Sicherheitsforscher schlagen Alarm Datenleck legt Millionen Konten offen
Bonn/Berlin · Erneut sind gestohlene Mail-Adressen und Passwörter im Netz aufgetaucht. Nutzer können überprüfen, ob sie betroffen sind.
Im Internet ist ein gewaltiger Datensatz mit gestohlenen Anmeldeinformationen aufgetaucht. Darin enthalten seien knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen im Klartext lesbare Passwörter, berichtet der australische Informatiker Troy Hunt. Der 87 Gigabyte große Datensatz bündelt laut Hunt Informationen „aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen“. Betroffen seien Internetnutzer weltweit – darunter auch aus Deutschland.
Internetnutzer sollten jetzt prüfen, ob auch ihre Daten ins Netz gelangt und dort mehr oder weniger frei auffindbar sind, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Helfen könnten dabei Datenbanken, in denen Sicherheitsforscher nach Hackerangriffen oder Datenlecks Zugangsdaten auflisten. Troy Hunt selbst betreibt etwa die Abfrage-Dienste „Pwned Passwords“ und „Have I been pwned?“.
Das BSI rät, kontinuierlich zu überprüfen, ob sensible Daten wie Benutzernamen und Passwörter gestohlen worden sind – und empfiehlt neben Hunts Plattformen folgende Datenbanken:
Firefox Monitor: Der Abfragedienst von Mozilla greift auf die Datenbank von „Have I been pwned?“ zurück. Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mailadresse registrieren und bekommt dann sofort Bescheid, falls eigene Daten im Netz auftauchen sollten. Ebenfalls praktisch für Firefox-Nutzer: Der Browser schlägt Alarm, wenn man auf einer Seite surft, die gehackt worden ist oder auf der es ein Datenleck gab. Unterhalb der Adressleiste öffnet sich dann eine Benachrichtigung, die etwa über den Zeitpunkt und das Ausmaß des Angriffs oder des Lecks informiert und zu einer Monitor-Abfrage rät.
Identity Leak Checker: Diesen Abfragedienst bietet das Potsdamer Hasso-Plattner-Institut (HPI) an. Auch dort müssen E-Mail-Adressen angegeben werden. Die Seite prüft dann, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde.
Breach Alarm: Dieser Dienst arbeitet ebenfalls mit E-Mail-Adressen. Die ad-hoc-Abfrage sowie der Monitor-Dienst mit einer Mail-Adresse sind gratis.
Weitere Sicherheitstipps: „Jeder der nichts für seine Sicherheit macht, handelt fahrlässig und geht ein Risiko ein“, sagt Linus Neumann vom Chaos Computer Club. Onlinekonten sollten mit nicht zu erratenden, individuellen Passwörtern und möglichst einer Zwei-Faktor-Authentifizierung geschützt werden, rät er. Bei letzterem Verfahren müssen sich Nutzer durch die Eingabe zweier unabhängiger Codes ausweisen. Das kann beispielsweise bedeuten, dass neben dem Passwort ein zusätzlicher Code abgefragt wird, den Nutzer per SMS auf ihr Handy geschickt bekommen.
Besonders wichtig ist laut Empfehlung des BSI, das eigene E-Mail-Konto gut abzusichern, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes an diese Adresse verschicken. Das BSI rät außerdem dazu, einen Passwort-Manager (Infokasten) zu verwenden, um die verschiedenen Kennwörter zu verwalten. Auf ihrer Webseite gibt die Behörde weitere Tipps, mit denen Nutzer ihre Konten schützen können.
www.bsi-fuer-buerger.de
