Erst vor wenigen Tagen wurde eine riesige Sammlung geklauter Kombinationen aus E-Mail-Adressen, Passwörtern und anderen persönlichen Daten in einem Untergrund-Forum im Netz gefunden. Troy Hunt, der Betreiber der Passwort-Sicherheits-Webseite „Have I Been Pwned“, ist bei seinen Recherchen auf eine Sammlung von rund 773 Millionen E-Mail-Adressen und circa 21 Millionen zugehörigen Passwörtern gestoßen. Bei der unter dem Namen „Collection #1“ zum Kauf für Kriminelle angebotenen Sammlung handelt es sich vermutlich um zusammengefasste Daten verschiedener Herkünfte.

 

Bin auch ich Betroffen?
Wer wissen möchte, ob die eigene E-Mail-Adresse und womöglich auch das zugehörige Passwort in der Sammlung enthalten sind, kann dies auf der oben genannten Webseite überprüfen. Sollte der Test positiv sein, so sollte das entsprechende Passwort bei allen angemeldeten Diensten (z.B. E-Mail-Provider, Amazon, Ebay usw.) auf jeden Fall geändert werden.
Um die Sicherheit des eigenen Passwortes zu überprüfen gibt es auf der Seite zudem die Funktion „Pwned Passwords“. Mit dieser Funktion lässt sich überprüfen, ob und wie oft ein Passwort bereits in diversen Datenlecks aufgetaucht ist. Die Verwendung der Funktion erfolgt jedoch auf eigene Gefahr. Grundsätzlich sollte man beachten, dass das Passwort eines Webdienstes niemals außerhalb der Webseite des entsprechendes Dienstes eingegeben werden sollte.

 

Woher kommen die Daten?
Die Daten aus der Sammlung „Collection #1“ stammen vermutlich überwiegend aus verschiedenen Hacks und Passwort-Leaks einiger großen Dienste in der Vergangenheit. Laut Troy Hunt lassen sich anhand des Datensatzes Rückschlüsse auf die Herkunft schließen. Eine exakte Nachforschung wäre aufgrund des riesigen Umfanges aber unmöglich. Auch entsprechende Schadsoftware (Viren, Trojaner, etc.) auf dem eigenen Computer kann unter anderem ein Grund sein, weshalb die eigenen Daten in einem solchen Datensatz auftauchen. Sollten Sie betroffen sein, ist auch ein Sicherheits-Check Ihres Computers eines Sinnvolle Maßnahme.
Da die meisten Nutzer sich mit der identischen Kombination aus E-Mail-Adresse und Passwort bei mehreren Diensten und Portalen anmelden, versuchen die Angreifer es häufig mit einem Automatismus, der zum Login die Kombinationen aus der Sammlung auf verschiedenen Webseiten versucht. Das führt leider sehr oft zum Erfolg und hat die Übernahme unzähliger Konten diverser Webseiten zur Folge.

 

Wie kann ich mich davor schützen?
Um einen Diebstahl der Daten vom eigenen Computer zu verhindern ist ein entsprechender Virenschutz unumgänglich. Da der überwiegende Teil der Daten aus „Collection #1“ jedoch direkt aus Hacks verschiedener Dienste stammt, ist hier die Verwendung unterschiedlicher Passwörter für die verschiedenen Webseiten der beste Weg. So kann man sicherstellen, dass aus einem Datenleck nicht zusätzlich diverse Konten bei anderen Diensten gekapert werden können. Damit man sich die vielen verschiedenen komplexen Passwörter nicht merken muss, kann ein sicherer Passwort-Manager verwendet werden.
Ein wichtiges Kriterium ist zudem die Stärke eines Passwortes. Dafür haben wir bereits Empfehlungen in einem anderen Artikel (Sichere Passwörter erstellen) veröffentlicht. Grundsätzlich gilt: je länger, desto besser. Die Mindestlänge sollte acht Zeichen betragen. Durch die Kombination von Zahlen, Sonderzeichen sowie Groß- und Kleinschreibung kann die Sicherheit des Passwortes zusätzlich gesteigert werden. Vollkommen ungeeignet sind z.B. Namen von nahestehenden Personen, Geburtsdaten, Wörter die im Duden stehen sowie Tastaturmuster wie z.B. „asdfg“ oder „1234abdefg“. Zudem ist es Sinnvoll wichtige Passwörter in regelmäßigen Abständen zu ändern.