriffe helfen starke, individuelle Passwörter und Zwei-Faktor-Authentifizierung
Schlagen die eigenen E-Mail-Adressen bei einem der Dienste an, sollte das bislang verwendete Passwort sofort geändert werden. Falls es keinen Treffer in einer der Datenbanken gibt, heißt das im Umkehrschluss aber nicht, dass man nicht doch von einem Identitätsdiebstahl betroffen sein könnte. Der Angriff könnte erst kürzlich stattgefunden haben oder der Leak wurde noch nicht entdeckt.
Onlinekonten sollten generell nicht nur mit starken, sondern vor allem mit individuellen Passwörtern geschützt werden. Wer da schnell den Überblick verliert, sollte auf Passwortmanager zurückgreifen. Wenn möglich, sollte man auch die Zwei-Faktor-Authentifizierung nutzen. Dabei muss man seinen Anmeldeversuch noch über ein zweites Gerät bestätigen, zum Beispiel mit einem Code, den man per SMS zugeschickt bekommt.