Alle paar Wochen taucht eine Meldung auf: Millionen Kundendaten gestohlen, Passwörter im Darknet aufgetaucht, Datenleck bei einem großen Onlinedienst. Man liest es, denkt sich „betrifft mich hoffentlich nicht“ – und scrollt weiter.
Aber was, wenn es Sie längst betrifft?
Datenlecks sind keine Ausnahme – sie sind Alltag
Die Vorstellung, dass ein Datenleck etwas Seltenes ist, das nur großen Firmen passiert und nur unvorsichtige Nutzer trifft, ist leider überholt. In Wahrheit wurden in den vergangenen Jahren Milliarden von Datensätzen gestohlen – bei LinkedIn, bei Adobe, bei Dropbox, bei Facebook und bei Hunderten weniger bekannter Dienste.
Die gestohlenen Daten landen in Sammlungen, die im Darknet gehandelt werden. Dort stehen dann E-Mail-Adressen, Passwörter, manchmal auch Telefonnummern und Geburtsdaten – ordentlich sortiert und durchsuchbar. Kriminelle nutzen diese Daten für automatisierte Angriffe: Sie probieren die gestohlenen Passwörter bei anderen Diensten aus, verschicken gezielte Phishing-Mails oder versuchen, mit den persönlichen Informationen Identitätsbetrug zu begehen.
Das Heimtückische daran: Sie merken davon nichts. Es gibt keinen Alarm, keine Benachrichtigung, kein rotes Lämpchen. Es sei denn, Sie prüfen es selbst.
Have I Been Pwned – der bekannteste Leck-Prüfer
Der australische IT-Sicherheitsexperte Troy Hunt hat 2013 einen Dienst ins Leben gerufen, der genau diese Lücke schließt: Have I Been Pwned (kurz HIBP – das „Pwned“ stammt aus der Gamer-Sprache und bedeutet so viel wie „erwischt“ oder „gehackt“).
Das Prinzip ist denkbar einfach: Sie geben Ihre E-Mail-Adresse ein, klicken auf „pwned?“ – und innerhalb von Sekunden erfahren Sie, ob diese Adresse in einem bekannten Datenleck auftaucht. Falls ja, zeigt Ihnen die Seite, welche Dienste betroffen waren und welche Art von Daten gestohlen wurde – zum Beispiel Passwörter, IP-Adressen oder Geburtsdaten.
Ich habe das vor ein paar Jahren zum ersten Mal ausprobiert, eher aus Neugier. Das Ergebnis war ernüchternd: Meine Haupt-E-Mail-Adresse tauchte in sechs verschiedenen Datenlecks auf. Darunter ein Onlineshop, bei dem ich mich kaum noch erinnern konnte, jemals ein Konto gehabt zu haben. Das Passwort, das ich dort verwendet hatte? Dasselbe wie bei drei anderen Diensten. Ein unangenehmer Moment der Selbsterkenntnis.
Ist das sicher?
Die naheliegende Frage: Kann ich einer Website, die nach Datenlecks sucht, meine E-Mail-Adresse anvertrauen? Bei Have I Been Pwned: ja. Der Dienst speichert keine Suchanfragen, erfordert keine Anmeldung und gehört mittlerweile zu den am häufigsten empfohlenen Sicherheitstools weltweit. Selbst das FBI liefert Daten aus beschlagnahmten Datenleck-Sammlungen an HIBP, damit Betroffene gewarnt werden können.
Für die Passwortprüfung (dazu gleich mehr) wird sogar ein besonders datenschutzfreundliches Verfahren eingesetzt: Ihr Passwort wird lokal auf Ihrem Gerät in einen Hash umgewandelt – eine Art digitalen Fingerabdruck. An den Server werden nur die ersten fünf Zeichen dieses Hashs gesendet. Der Server antwortet mit einer Liste möglicher Treffer, und Ihr Browser prüft den Abgleich lokal. Das eigentliche Passwort verlässt also nie Ihren Rechner.
Was Sie tun sollten, wenn Ihre Adresse betroffen ist
Falls Have I Been Pwned einen Treffer meldet – und bei den meisten Lesern wird das der Fall sein –, ist das zunächst kein Grund zur Panik. Es bedeutet, dass Ihre E-Mail-Adresse und möglicherweise ein Passwort in einer gestohlenen Datenbank aufgetaucht sind. Was Sie jetzt tun:
- Passwort sofort ändern – bei dem betroffenen Dienst, aber auch überall sonst, wo Sie dasselbe Passwort verwendet haben.
