Deutsch
English
Normalerweise sind große, illegale Sammlungen von Mailadressen und Passwörtern eine teure Handelsware. Besonders wenn Daten aktuell und umfangreich sind, zahlen Hacker, Geheimdienste und Spammer im Dark Web gutes Geld, um möglichst viele Daten für ihre Aktionen zu bekommen. Unlängst kam eine solche Sammlung unter dem Namen „Collection #1“ in Umlauf, auf die der IT-Sicherheitsexperte Troy Hunt aufmerksam wurde. Gewaltige 773 Millionen verschiedene E-Mail-Adressen plus 21 Millionen im Klartext lesbare Passwörter waren enthalten. Entsprechend viele Nutzer waren verunsichert. Eine Woche später zeigt sich: Der erste Datensatz war nur die Spitze des Eisbergs.
Während man anfangs davon ausging, „Collection #1“ mit seinen 87 Gigabyte Daten und 12000 Einzeldateien sei ein seltener Fund, tauchten binnen Wochenfrist „Collection #2“ bis „Collection #5“ auf, noch umfangreicher und mehr als 600 GB groß. Man wertet die enorme Datenmenge noch aus, mehr als 2,2 Milliarden E-Mail-Adressen mit dazugehörigen Passwörtern sind schon identifiziert. Auch hier sind nicht alle Passwörter in Klartext enthalten, mögliche Verschlüsselungen zu knacken, ist aber erfahrungsgemäß nur eine Zeitfrage. Woher diese Daten stammen, ist noch nicht sicher, man geht jedoch von unterschiedlichsten Quellen und Zeiten aus. Es sind also Firmen und Institutionen gehackt worden, die Datensätze wurden von einem Unbekannten zusammengetragen und gelangten auf unbekanntem Weg ins Internet. Da inzwischen jeder Interessent mit etwas Suchmaschinen-Einsatz an die Daten kommen kann, ist es für die Betroffenen höchste Eisenbahn, die Passwörter zu wechseln.
Das Problem für die meisten Nutzer ist, dass sie die gleiche Kombination von E-Mail-Adresse und Passwort für alle Portale und Dienste nutzen. Hat also z.B. ein Hacker die Daten eines Nutzers, wird er sogenanntes Credential Stuffing (die Übernahme von Online-Konten) versuchen. Je mehr Nutzer eine Online-Plattform hat (Amazon und Ebay sind hier immer die erste Adresse), desto wahrscheinlicher ist der Erfolg. Auch soziale Netzwerke werden gerne genutzt, um weitere Daten zu sammeln oder SPAM zu versenden. Wenn Sie auf den Profilen von Freunden plötzlich Werbung sehen sollten – dies könnte ein Betroffener sein. Da ist es auch egal, wie ausgefeilt das jeweilige Passwort ist, die Hacker haben es ja schon. Um zu sehen, wer betroffen ist, können Sie beim Hasso-Plattner-Institut vorbeischauen. Dort hat man über 8 Milliarden (!) Nutzerkonten in der Datenbank, die aus Datenleaks stammen, darunter auch die aktuellen „Collections“. Geben Sie dort Ihre E-Mail-Adresse ein und ein paar Minuten später bekommen Sie eine E-Mail mit der Nachricht, ob Ihre Adresse betroffen ist.
Was ist noch sicher, wenn die Passwörter bekannt sind?
Jeder zweite Nutzer bekommt bislang eine negative Nachricht, was heißt, dass persönliche Identitätsdaten im Internet veröffentlicht wurden. Bei einem Selbsttest gab ich alle aktuellen E-Mail-Adressen ein, zudem alle alten, derer ich irgendwo in meinen Archiven habhaft werden konnte. Ergebnis: Bis auf eine eine uralte Adresse, die sich seit mindestens 8 Jahren nicht mehr verwende, waren alle sauber. Hier hatte man wohl einen uralten Datensatz gefunden, mit dem man heute nichts mehr anfangen kann – ein gewisses Unbehagen bleibt aber. Ich gebe auch gerne zu, dass ich leicht erhöhten Puls hatte, als die Benachrichtigungen vom Hasso-Plattner-Institut eintrafen.
