Deutsch
English
Normalerweise sind große, illegale Sammlungen von Mailadressen und Passwörtern eine teure Handelsware. Besonders wenn Daten aktuell und umfangreich sind, zahlen Hacker, Geheimdienste und Spammer im Dark Web gutes Geld, um möglichst viele Daten für ihre Aktionen zu bekommen. Unlängst kam eine solche Sammlung unter dem Namen „Collection #1“ in Umlauf, auf die der IT-Sicherheitsexperte Troy Hunt aufmerksam wurde. Gewaltige 773 Millionen verschiedene E-Mail-Adressen plus 21 Millionen im Klartext lesbare Passwörter waren enthalten. Entsprechend viele Nutzer waren verunsichert. Eine Woche später zeigt sich: Der erste Datensatz war nur die Spitze des Eisbergs.
Während man anfangs davon ausging, „Collection #1“ mit seinen 87 Gigabyte Daten und 12000 Einzeldateien sei ein seltener Fund, tauchten binnen Wochenfrist „Collection #2“ bis „Collection #5“ auf, noch umfangreicher und mehr als 600 GB groß. Man wertet die enorme Datenmenge noch aus, mehr als 2,2 Milliarden E-Mail-Adressen mit dazugehörigen Passwörtern sind schon identifiziert. Auch hier sind nicht alle Passwörter in Klartext enthalten, mögliche Verschlüsselungen zu knacken, ist aber erfahrungsgemäß nur eine Zeitfrage. Woher diese Daten stammen, ist noch nicht sicher, man geht jedoch von unterschiedlichsten Quellen und Zeiten aus. Es sind also Firmen und Institutionen gehackt worden, die Datensätze wurden von einem Unbekannten zusammengetragen und gelangten auf unbekanntem Weg ins Internet. Da inzwischen jeder Interessent mit etwas Suchmaschinen-Einsatz an die Daten kommen kann, ist es für die Betroffenen höchste Eisenbahn, die Passwörter zu wechseln.
Das Problem für die meisten Nutzer ist, dass sie die gleiche Kombination von E-Mail-Adresse und Passwort für alle Portale und Dienste nutzen. Hat also z.B. ein Hacker die Daten eines Nutzers, wird er sogenanntes Credential Stuffing (die Übernahme von Online-Konten) versuchen. Je mehr Nutzer eine Online-Plattform hat (Amazon und Ebay sind hier immer die erste Adresse), desto wahrscheinlicher ist der Erfolg. Auch soziale Netzwerke werden gerne genutzt, um weitere Daten zu sammeln oder SPAM zu versenden. Wenn Sie auf den Profilen von Freunden plötzlich Werbung sehen sollten – dies könnte ein Betroffener sein. Da ist es auch egal, wie ausgefeilt das jeweilige Passwort ist, die Hacker haben es ja schon. Um zu sehen, wer betroffen ist, können Sie beim Hasso-Plattner-Institut vorbeischauen. Dort hat man über 8 Milliarden (!) Nutzerkonten in der Datenbank, die aus Datenleaks stammen, darunter auch die aktuellen „Collections“. Geben Sie dort Ihre E-Mail-Adresse ein und ein paar Minuten später bekommen Sie eine E-Mail mit der Nachricht, ob Ihre Adresse betroffen ist.
Was ist noch sicher, wenn die Passwörter bekannt sind?
Jeder zweite Nutzer bekommt bislang eine negative Nachricht, was heißt, dass persönliche Identitätsdaten im Internet veröffentlicht wurden. Bei einem Selbsttest gab ich alle aktuellen E-Mail-Adressen ein, zudem alle alten, derer ich irgendwo in meinen Archiven habhaft werden konnte. Ergebnis: Bis auf eine eine uralte Adresse, die sich seit mindestens 8 Jahren nicht mehr verwende, waren alle sauber. Hier hatte man wohl einen uralten Datensatz gefunden, mit dem man heute nichts mehr anfangen kann – ein gewisses Unbehagen bleibt aber. Ich gebe auch gerne zu, dass ich leicht erhöhten Puls hatte, als die Benachrichtigungen vom Hasso-Plattner-Institut eintrafen.
Betroffene sollten schnellstmöglich ihre Passwörter ändern und ihre Accounts mit starken Passwörtern sichern. Wie das geht, finden Sie in einem älteren, aber dennoch unverändert aktuellen Blog. Es gibt viele Methoden, bessere Passwörter als „1234“ oder „Passwort“ zu entwickeln und sie dann auch noch zu behalten. Generell würde ich besonders Menschen, die viel Internet unterwegs sind und sich bei vielen Portalen oder Händlern angemeldet haben, einen Passwort-Manager empfehlen. Dort muss man sich nur ein Passwort merken (für den Passwort-Tresor, in dem alle Passwörter enthalten sind), den Rest übernimmt ein gutes Passwort-Programm selbst. Es erstellt für jede Seite, bei der man sich einloggen muss, ein eigenes, kryptisches Passwort und trägt es bei Bedarf automatisch für den Nutzer ein. Und das Beste: Es erinnert sich immer an alle Passwörter, anders als wir Menschen. Es empfiehlt sich auch, Passwörter in einem bestimmten Rhythmus zu wechseln. Ich weiß, es ist nervig und dauert eine Weile (besonders, wenn man viele Accounts hat), aber nur so ist auch gegen Datenleaks wie die „Collections“ gefeit. Wo es um besonders viel Geld oder Daten geht, kann man auch die Zwei-Faktor-Authentifizierung nutzen, wo ohne Ihr Handy (oder spezielle Sicherheitsschlüssel) nichts läuft, selbst wenn man Ihre Daten kennt. Was Sie auch immer machen, ich wünsche Ihnen sichere Daten!