- Jedes Konto bekommt ein eigenes Passwort – das ist die wichtigste Regel überhaupt. Wenn ein Dienst gehackt wird und Sie dort ein einzigartiges Passwort verwenden, bleibt der Schaden begrenzt.
- Passwort-Manager nutzen – niemand kann sich 80 verschiedene Passwörter merken. Programme wie Bitwarden, KeePass oder 1Password übernehmen das für Sie. Ein Thema, dem wir uns in einem späteren Beitrag ausführlich widmen werden.
- Benachrichtigungen aktivieren – bei HIBP können Sie Ihre E-Mail-Adresse registrieren und werden automatisch informiert, wenn sie in einem neuen Datenleck auftaucht.
Andere nützliche Prüftools
Have I Been Pwned ist das bekannteste Tool, aber nicht das einzige. Hier ein kurzer Überblick über seriöse Alternativen:
Have I Been Pwned – Passwortprüfung: Auf der Unterseite Pwned Passwords können Sie prüfen, ob ein bestimmtes Passwort in einem bekannten Datenleck aufgetaucht ist. Der Abgleich funktioniert über das oben beschriebene Hash-Verfahren – das Passwort selbst wird nicht übertragen. Erschreckend: „123456“ taucht in über 40 Millionen Datenlecks auf.
HPI Identity Leak Checker: Der Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam ist eine deutsche Alternative. Sie geben Ihre E-Mail-Adresse ein und erhalten per E-Mail einen Bericht darüber, welche Daten betroffen sind. Für Nutzer, die ihre Daten lieber bei einer deutschen Institution als bei einem australischen Dienst eingeben möchten, eine gute Option.
Mozilla Monitor: Mozilla bietet mit Mozilla Monitor einen Dienst an, der auf den Daten von Have I Been Pwned basiert, aber in eine übersichtliche Oberfläche verpackt ist. Wer Firefox nutzt, kann sich direkt im Browser warnen lassen.
Was diese Tools nicht leisten
So nützlich diese Dienste sind – sie haben eine wichtige Einschränkung: Sie kennen nur bekannte Datenlecks. Wenn Ihre Daten bei einem Einbruch gestohlen wurden, der nie öffentlich wurde, tauchen sie in keiner dieser Datenbanken auf. Die Abwesenheit eines Treffers bedeutet also nicht, dass Ihre Daten garantiert sicher sind. Sie bedeutet nur, dass sie in keiner bekannten Sammlung gefunden wurden.
Und noch etwas: Diese Tools prüfen E-Mail-Adressen und Passwörter, aber nicht Ihre gesamte digitale Identität. Ob Ihre Kreditkartendaten, Ihre Personalausweisnummer oder Ihre Adresse in einem Datenleck stecken, erfahren Sie auf diesem Weg in der Regel nicht.
Fünf Minuten, die sich lohnen
Datenlecks gehören leider zur Realität des digitalen Lebens. Wir können nicht verhindern, dass ein Onlinedienst gehackt wird, bei dem wir vor zehn Jahren ein Konto erstellt haben. Was wir aber tun können: regelmäßig prüfen, ob unsere Daten betroffen sind – und die richtigen Konsequenzen daraus ziehen.
Der Aufwand ist minimal: Adresse eingeben, Ergebnis lesen, betroffene Passwörter ändern. Fünf Minuten, die im Ernstfall viel Ärger ersparen können.
Mein Vorschlag: Probieren Sie es gleich aus. Öffnen Sie haveibeenpwned.com, geben Sie Ihre meistgenutzte E-Mail-Adresse ein – und schauen Sie, was passiert. Falls Sie mutig sind, testen Sie auch gleich Ihr Lieblingspasswort auf der Passwortprüfung.
Waren Sie betroffen? Wie viele Lecks waren es bei Ihnen? Und haben Sie danach etwas geändert? Ich bin neugierig – schreiben Sie es gerne in die Kommentare.
Kommentare
Meine Tochter hat sich dazu eine gute Methode überlegt, die ich gerne teile.