Betroffene sollten schnellstmöglich ihre Passwörter ändern und ihre Accounts mit starken Passwörtern sichern. Wie das geht, finden Sie in einem älteren, aber dennoch unverändert aktuellen Blog. Es gibt viele Methoden, bessere Passwörter als „1234“ oder „Passwort“ zu entwickeln und sie dann auch noch zu behalten. Generell würde ich besonders Menschen, die viel Internet unterwegs sind und sich bei vielen Portalen oder Händlern angemeldet haben, einen Passwort-Manager empfehlen. Dort muss man sich nur ein Passwort merken (für den Passwort-Tresor, in dem alle Passwörter enthalten sind), den Rest übernimmt ein gutes Passwort-Programm selbst. Es erstellt für jede Seite, bei der man sich einloggen muss, ein eigenes, kryptisches Passwort und trägt es bei Bedarf automatisch für den Nutzer ein. Und das Beste: Es erinnert sich immer an alle Passwörter, anders als wir Menschen. Es empfiehlt sich auch, Passwörter in einem bestimmten Rhythmus zu wechseln. Ich weiß, es ist nervig und dauert eine Weile (besonders, wenn man viele Accounts hat), aber nur so ist auch gegen Datenleaks wie die „Collections“ gefeit. Wo es um besonders viel Geld oder Daten geht, kann man auch die Zwei-Faktor-Authentifizierung nutzen, wo ohne Ihr Handy (oder spezielle Sicherheitsschlüssel) nichts läuft, selbst wenn man Ihre Daten kennt. Was Sie auch immer machen, ich wünsche Ihnen sichere Daten!
Was mich interessieren würde: Haben Sie schon Ihr Glück beim Hasso-Plattner-Institut (https://sec.hpi.de/ilc/search?lang=de) versucht? Gehören Sie zu den Betroffenen?
Hallo, Herr Krumrey,
Ihr Blog (wer sagt eigentlich noch Kolumne?) ist immer wieder in angenehmen Stil geschrieben, interessant und hilft vielen, sich bewusster im digitalen Bereich zu bewegen (wenn es im Einzelfall auch nur vorübergehend sein mag). Dafür immer wieder Danke!
Das Thema Passwörter gab es bei Ihnen schon öfters und auch der Hinweis auf Passwort-Manager. Dazu hatte ich in diesem Blog geschrieben, dass ich darauf verzichte und "mit einem kleinen Helferlein" meine über 250 Passwörter verwalte.
Meine Zurückhaltung gegenüber Passwortmanagern wird jetzt bestätigt durch die heute in MSN Nachrichten auf https://www.msn.com/de-de/nachrichten/digitalworking/studie-spuren-im-arbeitsspeicher-–-die-achillesferse-der-passwortmanager/ar-BBTWTgf?ocid=spartanntp
geschilderte Studie.
Ist das nicht einen "Nachklapp-Blog-Beitrag" für Ihre Fangemeinde wert?
Herzlichen Gruß
Wolfman
Danke für den Hinweis! Ich schaue mir erst mal alles an, wenn ich genug Stoff für einen interessanten Blog zusammenbekomme, kommt er ganz bestimmt. :) Ein schönes Wochenende!
Hallo Herr Krumrey, ich habe meine beiden Adressen bei web-de und Gmx geprüft und bei web-de wurde ich fündig. Allerdings war nur das Passwort betroffen, keine persönlichen Daten. Das Passwort habe ich deshalb erneuert. Seltsam finde ich, dass nur web-de betroffen war, obwohl ich sichere Passwörter aus Groß- & Kleinbuchstaben, Zahlen und Sonderzeichen verwende und beide Dienste zu 1&1 gehören. Es wundert mich, dass Gmx scheinbar sicherer ist als web-de. Soziale Netzwerke nutze ich nicht, dafür bin ich zu paranoid, aber ich speichere meine Passwörter im Opera-Browser und schreibe sie immer als Erinnerung auf einen Zettel. Außerdem nutze ich für jeden Account ein anderes Passwort, nicht wie manche, eins für alles. :-) Gruß, Ronald Jordan
Nachtrag (Ich muß mich wirklich kürzer fassen)
Ich mich schon auf Ihren nächsten Blog.
