Have I Been Pwned? Das Geschäft mit gehackten Daten

IT-Sicherheitsexperten haben in dubiosen Foren eine große Datensammlung gefunden. Seit einigen Jahren steigt die Zahl von geleakten Informationen rasant. Auch wenn die betroffenen Daten oft als nicht relevant erscheinen, sind die Folgen schwerwiegend für alle, die ihre Konten nicht unabhängig voneinander sichern. Finden Sie in diesem Beitrag heraus, ob Ihre Daten sicher genug sind.

Im Oktober 2018 tauchte im Netz eine riesige Datensammlung von geleakten Anmeldeinformationen auf. Die Sammlung, die von dem australischen Sicherheitsforscher Troy Hunt in einem Darknet-Forum entdeckt und nach ihrem Stammverzeichnis „Collection #1“ benannt wurde, enthält über eine Milliarde Kombinationen von E-Mail-Adressen und Passwörtern. Davon kommen etwa 773 Mio. E-Mail-Adressen und 21 Mio. Passwörter einmalig vor. 

Das klingt erstmal sehr brisant, wird aber durch die Tatsache relativiert, dass die Daten wohl aus vielen verschiedenen bis zu drei Jahre alten Leaks stammen. Brian Krebs, ein Journalist für IT-Sicherheit, schreibt auf seiner Website, dass 99% der Daten aus „Collection #1“ bereits bekannt sind. Dabei beruft er sich auf Aussagen von Alex Holden, CTO der Firma Hold Security, welche auf das Aufspüren von potentiell gefährlichen Informationen und Sicherheitslücken spezialisiert ist. Krebs kontaktierte außerdem einen Verkäufer der Datensammlung und erhielt neben einem Preis – schlappe 45 US-Dollar, das entspricht 0,000002 US-Dollar pro Passwort – Informationen über weitere Pakete. Demnach wäre „Collection #1“ mit einer Größe von 87GB nur die Spitze des Eisbergs, denn der Verkäufer soll 1TB an Daten in seinem Besitz haben. Ob diese weiteren Sammlungen tatsächlich existieren, bleibt abzuwarten. 

Die letzten Jahre haben jedoch gezeigt, dass auch sehr große und seriöse Dienste wie LinkedIn, MySpace und Yahoo nicht vor Datendiebstahl gefeit sind. Obwohl das Risiko der Kompromittierung durch „Collection #1“ also nicht akut gestiegen ist, sollten die Dimensionen solcher Leaks und die Preise der eigenen Daten im Darknet Anlass geben, das Thema Informationssicherheit auch im privaten Bereich ernst zu nehmen. 

Die Gefahr der Datenleaks

Die Missbrauchsmöglichkeiten sind vielseitig. Kriminelle benutzen die E-Mail-Adressen zum Versenden von Phishing- und Scam-Mails. So versuchen sie, den Zugang zu Bankkonten, E-Mail- und Social-Media-Konten oder Diensten mit anderen sensiblen Informationen zu erhalten. Damit können sie entweder direkt finanziellen Schaden anrichten oder ihre Opfer erpressen. 

Noch interessanter sind die Kombinationen aus E-Mail-Adresse und Passwort für das sogenannte „Credential Stuffing“. Dabei füttern Angreifer einen Anmeldedienst mit den ergatterten Datenpaaren – im Falle von „Collection #1“ also über eine Milliarde Möglichkeiten. Auch wenn Anmeldedaten von einem eher unwichtigen Webdienst geleakt wurden, ist das Potential zum Missbrauch sehr hoch. Eine Studie des Hasso-Plattner-Instituts aus dem Jahr 2016 kommt zu dem Ergebnis, dass 20% der Internetnutzer identische und knapp 30% zumindest ähnliche Passwörter für verschiedene Online-Konten verwenden. Das „Credential Stuffing“ ist bei der Fülle von geleakten Informationen also in der Lage, großen Schaden bei den Betroffenen anzurichten.

Sicherheit für die privaten Daten

Es existieren verschiedene Dienste, um die Integrität der eigenen Daten zu überprüfen. Der HPI Identity Leak Checker des Hasso-Plattner-Instituts bietet dem Nutzer die Möglichkeit, die E-Mail-Adresse auf Kompromittierung zu testen. Auf der Website haveibeenpwned.com von Troy Hunt kann darüber hinaus das Passwort untersucht werden. Beide geben bei Verfügbarkeit Auskunft darüber, welche persönlichen Daten offengelegt wurden und ob das Leak durch den betroffenen Dienst verifiziert wurde. Ob man zur Überprüfung der Sicherheit der eigenen Daten genau diese auf einer Website eingeben möchte, muss man allerdings mit sich selbst ausmachen.

Falls die eigenen Daten in einer der Sammlungen auftauchen, sollte man schnellstmöglich alle gleichen oder ähnlichen Passwörter ändern – und dabei nicht auf bereits benutzte zurückgreifen. Im Internet gibt es zahlreiche Anleitungen zur Gestaltung von starken Passwörtern. Im Idealfall sollte jeder Webdienst ein eigenes Passwort erhalten. Wer mit der Verwaltung von zu vielen Anmeldedaten überfordert ist, kann auf Passwort-Manager wie KeePass, LastPass oder 1Password zurückgreifen. Diese Softwares erzeugen und speichern Passwörter in verschlüsselter Form in einem „virtuellen Tresor“. Die meisten Manager können über Erweiterungen in die üblichen Browser integriert werden, um die Bedienung zu erleichtern und zu beschleunigen. Der Zugriff erfolgt mithilfe eines Master-Passworts, welches dementsprechend besonders stark sein sollte.

Am 26.1.2012 rief der damalige Chefredakteur von Gizmodo den „Change your Password Day!“ ins Leben. Ursprünglich als Leseraktion gedacht, gewann der am 1. Februar begangene „Feiertag“ zunehmend an Bedeutung. Wenn Sie Weihnachten noch hinterhertrauern und Ostern zu weit weg erscheint, wie wäre es mit einem besinnlichen Moment vor dem PC, um die Sicherheit Ihrer Daten auf einen zeitgemäßen Stand zu bringen?