Sie wählt ein Stammpasswort und ergänzt dieses mit dem jeweiligen Konto, also z.B. mypassX4 ist das Stammpassort und dann würde das Passwort für SoftMaker so aussehen: mypassX4@SoftMaker
Viele Grüße
Alfred
Ich persönlich lege jede email-Adresse oder Benutzname plus Passwort zusätzlich in einem Aktenordner ab, alphabetisch geordnet und mit einem Datum versehen, wann ich das gemacht habe. Hilft...
Ist es nicht seltsam? Die gleichen Leute, die einen um Hilfe in Computerangelegenheiten bitten, sind einem auch sehr dankbar, wenn man ihnen hilft, aber schlagen dann die Ratschläge, bzgl. Sicherheit und Datenschutz in den Wind, nur weil es etwas unbequemer wird.
Überraschung: Ich lebe noch.
Man kann tatsächlich auch akustisch mit einem Telefon kommunizieren, notfalls auch per SMS.
(Aber ja, ich benutze auch einen anderen Messenger).
Mir gefällt einfach die verschlagene Visage von diesem Zuckerberg nicht, das ist für mich Grund genug.
So ähnlich mache ich es bereits seit über 30 Jahren, wobei ich da sicher nicht "Softmaker" ausschreiben würde, sondern irgendwie phantasievoll abkürzen würde (zB SOma) oder eben einen Spitznamen - das Ergebnis:
Have I Been Pwned: No matches found ...
Bei Datenlecks sind die Passwörter ja häufig mitbetroffen. Da hilft z.B. die 2FA.
Und für alle, die noch skeptisch sind, ob das eine gute Idee ist: Nehmt euch lieber jetzt die Zeit und sucht euch einen vertrauenswürdigen Anbieter (evtl. sogar Open Source), damit man schon mal eine Idee in der Hinterhand hat wenn man doch später einen braucht, denn sonst ist die Versuchung da einfach alles bei Google zu hinterlegen, weil schon vorinstalliert auf Android.
Ändern Sie das zugehörige Passwort und gut ist‘s.
Ich würde die Adresse aber nicht als 'verbrannt' ansehen. Man kann das geänderte Passwort im Passwort-Manager mit einem Datum versehen. Wenn es dann Treffer gibt, die eines früheren Datums sind, kann man relativ auf der sicheren Seite sein.
@Gerd Steffens: so mache ich es auch :-)
Ich nutze den Passwortmanager Keepass. Die verschlüsselte Datenbank liegt bei mir in der Nextcloud. Die Schlüsseldatei, ohne die ich die Datenbank nicht öffnen kann, auf dem jeweiligen Gerät. Ich muss mir nur mein Masterpasswort merken. Für Accounts, Zugänge etc. erstellt mir Keepass grundsätzlich Passwörter mit 30 Zeichen. Natürlich sichere ich das alles auch lokal auf einem externen Laufwerk.
Meine allerersten email Adressen in Deutschland waren freenet Adressen. Der Server wird anscheinend oft gehackt. Merkt man am spam.
Man sollte auch nicht eine email Adresse für alles verwenden. Ich habe unterschiedliche für geschäftliches, privates und für "kann weg".
Eine gute Idee sind auch sog. einmal Adressen die sich selbst nach bestimmter Zeit löschen.
> https://keepassxc.org/
Bei Bitwarden werden Passwörter dann - zwar verschlüsselt - aber in einer Cloud gespeichert.
https://di.day/de/wechselrezepte
Gruß Jürgen
haveibeenpwned.com meldet drei Treffer.
Mozilla Monitor, der ja angeblich auf den die Daten von haveibeenpwned.com aufbaut ergib keinen Treffer.
Identity Leak Checker finde 2 Treffer. Keiner der beiden Treffer ist identisch mit einem aus dem ersten Test.
Zur email als Benutzername: Früher hatte der frei wählbare Benutzername quasi die Funktion eines zweiten Passwords. Heute wird man immer häufiger dazu gezwungen, als Benutzername seine email-Adresse zu verwenden. Das ist der Sicherheit sicher nicht dienlich. Die email-Adresse ist nun mal etwas, das zwangsläufig etlichen Leuten bekannt ist. Das Anlegen von einem Dutzend oder mehr email-Konten, um dieses Problem zu minimieren, ist nun auch nicht gerade eine benutzerfreundliche Alternative.