In diesem Sinne
A.N.
Zu der Frage von @Horst B. 07.02.201901:36
Es gibt die Möglichkeit Passwortmanager „Mobil“ auf einem USB-Stick zu installieren, dann hat man ihn immer dabei. Alternativ gibts auch „Token“ wie den Nitrokey oder Yubkeys, die unterstützen je nach Modell sowohl NFC für Smartphones als auch 2 Faktor Authentifizierung bzw. haben Datensafefunktionen.
Siehe hier
https://www.yubico.com/products/yubikey-hardware/
https://www.nitrokey.com/de
Natürlich sollten Sie sich im Vorfeld mit Ihrer IT-Abteilung kurzuschließen, inwiefern diese Möglichkeiten erlaubt sind.
Ich hoffe, ich konnte Ihnen dahingehend etwas weiterhelfen.
Mit freundlichen Grüßen
A.N.
Hallo Herr Krumrey,
wieder ein sehr schöner Beitrag.
Mich hat es diesmal, leider, auch wieder erwischt, die betroffenden Seiten bzw. Dienste waren allerdings eher unwichtig, die Hauptseiten sind sauber. Zudem wechsle ich meine Passwörter in unregelmäßigen Abständen mehrfach pro Jahr, so daß ich es gelassen sehe.
Und ja, es ist eine Schande, wie sorglos die Anbieter mit den Kundendaten umgehen und nicht einmal einfachste, d.h. kostengünstige Sicherheitslösungen umsetzen. Und wir Kunden müssen es ausbaden.
Zu den immer beliebteren Clouds fällt mir nur der Spruch eines Datenschützers ein: „Persönliche Daten (un)verschlüsselt in eine Cloud laden ist ungefähr so, wie wenn man einem Wildfremden seine Bankkarte nebst Geheimnummer übergibt und hofft, daß das Konto nicht leergeräumt wird.“
Und jetzt mal ehrlich: Wer würde so etwas mit seinen Bankdaten freiwillig machen? - Die Analogie zur digitalen Welt sehen leider immer noch viel zu Wenige.
Den Tipp mit Zwei-Faktor-Authentifizierung (2FA) mittels VerificationCode, also auf SMS Basis, halte ich für einerseits für gut, andererseit gilt dieses Verfahren bereits als nicht mehr sicher, siehe NIST Special Publication 800-63B.
Generell sind Passwörter auf Smartphones so eine Sache. Bei Smartphones kann man im Gegensatz zum PC/Laptop davon ausgehen, daß man als Nutzer nicht die volle Kontrolle hat, Stichwort Hidden OS und Closed Source. Zudem sind die „Großen 3“ alles PRISM-Partner. Was das jetzt für die Systemsicherheit bedeutet soll jeder für sich selbst bewerten.
Ein Blick in die Datenschutzbestimmungen von „AGM“ offenbar jedenfalls, daß alle sich mittlerweile das Recht herausnehemen, auch vertrauliche Daten hochzuladen, zu analysieren und zu speichern. Darunter fallen u.a. Passwörter und bei Win10 sogar die automatisch generierten Recovery Keys der Festplattenverschlüsselung Bitlocker!
Dazu gibt es dann noch eine ganze Menge Apps die vermeindlich nützlich und harmlos daherkommen, aber “Phishing“ in Reinstform betreiben!
Das wäre doch ein gutes Thema für einen weiteren Blog – natürlich wohl dosiert
Hallo Herr Krumrey,
also mit der Hilfe, die ich vom Hasso-Plattner-Institut bekomme, kann ich relativ wenig anfangen. Die Datenleaks von Adobe und Last.fm waren schon lange bekannt, so das man, sofern man dort angemeldet war, auch davon ausgehen konnte, das diese Einträge irgendwo gesammelt und verkauft wurden. Diese Listen wurden dann gemischt mit anderen Leaks usw. zu neuen Listen verarbeitet.
