- Artikel
Kennen Sie „haveibeenpwned“?
Unter https://haveibeenpwned.com/ bietet der australische Sicherheitsforscher Troy Hunt Nutzern eine Möglichkeit zu prüfen, ob ihre E-Mail-Adresse Teil bekannter großer Daten-Leaks ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält den Betreiber des Dienstes für vertrauenswürdig. Zu den Leaks, die Hunt berücksichtigt, kam es oft durch Datenlecks bei Unternehmen, nicht durch ein Fehlverhalten der Nutzer. Um ein Ergebnis angezeigt zu bekommen, tippt man seine Adresse ins Eingabefeld und klickt auf "pwned?".
Geben gehackte Unternehmen bekannt, welche Informationen gestohlen wurden, sammelt "Have I Been Pwned" diese ein und nimmt sie in die Datenbank auf. Nutzer können dann ihre E-Mail-Adresse oder ihre Telefonnummer in die Suchzeile eintippen und finden heraus, ob ihr Account betroffen ist.
Im Idealfall folgt darauf dieser Bildschirm: "Good news - no pwnage found!" - die Adresse ist in keinem der erfassten Leaks aufgetaucht. Dass Sie unhackbar sind, bedeutet das Ganze aber natürlich auch nicht. Wenn Sie beispielsweise ein leicht zu erratendes Passwort nutzen, sind Sie immer noch leicht angreifbar. Aber, das ist die gute Nachricht, zumindest in den großen, online veröffentlichten Datenpaketen der letzten Jahre fand sich nichts zu Ihrer Adresse.
Im schlechteren Fall stoßen Sie auf diese Seite "Oh no - pwned!". In diesem Beispiel ist eine E-Mail-Adresse im Kontext von vier von Troy Hunt erfassten Datenlecks aufgetaucht. Damit Sie erfahren, um welche es sich handelt, scrollen Sie einfach nach unten, über die drei Sicherheitstipps hinweg zum Punkt "Breaches you were pwned in".
Wichtig: Wenn Ihnen auf "Have I been pwned" angezeigt wird, dass Sie betroffen sind, heißt das noch nicht, dass wirklich jemand unbefugt in einem Ihrer Accounts war oder dass die Daten des Accounts im Netz kursieren. Es bedeutet erst mal nur, dass eine entsprechende Gefahr besteht oder bestanden hat. Sie können sich übrigens auch kostenlos auf der Website registrieren und werden dann automatisch per E-Mail benachrichtigt, wenn Ihre E-Mail-Adresse irgendwann in einem Datenleck auftaucht. Und Sie können Ihre Adresse in einem Opt-out-Feld eingeben, dann können andere auf der Website nicht mehr danach suchen.
Hier haben wir heruntergescrollt: Unsere Test-E-Mail-Adresse taucht dem Dienst zufolge unter anderem im Kontext von Datenlecks bei Adobe und Patreon auf - die Accounts dort sollten also mal überprüft werden, ein Passwortwechsel dort ist sinnvoll. Unter "compromised data" wird jeweils erklärt, welche Daten bei den Firmen abgegriffen werden konnten: Bei Adobe geht es etwa um E-Mail-Adressen, Passwörter und Nutzernamen.
Wichtig: Angreifbar waren im Zweifel die Accounts bei den genannten Diensten, es geht nicht um das E-Mail-Konto selbst. Gefährlich wird es nur, wenn bei Adobe dasselbe Passwort wie beim E-Mail-Anbieter genutzt wurde. Die Alarmglocken sollten auch dann schrillen, wenn statt Firmen wie Adobe oder Patreon Ihr E-Mail-Anbieter direkt genannt wird.
Manche Datenlecks kann Troy Hunt nicht direkt bestimmten Firmen und Diensten zuordnen. Das ist zum Beispiel bei der "Collection #1" der Fall, die auch in unserem Test auftaucht. Hier heißt es nur allgemein, dass die E-Mail-Adresse und "Passwörter" Teil des Leaks waren. In diesem Fall sollten Sie sicherheitshalber das Passwort des Mail-Accounts selbst ändern, ebenso das Passwort wichtiger Dienste, bei denen Sie mit der eingegebenen E-Mail-Adresse angemeldet sind.
In unserem Fall ist die E-Mail-Adresse noch im Kontext eines sogenannten "Pastes" aufgetaucht, sie stand also mal auf einer Seite wie Pastebin, auf der kriminelle Hacker mitunter Auszüge Ihrer Beute präsentieren. Auch hier ist es schwer, aus der Angabe konkrete Schlüsse zu ziehen: Vorsichtshalber sollten Sie auch in diesem Fall das Passwort Ihres E-Mail-Accounts ändern, sowie die Passwörter wichtiger Dienste, die Sie mit genau dieser E-Mail-Adresse nutzen.
Wenn Sie sich fragen, wie gut oder schlecht bestimmte Passwörter sind, können Sie einen weiteren Service von Troy Hunt nutzen: Unter https://haveibeenpwned.com/Passwords können Sie ein beliebiges Passwort eingeben und bekommen dann eine Rückmeldung, wie oft es in Datenlecks auftaucht. Ein Passwort, das aus Datenlecks bekannt ist, sollten Sie nicht mehr verwenden.
Ob man sein eigenes, aktuelles Passwort auf Troy Hunts Seite eingeben sollte, ist umstritten. Das BSI rät hier zur Vorsicht: "Passwörter sollten vertraulich behandelt werden und privat bleiben." Ein Besuch von Hunts Seite mit ein paar Beispiel-Eingaben - etwa mit Alternativpasswörtern, über deren Einsatz Sie mal nachgedacht haben - kann Ihnen trotzdem helfen, ein Gefühl davon zu bekommen, wie sicher Ihre eigenen Kennwörter sind.
Wir alle sind potenziellen Zielen von Hackern und Cyberkriminellen. Durch das Nutzen von Diensten wie haveibeenpwned.com können wir prüfen, ob unsere E-Mail-Adressen bereits in Datenbanken von gehackten Websites auftauchen. Wenn dies der Fall ist, sollten wir unsere Passwörter umgehend ändern. Durch das Bewusstsein für die Bedrohung, die von Hackern und Cyberkriminellen ausgeht, können wir uns besser schützen.
Sie sehen also, wie wichtig es ist, sichere Passwörter zu verwenden. Denn auch wenn Sie kein direktes Ziel von Hackern sind, können Sie durch die Nutzung unsicherer Dienste indirekt betroffen sein. Testen Sie jetzt Ihre E-Mail-Adresse auf https://haveibeenpwned.com/ und ändern Sie gegebenenfalls Ihr Passwort.
Quelle: www.spiegel.de
Ansprechpartner
Gerne beraten wir Sie
Stefan Otto
Product Manager
stefan.otto@cyber24security.de
+49 39608 2690-02