Datenleck Collection #1: Ich bin betroffen. Was kann ich tun?

17 Jan 2019

Der Datenschutz- und Sicherheitsexperte Troy Hunt hat gestern einen Blogartikel über die sogenannte Collection #1 veröffentlicht – eine riesige Datenbank mit mehr als 700 Millionen E-Mail-Adressen und mehr als 1,1 Milliarden eindeutigen Login/Passwort-Kombinationen, die vor kurzem im Internet aufgetaucht sind. In diesem Beitrag möchten wir Ihnen erklären, wie Sie prüfen können, ob Sie von dem Datenleck betroffen sind und wie Sie Ihre privaten Daten schützen können.

Datenlecks und -pannen kommen vor – sogar häufiger als man denkt. Cyberkriminelle sammeln die geleakten Informationen und erstellen Datenbanken mit Nutzernamen/E-Mail-Adressen und Passwörtern. Einige von ihnen versuchen sogar, diesen Datenbanken kontinuierlich mit Informationen, die aus jedem noch so kleinen Leck resultieren, zu bestücken; diese Bemühungen führen dann zur Kreation gigantischer Datenbanken, wie beispielsweise Collection #1, die von Troy Hunt analysiert wurde.

Dabei handelt es sich bei Collection #1 nicht „nur“ um ein gigantisches Datenleck (wie es beispielsweise mit Milliarden gestohlenen Anmeldeinformationen bei Yahoo! der Fall war), sondern um eine komplette Sammlung, die Informationen aus mehr als 2000 verschiedenen Lecks umfasst, von denen einige sogar bis auf das Jahr 2008 zurückdatiert werden können.

Kurioserweise scheint Collection #1 keine Benutzernamen und Passwörter  bekannter Datenlecks, wie beispielsweise dem LinkedIn-Leck im Jahr 2012 oder beiden Yahoo-Pannen (hier unser Beitrag über Yahoo-Leck #1 und hier unser Artikel über Datenpanne #2) zu enthalten.

Sind Sie von Collection #1 betroffen?

Um herauszufinden, ob sich Ihre Logindaten in der Datenbank befinden, können Sie die Website haveibeenpwned.com verwenden. Geben Sie dort einfach Ihre E-Mail-Adresse ein, mit der Ihre Konten verknüpft sind, und schon können Sie feststellen, ob sich diese Adresse in einer der geleakten Datenbanken, die haveibeenpwned.com bekannt sind, befindet.

Wenn Ihre E-Mail Teil von Collection #1 ist, wird es auf haveibeenpwned definitiv einen Eintrag darüber geben. Sollte dies nicht der Fall sein, sind Sie eine der glücklichen Personen, die in dieser Situation nichts weiter unternehmen muss. Sollten Ihre Daten in der Liste auftauchen, beginnt der etwas kniffligere Teil.

Was sollte ich tun, wenn mein E-Mail-Account in der Datenbank auftaucht?

Sollte Ihre E-Mail-Adresse Teil der Sammlung sein, ist dies definitiv ein Zeichen dafür, dass Sie so schnell wie möglich handeln sollten, um Ihre Online-Privatsphäre zu garantieren. Leider wird Ihnen der Dienst nicht mitteilen, welches Ihrer Konten, das mit dieser E-Mail verknüpft ist, von dem Leck betroffen ist. Abhängig davon, ob Sie für alle oder mehrere Dienste und Accounts ein einziges Passwort verwendet haben oder nicht, stehen Ihnen folgende zwei Möglichkeiten zur Verfügung:

Möglichkeit 1: Sie haben ein einziges Passwort für mehrere Konten gleichzeitig verwendet, die mit der angegebenen E-Mail-Adresse verknüpft sind. Dann steht Ihnen ein ganzes Stück Arbeit bevor, denn um Ihre Onlinesicherheit zu gewährleisten, müssen Sie all diese Konten durchgehen und die Passwörter für jeden Account individuell ändern. Vergessen Sie dabei nicht, dass jedes dieser Passwörter lang und einzigartig sein sollte. Diese dann auch noch auswendig zu lernen und zu behalten, ist wahrscheinlich unmöglich; wir raten deshalb zu einem professionellen Passwort-Manager.

Möglichkeit 2: Sie haben verschiedene Passwörter für die mit der angegebenen E-Mail-Adresse verknüpften Konten verwendet. Gute Nachrichten: Sie sparen sich jede Menge Zeit und Arbeit. Natürlich können Sie auch in diesem Fall die Kennwörter all Ihrer Konten ändern – dies ist jedoch nicht unbedingt erforderlich. Mit dem Feature Pwned Passwords von haveibeenpwned, können Sie nämlich ganz einfach in Erfahrung bringen, welche Passwörter betroffen sind.

Geben Sie dazu einfach ein beliebiges Passwort auf der genannten Website ein und finden Sie heraus, ob es sich in der Datenbank von haveibeenpwned befindet – entweder in Klartext oder als Hashwert. Wenn eines Ihrer Passwörter mindestens einmal angezeigt wurde, sollten Sie schleunigst ändern. Taucht es nicht auf, ist es sicher und Sie können das nächste Passwort prüfen.

Selbstverständlich bedeutet das auch, dass Nutzer haveibeenpwned blind vertrauen müssen. Sollten Sie das nicht tun, können Sie auf der Seite auch lediglich einen SHA-1-Hashwert Ihres Passworts eingeben – das Ergebnis wird dadurch nicht beeinträchtigt. Es gibt zahlreiche Online-Ressourcen, die aus jeglichen Informationen SHA-1-Hashwerte ermitteln (hier meine Google-Suche dazu); auf diese Weise müssen Sie Ihr Passwort nicht auf haveibeenpwned enthüllen.

Allgemeine Tipps: So schützen Sie sich vor Datenlecks

In den letzten Jahren sind wir Zeugen zahlreicher Datenlecks geworden, und wir gehen stark davon aus, dass sich das auch in naher Zukunft nicht großartig ändern wird; deshalb tauchen zeitweise immer wieder neue große Datenbanken wie Collection #1 auf, die Kriminelle gerne verwenden, um zu versuchen, Zugriff auf die Konten anderer Nutzer zu erlangen. Um die Wahrscheinlichkeit zu minimieren, Opfer derartiger Datenpannen zu werden, empfehlen wir Folgendes:

  • Verwenden Sie lange und einzigartige Passwörter für jedes Ihrer Konten. Sollte einer Ihrer verwendeten Dienste von einem Datenleck betroffen sein, müssen Sie lediglich ein Passwort ändern.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung, wenn möglich. So bleibt Hackern der Zugriff auf Ihr Konto verwehrt, selbst wenn sie Ihre Login-Daten abgefangen haben.
  • Verwenden Sie Sicherheitslösungen wie Kaspersky Security Cloud, die vor aktuellen Datenlecks warnen.
  • Verwenden Sie einen Passwort-Manager, der Ihnen dabei hilft, viele eindeutige und sichere Passwörter zu erstellen, ohne die Notwendigkeit, sich diese merken zu müssen. Passwort-Manager helfen auch dabei, Passwörter im Fall der Fälle schneller ändern zu können. Kaspersky Password Manager erledigt beide Aufgaben effizient.