Ich habe eben in meinem Passwortsafe noch einmal nachgezählt, es sind 147 Einträge wo ich , genau wie hier bei Ashampoo gelistet bin. Jetzt habe ich keine 147 verschiedenen Passwörter, aber die soll ich alle ändern....? Hilfreicher ist dann wohl die Seite : https://haveibeenpwned.com/Passwords, wo man die einzelnen Passwörter die man benutzt auf Vorhandensein anonym abfragen kann. Natürlich hat man dann keine Sicherheit, das ein erkanntes Passwort bei einem selbst entdeckt wurde, wenn aber kein Eintrag vorliegt, kann man sich vielleicht manches an Arbeit ersparen.
Als Ergänzung oder zum Überprüfen von alten Adressen bzw. Passwörtern ist die Seite in der Tat geeignet, sie hat nur nicht alle Datensätze, über die das HPI verfügt, weshalb ich lieber das verlinkt habe. Mit 147 Passwörtern sind Sie nicht gerade der Durchschnitts-Nutzer, ich hoffe, Sie sind nur in geringem Maße betroffen und haben nicht allzu viel Arbeit damit.
Nachklapp:
In welchem Verhältnis zu dem von Ihnen genannten Prüfmechanismus beim Plattner-Institut sehen Sie die Chrome-Erweiterung von Google - siehe aktuellen Artikel von Bernd Kling in ZDNet, veröffentlich gestern auf MSN:
https://www.msn.com/de-de/nachrichten/digital/google-erweiterung-warnt-vor-gestohlenen-zugangsdaten/ar-BBTddHj?ocid=spartanntp
besser, vergleichbar oder fragwürdiger?
Bei dieser Erweiterung sind 4 Milliarden E-Mail-Adressen enthalten, beim HIP 8 Milliarden. Und was die Glaubwürdigkeit angeht: Jeder hat wohl seine eigene Meinung zu Google, ich persönlich glaube nicht, dass sie Unsinn mit den Adressen anfangen.
Moin Herr Krumrey, Moin zusammen.
Glück gehabt! Ich bin nicht "gelistet", und kann meinen Machenschaften weiterhin im Verborgenen nachgehen.
Vielen Dank für Ihren informativen Blog.
Liebe Grüße aus Flensburg
Dieter Striegel
"Im Verborgenen nachgehen", klingt ja schon geheimnisvoll, Herr Striegel! Lassen Sie sich dabei nicht erwischen! :)
Hallo Sven.
Super Artikel, habe gleich alle meine E-Mail Adressen
geprüft.
Und was denkst ? Leider falsch.
Es ist leider genau meine Haupt Email Adresse in Verbindung mit einem gekauften Programm aufgelistet.
Das gibt für mich sehr viel Arbeit, weil ich insgesamt
4 PCs, 4 Laptops, 2 Tablets und 3 Handys habe, wo natürlich genau diese gebraucht wird. ;(
Aber was solls, bin ja selber schuld.
Also dann, ran an die Geräte, und diesmal ein besseres Passwort.
Mit freundlichen Grüssen aus dem sonnigen Thailand
Hugo
Nein, eigentlich sind die Nutzer hier nicht schuld - die haben nämlich nichts falsch gemacht! Es wurden ja Firmen und Portale geknackt, die User dürfen es nur ausbaden. Aber es ist wenigstens gut, wenn Klarheit herrscht.
Ich habe auch das Problem das man meine Passwörter bestimmt leicht herausfinden kann. Ich kann mir schwere Passwörter nicht merken. Da helfen auch keine "Eselsbrücken". Deshalb wurde mir ein Passwort-Manager empfohlen. Ich kann aber damit nichts anfangen.
1. Problem: Ich bin viel unterwegs. Was nützt mir der Passwort-Manager auf meinem PC wenn ich mich mit meinem Smartphone irgendwo einloggen möchte? Klar gibt es auch Passwort-Manager als App aber die speichern meine Passwörter in einer Cloud. Laut Samsung Kundenservice den ich angerufen habe, ist das nicht sicher. Der Herr von Samsung meinte, wenn ich nicht will das jemand unbefugtes die Daten in der Cloud ließt, dann darf ich sie nicht in der Cloud speichern. Mit anderen Worten: Alles in der Samsung Cloud ist nicht sicher.