Was aber hilft, ist ein wenig bekanntes Feature von Email-Adressen: man kann an jede mit einem plus-Zeichen am linken Teil (also vor dem @) einen beliebigen Text anhängen. Bei der Zustellung wird nur der Teil links vom Plus ausgewertet. Leider kennen viele Programmierer diesen Standard (ist so standardisiert, es ist KEIN Hack!) nicht und patzen bei der Formatprüfung für Emails. Aber oftmals klappt es.
markus@example.com, markus+softmaker@example.com, markus+wtf99@example.com sind alles gültige Adressen, die vom Mailserver i die Inbox von "markus" zugestellt werden. Mit diesem Trick hat man erstens beliebig viele Email-Adressen und kann zweitens auch beim Spam erkennen, woher der Spammer die Adresse hat. Das Mailprogramm zeigt nämlich die ganze Adresse inklusive den Plus-Zusatz an. Wenn ich also Spam bekomme mit dem Absender markus+softmaker@example.com oder mit dieser Zustelladresse, dann weiss ich, dass bei Softmaker die Adressen geklaut worden sind. Sorry, Softmaker, ihr dient hier einfach als praktisches Beispiel!
Es gibt einen bei meiner älteren Adresse aus 2013, aber nicht mit dem heutigen Passwort, das ich unregelmäßig alle paar Jahre ändere.
Als Passwörter nutze ich Anfangsbuchstaben und Ersatzzeichen von selbst ausgedachten, manchmal bewusst fehlerhaften Sätzen. Z. B. könnte aus „der SoftMaker meine erste Wahl beim Büro-Programm gewesen ist“ das Passwort „d5Mm1.WbB-Pgi“ oder ähnlich geworden sein.
Obwohl ich versuche, meine Anmeldungen zu Onlineportalen gering zu halten, kamen im Laufe der Jahre fast hundert Passwörter zusammen. Ohne Manager, bei mir der Schweizer SecureSafe, wäre das für mich nicht beherrschbar.
Besser als Passwòrter ist die Nutzung von Passkeys oder zumindest eine 2-Faktor-Authentifizierug. Das sollte Standard sein bei allen Diensten, die wichtig & kritisch sind.
Sehr intessanter Blog danke - weiter so!
Selbst wenn die eigene E-Mail-Adresse in einem Datensatz von Millionen von Datensätzen landet, sollte man sich nicht in Sicherheit wiegen und meinen, dass man in der Masse untergeht. Die letzten Tage wurde versucht, an meinen Amazon-Account heranzukommen, indem versucht wurde, mein Kennwort zurückzusetzen. Ich habe das auch nur mitbekommen, da ich per SMS von Amazon benachrichtigt wurde. Habe daraufhin eine 2FA eingerichtet und werde jetzt auch nach und nach - überall wo es möglich ist - eine 2FA einrichten.
Das Netz ist leider viel unserer geworden und man sollte sich mehr Gedanken um seine Datensicherheit machen.
Danke an SoftMaker und diesen Blog für die sanften Anstupser in die richtige Richtung.
Passwörter lassen sich ganz einfach aus der Bibel machen (auch ohne dass man gläubig ist). Die Bibel enthält ca. 22 Bücher, deren Abkürzung am Anfang steht. Dann kommt direkt das Kapitel und der Vers, der zitiert wird (diese Nummerierung mit Kapiteln und Versen ist eben das Fast-Alleinstellungmerkmal der Bibel, der Koran kanncas aber auch).Dann folgt eine Raute oder ein ähnliches Zeichen. Anschließend folgt der Vers, wobei immer der erste Buchstabe eine Wortes genommen wird und das mit der Klein- oder Großschreibung, die man noch beachtet. Am Ende dann noch zwei Sonderzeichen.
Hört sich kompliziert an. Hier mal ein Beispiel: Wir nehmen 1. Korinther 13 den bekannten Vers "Was bleibt, sind Glaube,Hoffnung, Liebei". Dann lautet das Passwort: 1Kor13,13#WbsGLH##
Anschließend packt man in die verwendete Bibel einen Sticker (z.B. für Amazon) und unterstreicht ggf. noch die verwendete Zeile mit einem Textmarker. Irgendwann kennt Ihr Eure Passwörter dann auswendig (und seid ein Stück bibelfest :)
LG
Ralf
Vielen Dank für eure Informationen ( ich bin knapp vor 83 J. ) und trotz allem sind viele Mails die rausgehen von hoher Priorität. Man denkt nicht darüber nach und vergisst , das der Inhalt geheim bleiben sollte.