LIFE

2,2 Milliarden E-Mail-Adressen mit Passwörtern aufgetaucht – sind Ihre dabei?

Sven Krumrey

Normalerweise sind große, illegale Sammlungen von Mailadressen und Passwörtern eine teure Handelsware. Besonders wenn Daten aktuell und umfangreich sind, zahlen Hacker, Geheimdienste und Spammer im Dark Web gutes Geld, um möglichst viele Daten für ihre Aktionen zu bekommen. Unlängst kam eine solche Sammlung unter dem Namen „Collection #1“ in Umlauf, auf die der IT-Sicherheitsexperte Troy Hunt aufmerksam wurde. Gewaltige 773 Millionen verschiedene E-Mail-Adressen plus 21 Millionen im Klartext lesbare Passwörter waren enthalten. Entsprechend viele Nutzer waren verunsichert. Eine Woche später zeigt sich: Der erste Datensatz war nur die Spitze des Eisbergs.

Milliarden sensibler Daten sind futsch

Während man anfangs davon ausging, „Collection #1“ mit seinen 87 Gigabyte Daten und 12000 Einzeldateien sei ein seltener Fund, tauchten binnen Wochenfrist „Collection #2“ bis „Collection #5“ auf, noch umfangreicher und mehr als 600 GB groß. Man wertet die enorme Datenmenge noch aus, mehr als 2,2 Milliarden E-Mail-Adressen mit dazugehörigen Passwörtern sind schon identifiziert. Auch hier sind nicht alle Passwörter in Klartext enthalten, mögliche Verschlüsselungen zu knacken, ist aber erfahrungsgemäß nur eine Zeitfrage. Woher diese Daten stammen, ist noch nicht sicher, man geht jedoch von unterschiedlichsten Quellen und Zeiten aus. Es sind also Firmen und Institutionen gehackt worden, die Datensätze wurden von einem Unbekannten zusammengetragen und gelangten auf unbekanntem Weg ins Internet. Da inzwischen jeder Interessent mit etwas Suchmaschinen-Einsatz an die Daten kommen kann, ist es für die Betroffenen höchste Eisenbahn, die Passwörter zu wechseln.

Das Problem für die meisten Nutzer ist, dass sie die gleiche Kombination von E-Mail-Adresse und Passwort für alle Portale und Dienste nutzen. Hat also z.B. ein Hacker die Daten eines Nutzers, wird er sogenanntes Credential Stuffing (die Übernahme von Online-Konten) versuchen. Je mehr Nutzer eine Online-Plattform hat (Amazon und Ebay sind hier immer die erste Adresse), desto wahrscheinlicher ist der Erfolg. Auch soziale Netzwerke werden gerne genutzt, um weitere Daten zu sammeln oder SPAM zu versenden. Wenn Sie auf den Profilen von Freunden plötzlich Werbung sehen sollten – dies könnte ein Betroffener sein. Da ist es auch egal, wie ausgefeilt das jeweilige Passwort ist, die Hacker haben es ja schon. Um zu sehen, wer betroffen ist, können Sie beim Hasso-Plattner-Institut vorbeischauen. Dort hat man über 8 Milliarden (!) Nutzerkonten in der Datenbank, die aus Datenleaks stammen, darunter auch die aktuellen „Collections“. Geben Sie dort Ihre E-Mail-Adresse ein und ein paar Minuten später bekommen Sie eine E-Mail mit der Nachricht, ob Ihre Adresse betroffen ist.

Was ist noch sicher, wenn die Passwörter bekannt sind? Was ist noch sicher, wenn die Passwörter bekannt sind?

Jeder zweite Nutzer bekommt bislang eine negative Nachricht, was heißt, dass persönliche Identitätsdaten im Internet veröffentlicht wurden. Bei einem Selbsttest gab ich alle aktuellen E-Mail-Adressen ein, zudem alle alten, derer ich irgendwo in meinen Archiven habhaft werden konnte. Ergebnis: Bis auf eine eine uralte Adresse, die sich seit mindestens 8 Jahren nicht mehr verwende, waren alle sauber. Hier hatte man wohl einen uralten Datensatz gefunden, mit dem man heute nichts mehr anfangen kann – ein gewisses Unbehagen bleibt aber. Ich gebe auch gerne zu, dass ich leicht erhöhten Puls hatte, als die Benachrichtigungen vom Hasso-Plattner-Institut eintrafen.

Betroffene sollten schnellstmöglich ihre Passwörter ändern und ihre Accounts mit starken Passwörtern sichern. Wie das geht, finden Sie in einem älteren, aber dennoch unverändert aktuellen Blog. Es gibt viele Methoden, bessere Passwörter als „1234“ oder „Passwort“ zu entwickeln und sie dann auch noch zu behalten. Generell würde ich besonders Menschen, die viel Internet unterwegs sind und sich bei vielen Portalen oder Händlern angemeldet haben, einen Passwort-Manager empfehlen. Dort muss man sich nur ein Passwort merken (für den Passwort-Tresor, in dem alle Passwörter enthalten sind), den Rest übernimmt ein gutes Passwort-Programm selbst. Es erstellt für jede Seite, bei der man sich einloggen muss, ein eigenes, kryptisches Passwort und trägt es bei Bedarf automatisch für den Nutzer ein. Und das Beste: Es erinnert sich immer an alle Passwörter, anders als wir Menschen. Es empfiehlt sich auch, Passwörter in einem bestimmten Rhythmus zu wechseln. Ich weiß, es ist nervig und dauert eine Weile (besonders, wenn man viele Accounts hat), aber nur so ist auch gegen Datenleaks wie die „Collections“ gefeit. Wo es um besonders viel Geld oder Daten geht, kann man auch die Zwei-Faktor-Authentifizierung nutzen, wo ohne Ihr Handy (oder spezielle Sicherheitsschlüssel) nichts läuft, selbst wenn man Ihre Daten kennt. Was Sie auch immer machen, ich wünsche Ihnen sichere Daten!

Was mich interessieren würde: Haben Sie schon Ihr Glück beim Hasso-Plattner-Institut (https://sec.hpi.de/ilc/search?lang=de) versucht? Gehören Sie zu den Betroffenen?

Zurück zur Übersicht

Kommentar schreiben

Bitte melden Sie sich an, um zu kommentieren.