2. Problem: Ich sitze in der Arbeit am PC und möchte online schnell was bestellen. Da der PC meinem Arbeitgeber gehört, darf ich keine Software installieren. Also auch keinen Passwort-Manager. Aber das Passwort was mein Passwort-Manager kreiert hat, weiß ich nicht. Wie soll ich mich da einloggen?
Letztendlich bleibt mir nur wieder die Wahl, ich mache mir leicht zu merkende Passwörter, vielleicht sogar eines für mehrere Accounts. Dann hat aber ein Hacker wieder leichtes Spiel. Ich würde gerne einen Passwort-Manager nutzen aber nur wenn er ohne Cloud-Speicher bei Smartphones oder Tablets funktioniert und ich ihn auf einen PC nutzen kann wo er nicht installiert ist, weil ich ihn nicht installieren darf.
Hat vielleicht jemand eine Idee was ich machen könnte? Bis jetzt konnte mir keiner bei meinem Problem helfen. Ich will auch nicht alle Passwörter auf einen Zettel schreiben und diesen mit mir rumtragen oder die Passwörter in Microsoft World speichern wo man ohne Passwort die Datei öffnen kann.
Hallo Herr Krumrey,
auch ich beginne mit einem großen Dankeschön für Ihren interessanten Blog, den ich so regelmäßig wie keinen anderen lese. Habe meine E-Mail-Adresse im HPI-Checker eingegeben und die Nachricht erhalten: „Passwort betroffen (Febr. 2017)“ – sonst nichts betroffen. "Betroffener Dienst: Phishing Data (LKA)." Und dann die Empfehlung: „Ändern Sie Ihr Passwort für sämtliche Accounts mit der E-Mail-Adresse aa@bbcc, bei denen das Passwort älter oder gleich dem angegebenen Datum ist.“ Heißt das, ich soll wirkliche alle Zugänge bei allen Shops usw. ändern, bei denen ich mich mit meiner E-Mail-Adresse aa@bbcc registriert habe? Das sind 30 oder mehr (alle mit unterschiedlichen und unterschiedlich alten Passwörtern!). Oder muss ich nur das Passwort für meinen E-Mail-Konto-Zugang ändern? Ich verstehe offen gesagt immer noch nicht genau, was passiert ist und was zu tun ist. Meine E-Mail-Adresse mit irgendeinem (?) meiner 30 Passwörter ist im Internet zu finden, aber ich weiß nicht welches. Oder verstehe ich das falsch? Würde mich über einen sachdienlichen Hinweis freuen, der mir das Ändern von 30 Passwörtern erspart. Auch mit dem Hinweis "Betroffener Dienst: Phishing Data (LKA)" kann ich im Grunde nichts anfangen. Was heißt das? Und ein Letztes: Ich habe bisher, also in den letzten 2 Jahren seit Febr. 2017, nicht bemerkt, dass mein Konto irgendwie missbraucht wurde – abgesehen vom regelmäßigen Spameingang, den ich hingenommen habe und mit entsprechenden Spamfiltern einigermaßen im Griff habe.
Grüße
Fangen wir mal mit dem Leichtesten an: "Phishing Data (LKA)" ist die Bezeichnung für einen Datensatz, den das Landeskriminalamt im Februar 2017 im Rahmen von Ermittlungen beschlagnahmt hat. Es wurden also Ermittlungen vorgenommen, man fand diese Daten und das Hasso Plattner Institut hat sie in seine Datenbank aufgenommen.
Die schwierige Frage: Welche Passwörter Sie austauschen sollten. Wissen Sie noch, welches Passwort Sie zu dieser Zeit genutzt haben? Alle anderen sind *nicht* betroffen. Wenn Sie es nicht mehr wissen, wird es schwierig, dann würde ich alle Passwörter, die nicht ganz gewiss neu sind, ändern. :\
Hallo Sven, ich bin leider einmal fündig geworden,ich hatte aber mein Passwort schon geändert. Und das ist das Problem: man weiss nicht von wann die Daten stammen.