Was mich interessieren würde: Haben Sie schon Ihr Glück beim Hasso-Plattner-Institut (https://sec.hpi.de/ilc/search?lang=de) versucht? Gehören Sie zu den Betroffenen?
Hallo Herr Krumrey, dieser Satzt von ihnen "Hier hatte man wohl einen uralten Datensatz gefunden, mit dem man heute nichts mehr anfangen kann" war der entscheidende in der Sache. Zumindest sehe ich das genauso. Und was das ungute Gefühl betrifft so ist das immer eine Warnung davor noch besser aufzupassen, was in dieser Welt digital und real mit uns gemacht wird.
Ja, Herr Krumrey,
ich hätte nur richtig lesen müssen:
"Ändern Sie Ihr Passwort für sämtliche Accounts mit der E-Mail-Adresse xxx@yyy.de, bei denen das Passwort älter oder gleich dem angegebenen Datum ist."
Was mich allerdings irritiert, dass ich auf Seiten wie weibo.com, renren.com oder duduniu.cn gehackt worden sei (allerdings bereits 2011) und auf pemiblanc.com (April 2018), wo ich niemals Kunde war...
Entweder wurden Ihre Daten von Spitzbuben weiterverkauft / geteilt oder Sie haben sich irgendwo angemeldet, wo die besagten Firmen hinter standen, was aber auf den ersten Blick nicht zu erkennen war. Die von Ihnen genannten Firmen sind mehrheitlich chinesisch, da werden Sie sich wohl kaum absichtlich angemeldet haben.
Hallo Herr Krumrey,
da ich immer mal nach dem Rechten sehe, haben mich die Ergebnisse nicht allzu sehr erschreckt, denn ältere Daten tauchen ja in der Übersicht vom Hasso-Plattner-Institut weiterhin auf.
Kann ich also relativ entstpannt sein, wenn dort als Datum April 2018 genannt wird, ich aber im Mai mein Passwort geändert habe?
Grüße an die Gemeinde von Hartmut
Wenn Sie Ihr Passwort nach dem Datenleck noch geändert haben, sind Sie auf der sicheren Seite. Und ich hoffe, die meisten meiner Leser*innen ebenfalls. :)
Moin moin , auch meine E-Mail Adresse wurde in den Datenbanken gefunden. Ein Test auf der Seite von Troy Hunt habe ich dann ein paar alte Passwörter überprüfen lassen, keine Treffer. Also sind auch die "Collection´s " mit irgendwelchen alten und nicht relevanten Daten aufgefüttert so wie es aussieht. Trotzdem ein ungutes Gefühl bleibt. Und auch die erwähnten Passwordmanager sind mir nicht ganz geheuer , was ist wenn die nach hause telefonieren . Besser kann man doch nicht an die Zugangsdaten anderer kommen ;-)
Grüße aus dem Norden Rolf
Ich würde jetzt auch keine Passwort-Manager-App von einem unbekannten, chinesischen Hersteller nutzen. :) Bei etablierten Herstellern habe ich da weniger Bedenken, der Verkauf der Software bringt weit mehr Gewinnspanne als der Verkauf von Daten.
Die Collections beinhalten natürlich auch (ur-)alte E-Mails, das war bei mir ja auch so. Ich habe übrigens mit dem Link für einige Unruhe im Freundeskreis gesorgt, hier lag die Quote bei grob 30% Betroffenen.
Moin,
auch ich hatte ein flaues Gefühl im Magen, als ich meine Mail-Adressen überprüfen ließ. Ergebnis: Meine Daten wurden nicht ins Netz gestellt. Erleichterung, denn ich gehöre auch zu den Usern, die es mit dem immer-wieder-Passwort-ändern nicht so genau nehmen.
Andererseits gilt für mich grundätzlich, nur so viel herausrücken, wie unbedingt notwendig, Zwei-Faktor-Autorisierung wo möglich. Kein absoluter Schutz, ich weiß, beruhigt aber ungemein. Nur frage ich mich, ob vielleicht nicht die Firmen, die Tausende oder gar Millionen Datensätze auf ihren Servern haben, zu mehr Sicherheit verpflichtet werden müssten, denn für potentielle Hacker dürfte der kleine Privatrechner nur von geringerem Interesse sein.
In diesem Zusammenhang frage ich mich immer wieder, wie ist es um die Sicherheit der immer beliebter werdenden Clouds bestellt? Sensible Daten möchte ich denen nicht anvertrauen. Lokale Datensicherung, ohne Internetverbindung, hat für mich Vorrang.
Das ist vollkommen korrekt, hier müssen die Kunden ausbaden, was die Firmen / Portale verbockt haben. Was das Wechseln der Passwörter angeht: Hier verlassen sich viele auf Berichte, die meinen, dass regelmäßige Änderungen keinen zusätzlichen Schutz bringen. Das stimmt - wenn die Angreifer versuchen, per Script ein starkes Passwort zu erraten (Brute Force-Attacke). Bei Data Leaks kennen die Verbrecher (so will ich sie mal nennen) aber die Passwörter schon. Hier kann man nur hoffen, sein Passwort zu ändern, bevor erbeutete Daten in Umlauf kommen. Ziemlich unbefriedigend, dieser Wettlauf.