Die zwei-Faktor Authentizifierung scheint mir zur Zeit die sicherste Methode zum account Schutz zu sein.
Leider geht es den Sammlern dieser Daten nur um die Daten selbst, nicht um sorgsame Dokumentation der Herkunft. :\
"Glück gehabt"
Und wozu braucht man einen Passwortmanager? Als "normaler Internetsurfer" habe ich ca. 250 website-Zugänge mit Passwörtern. Mit viel Kreativität lässt sich das meistern (und natürlich mit einem kleinen geheimen Helferlein)!
Klaro kann man auch ohne! Besonders, wer wenig Accounts hat, kann ohne auskommen. Aber ohne jemandem zu nahe treten zu wollen: Nicht jeder hat viel Kreativität oder das Händchen für kleine Helferlein. :)
Hallo, Herr Krumrey,
Super-Blog - ist inzwischen für mich echte „Pflichtlektüre.”
Im Zusammenhang mit meinen Adressen bin ich in diesem Augenblick ein wenig erstaunt und amüsiert.
Dass meine Haupt-Adresse nahezu überall auftaucht (meiner Erinnerung nach in Benutzung seit 1998), wusste ich schon von Troy Hunt - seit ich seinen Newsletter abonniert habe, wechsele ich meine Passwörter deutlich öfter als früher.
Amüsant finde ich dies: eine Adresse, die ich (einige Jahre lang) ausschließlich im Zusammenhang mit Webseiten verwendet habe, die mir - aus welchem Grund auch immer, nicht ganz „koscher” vorkamen, ist nicht erfasst.
Scheint, als sei ich da ein wenig ZU misstrauisch gewesen.
Bei einer, von 5 von mir gebrauchten Mailaderessen ist eine dabei die in einer der Listen auftaucht.
Aber dies ist eine aus dem Jahre 2013 und das Password ist inzwischen verändert worden. Sie war aus dem Adobe-bestand und wurde bei bekannt werden sofort verändert.Seit ein paar Jahren gebrauche ich einen Password-Manager und bin sehr zufrieden damit.
Urps - eine meiner drei mail-Adressen ist dabei; leider die Hauptadresse. Jetzt heißt es 'Passwort wechseln'.
Vor einigen Tagen war bei der ersten Prüfung noch alles im Lot...
Vielleicht sind jetzt erst die letzten "Collection"-Teile drin. In den letzten Tagen wurden ja immer noch Daten hinzugefügt.
Hallo Herr Krumrey,
danke, daß Sie das Thema nochmal aufgreifen. Eine meiner E-Mail-Adressen ist bei mir in 3 der 4 Datenbanken als geleakt eingetragen. Mich irritierte schon, das ich seit einigen Monaten (vor Bekanntwerden der E-Mail Misere) E-Mails in Englisch, Chinesisch und schlechtem Deutsch bekam, wo diese E-Mail-Adresse zusammen mit dem gleichen Passwort angegeben war. Gegen Zahlung eines Geldbetrages - einmal waren es ~800$ - versprach man mir, missbräuchliche Nutzung zu unterlassen. Habe diese Mails immer gleich gelöscht. Evtl. wollte man damit herausfinden, ob die Adressen noch aktiv sind. Gleichzeitig empfahl man mir, mein PW zu ändern. Da ich für jeden Account ein anderes kompliziertes PW verwende, konnte ich einen Account verifizieren. Es war ein kleiner deutscher Glückwunschkartenversandservice. Was mir auffiel: der Anbieter verzichtete auf verschlüsselte Übertragung. Sicher hat er auch seine Datenbankeinträge mit den Kundendaten unverschlüsselt gespeichert. Ich machte ihn darauf aufmerksam, daß sein System mutmaßlich gehackt wurde. Er bedankte sich dafür. Weiß aber nicht, welche Konsequenzen er daraus zieht. Daraus schliesse ich, daß vorrangig Dienste und Webseiten mit unverschlüsselter Datenübertragung betroffen sind. Vielleicht wurden Datenströme umgeleitet und das lesbare herausgefiltert (evtl. durch "man in the middle"). Denn 2,2 Mrd. Adressen wird kaum jemand durch einzelne Hacks kleiner Datenbanken zusammengetragen haben. Die großen (Facebook, google und co.) übertragen ja hoffentlich durchgängig verschlüsselt. Ich selbst nutze Facebook oder Whatsapp nicht. Leider gibt es aber keinen 100%-igen Schutz, wie man sieht.
Von fünf probierten E-Mail Adressen waren drei betroffen. Wobei mir die meisten Leaks, stammend von 2007 bis 2018 schon bekannt waren. Leider tauche ich auch in der neuen Collection auf, ist jetzt die Frage ob das nur aus den alten Hacks gesammelt ist oder ob da irgendwo was neues gehackt wurde, wo ich dann das Passwort ändern müsste.
Bei den alten Hacks sind erschreckend viele Spieleseiten und Foren mit bei. Zum Glück allerdings alle relativ bedeutungslos, bei Spellforce etwa hatte ich mich damals nur wegen dem Forum für das Spiel angemeldet aber nach dem Zocken auch nie wieder die Seite besucht.
Wow Spellforce! Gute, alte Zeiten! :)
Ich habe es soeben nochmal geprüft. Es gibt 3 Programme bei denen ich vorkomme. Jedoch keine Kreditkartennummern. Einmal die IP-Adresse. Sonst glücklicherweise nichts. Keine Adresse etc.
Man kann nicht vorsichtig genug sein. Dropbox ist auch solch ein Fall, von dem man besser die Finger lassen sollte.
Herzliche Grüße
Peter Hölzemann
Wegen der IP-Adresse würde ich mir nun keine Sorgen machen, sie wurden verschont. :)
Ich wusste es ja schon. Durch das unsägliche LinkedIn bin ich geknackt worden. Meine privatere Adresse hingegen ist bislang noch nicht in Erscheinung getreten.
Wie testen Sie eigentlich alte E-Mail-Adressen die es nicht mehr gibt?
Die alten habe ich über https://haveibeenpwned.com getestet, wo man einfach seine E.Mail-Adresse eingibt und sofort das Ergebnis sieht. Die haben aber leider nicht *alle* Datensätze vom Institut und ich wollte meinen Lesern die maximale Auswahl an Daten zur Verfügung stellen.
ja, eine meiner mail Adressen ist schon vor einiger Zeit, als das Thema aktuell war, aufgetaucht. Ist von meiner eigenen Domain und möchte ich nicht wechseln. Passworte wechsele ich.
Ich hab eine dumme Frage bezüglich Passwort Manager …
Was ist, wenn ich einen neuen PC habe? Wie bekomme ich meine Passwörter von dem alten runter und auf den neuen PC.
Es langt ja nicht, wenn ich den Passwort Manager nur auf dem neuen PC installiere???
Sichert Passwort Manager meine Passwörter in der Cloud?
Das ist mir nicht so ganz klar. Ist mir schon passiert, dass ein PC einen Hardwareausfall hatte und ich musste mir einen neuen PC zulegen und alles neu installieren.
Die Frage ist überhaupt nicht dumm! Meistens kann man sich eine (idealerweise passwortgeschützte / verschlüsselte) Datei erstellen lassen, die dann von der neuen Installation importiert wird oder es wird cloudbasiert über einen Account übertragen, ganz nach Programm.
Sehr geehrter Herr Krumrey!
Danke wieder für diese Ausgabe ihrer immer sehr informativen und hilfreichen Artikel. Ich lese sie immer wieder gerne und kann viel damit anfangen. Von meinen 4 Adressen ist nur eine zu einem geringen Teil betroffen, jedenfalls ist das die Meldung, aber ich weiß Ihren Hinweis sehr zu schätzen und werde in Hinkunft immer wieder nachschauen.
Mit freundlichen Grüßen aus Linz; W. Soukup.
Immer gerne! Macht mir ebenfalls großen Spaß :)
Grüß Gott, Herr Krumrey,
ja, mit meiner Standard-email-Adresse bin ich betroffen.
Wie ich aus der mir übersandten Liste ersehen kann, haben zwei Platformen die Leaks bestätigt.
Die anderen in der Liste aufgeführten Datensätze(?) sagen mir nichts. Ich gehe davon aus, dass dies die Zusammenstellungen der gestohlenen Daten sind.
Betroffen sind nur die Passwörter. Alle weiteren persönlichen Daten wie auch die IP Adresse(n) sind nicht genannt.
Die Frage, die sich mir stellt, ist, ob die email-Adresse und die Passwörter den Daten des jeweiligen Unternehmen, für das ich angemeldet bin, entnommen worden worden sind oder nicht. Sollte dies nicht der Fall sein, stehen email-Adresse und Passwort zwar im Zusammenhang, es kann aber nach meiner Einschätzung keine Verbindung zu dem entsprechenden Unternehmen hergestellt werden.
Anders sieht es eventuell bei den großen Platformen wie ebay oder Amazon aus. Sofern Sie daran interessiert sind, kann ich Ihnen die Liste gern zuleiten.
Einen Missbrauch, der mich betrifft, habe ich bisher nicht festgestellt. Gleichwohl sollte ich einem Passwort-Manager/Tresor näher treten.
Mit freundlichen Grüßen und Dank für die stets interessanten und auch hilfreichen Blogs.
Gerd H. Leichter
Hallo Herr Leichter, das würde mich in der Tat interessieren, ich hatte bislang nur zwei kurze, recht inhaltslose "Warnungs-Mails" in der Hand. Wenn Sie so nett wären, bitte an redaktion@ashampoo.com senden. Sie können natürlich gerne alles Persönliche vorher anonymisieren, wenn sie möchten.
Hallo,
neugierig wie ich bin habe ich natürlich auch meine aktuellen e-mail Adressen getestet. Alle wurden als "sauber" gemeldet. Dann habe ich das noch mal mit uralten Adressen versucht. Eine bei AOL(Netscape, kennt das noch jemand?) und von Yahoo(die sind ja auch öfter mal im Fokus) - wieder nichts.
Da komme ich mir ja fast schon abgeschoben vor :-)
Grüße
Man ist ja nicht gerade "auserwählt" im positiven Sinne, wenn man dabei ist. :) Freut mich aber, dass bisher alle sauber sind. Oder schreiben nur jene, die verschont geblieben sind?
Ach übrigens mit der 2- Factor- Auth. !
Was ist wenn solche Firmen den Stecker ziehen oder eine " längere" Wartung haben !!!
Schon mal darüber nachgedacht ? Und jetzt kommt mir nicht mit der Ausrede," das können die doch garnicht" Wenn die Regierung des jeweiligen Landes sagt Stecker ziehen ,da machen die das.
Firmen, die einen solchen Service anbieten, sind normalerweise redundant angelegt, also macht es nichts aus, wenn mal ein Server ausfällt. Zudem muss man sich bei der Zwei-Faktor-Authentifizierung nicht jedes Mal neu anmelden, sondern nur, wenn man über einen neuen Browser / ein neues Gerät geht, also eher selten. Ich nutze diese Möglichkeit seit Jahren, ohne auch nur einen Ausfall erlebt zu haben.
Und wenn der Staat den Stecker zieht (weshalb er das auch immer machen sollte), sind wir auch ohne Zwei-Faktor-Authentifizierung geliefert, dann funktioniert eh nichts mehr. :)
Hallo Herr Krumrey
Es sind wirklich sehr alte Daten. Ich habe aber den Eindruck das man jetzt offiziell an die Daten bzw. Emailadressen der Kunden herankommen möchte um das DSVGO auszuhebeln ! Durch die Überprüfung der Emailadresse stimme ich den AGB´S zu und schon können solche " Überprüfer" ganz offiziell mit meiner Adresse machen was sie wollen. Ein einzelner IT-ler bei MS erlangt zig Millionen E-mailadressen !! Ist das nicht sehr komisch ?
Bevor ich solche Links in einen Text setze, checke ich erst mal den Hintergrund. Und das Hasso Plattner-Institut ist Teil der Uni Potsdam und gemeinnützige Stiftung. Trotz aller professionellen Skepsis, die ich gerne an den Tag lege - die sind sauber.