IT-Sicherheit

Datenleak weit größer als gedacht – wie man sich schützt

Daten-Leak: 20-jähriger Hacker festgenommen

Panorama Video

Daten-Leak: 20-jähriger Hacker festgenommen

Beschreibung anzeigen

Nach "Collection #1" sind noch viel mehr private Daten aufgetaucht: 2,2 Milliarden E-Mail-Adressen und Passwörter betroffen.

Berlin.  Die Ausmaße eines vergangene Woche unter dem Namen „Collection #1“ entdeckten Datenlecks sind offenbar noch gigantischer als bislang angenommen: Das Potsdamer Hasso-Plattner-Institut (HPI) hat nun noch Daten-Sammlungen mit den Titeln „Collection #2 - #5“ im frei zugänglichen Teil des Internets gefunden.

„2,2 Milliarden E-Mail-Adressen und die dazugehörigen Passwörter sind allein durch die unter dem Namen „Collection #1-#5“ bekannt gewordenen Datensammlungen veröffentlicht worden“, zitiert eine Mitteilung den HPI-Direktor Christoph Meinel.

Zuvor war von 773 Millionen eindeutig zuzuordnende Passwörter und E-Mail-Adressen die Rede gewesen. Auch viele deutsche Nutzer sind von dem Leck betroffen.

Auch Daten von Abgeordneten abgegriffen

Auch SPD-Bundestagsabgeordnete waren von dem Leck „Collection #1“ betroffen. „Alle bisher überprüften E-Mail-Adressen von Bundestagsabgeordneten wurden in der Datenbank gefunden“, schrieb der parlamentarische Geschäftsführer der SPD-Fraktion, Carsten Schneider, nach Informationen unserer Redaktion vor kurzem an alle SPD-Abgeordneten.

Es sei wahrscheinlich, dass die in der Datenbank enthaltenen Kontodaten aus alten Einbrüchen oder Datenleaks stammten. „Es gibt bisher keine Indizien dafür, dass sich Daten aus aktuellen Vorfällen darunter befinden“, erklärte Schneider, der sich auf eine erste Einschätzung des Lagezentrums des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beruft.

IT-Experte entdeckte Datenleak

Der australische IT-Sicherheitsexperte Troy Hunt war auf die erste Veröffentlichung aufmerksam geworden und veröffentlichte einen Screenshot der inzwischen entfernten Datei in seinem Blog.

Das Dokument hatte demnach über zweieinhalb Milliarden Zeilen. Über eine Milliarde E-Mail-Adressen und Passwörter ließen sich laut Troy Hunt eindeutig zuordnen. „Da Hacker Hacker sind und ihre Datenspeicher nicht immer ordentlich formatieren, gehört dazu auch etwas Müll“, schreibt Hunt.

Datenleak ist eines der größten überhaupt – das Wichtigste in Kürze:

  • Hacker haben die Passwörter und E-Mail-Adressen von Millionen Nutzern ins Netz gestellt
  • Ein IT-Experte aus Australien ist darauf aufmerksam geworden
  • Im Internet kann man checken, ob man selbst betroffen ist
  • Auch SPD-Bundestagsabgeordnete sind von dem Leak betroffen

Der IT-Sicherheitsexperte hat die Daten bereinigt. Das Ergebnis sind 772.904.991 eindeutige E-Mail-Adressen und 21.222.975 eindeutige Passwörter. Allerdings: „Ungeachtet der größten Anstrengungen ist das Endergebnis weder perfekt noch kann es das sein“, räumt Hunt auf seinem Blog ein.

Dennoch deuten die bisherigen Zahlen auf einen der größten Datenleaks überhaupt hin. Getoppt wird er nur von dem Daten-Diebstahl beim Internetunternehmen Yahoo, das 2013 zwischen einer und drei Milliarden Accounts nicht schützen konnte.

Über die Qualität der Daten, also darüber, wer genau betroffen ist, lässt sich keine eindeutige Aussage treffen.

Zuletzt hatte es in Deutschland einen großen Daten-Angriff auf Politiker und Prominente gegeben. Der Datenleak war von einem 20-Jährigen durchgeführt worden. Auch Hunt schließt nicht aus, dass es sich bei dem nun entdeckten Leak um einen Einzeltäter handeln könnte.

BSI gibt Tipps zum Datenschutz

Wie man seine eigene Identität im Internet schützen kann, erklärt das BSI mit einem Schutzmaßnahmenkatalog auf seiner Seite.

Diese Tipps gibt das BSI:

  • Die Datenschutzerklärungen und AGBs sollten immer beachtet werden, bevor man sich online registriert.
  • Unterschiedliche Nutzernamen sollten genutzt werden.
  • Für jeden Dienst sollte ein eigenes Passwort verwendet werden.
  • Man sollte nur so viele Daten angeben, wie wirklich notwendig sind.
  • Man sollte online nichts erzählen, was man im echten Leben nicht auch einem Fremden erzählen würde.
  • Bei der Eingabe des PINs auf Mobilgeräten sollte man aufpassen, dass man nicht beobachtet wird.
  • Auf mobilen Geräten sollten keine Passwörter gespeichert werden.
  • Bei unbekannten Mails sollten keine Links angeklickt werden.
  • Die Software der Geräte sollte immer auf dem neusten Stand sein.

Vom Datenleak betroffen? So checken Sie es:

Troy Hunt selbst bietet einen Service auf seiner Seite an, mit der überprüft werden kann, ob man von dem Datenleak betroffen ist.

• Auf der Webseite Have I Been Pwned (HIBP), können Nutzer E-Mail-Adressen in eine Suchmaske eingeben und einen Check durchführen. Übersetzt heißt die Seite so viel wie „Wurde ich eingenommen?“

Pwned ist ein IT-Slangbegriff, der sich vom englischen Wort „own“ („besitzen, im Besitz von etwas sein“) ableitet.

Ist die E-Mail-Adresse in einem Leak auffindbar, ploppt ein roter Banner auf. Darauf steht „Oh no – pwned“. Darunter steht die Anzahl der „Verstöße“. Diese Zahl gibt an, in wie vielen Fällen Daten frei zugänglich waren. Meist handele es sich dabei um versehentliche Verstöße, etwa durch Sicherheitslücken in der Software, schreibt Hunt.

Auch wird die Anzahl der „Pastes“ („Einfügungen“) angegeben. Das sagt aus, auf wie vielen Seiten die Daten derzeit öffentlich zugänglich sind.

Wurden die Daten dagegen nicht gestohlen, wird ein grüner Banner mit dem Spruch „Good news – no pwnage found“ („gute Nachrichten – kein Leak gefunden“) angezeigt.

Auch Passwörter lassen sich überprüfen

Nach demselben Prinzip lassen sich Passwörter überprüfen. Wer beispielsweise das Passwort „1234“ nutzt, wird feststellen, dass dieses Passwort schon über eine Million Mal genutzt wurde. Es folgt der Hinweis, dass dieses Passwort nicht mehr genutzt und stattdessen geändert werden sollte. „123456“ ist übrigens das beliebteste Passwort der Deutschen.

Diese Tipps hat Hunt:

  • Grundsätzlich warnt Hunt vor Passwörtern, die über 51.000 Mal verwendet wurden.
  • Diese Passwörter seien „schrecklich“ und jeder, der ein solches Passwort benutze, sei mit seiner Wahl des Passwortes schlecht beraten und sollte es ändern.
  • Bei einem nicht geleakten Passwort dagegen werden dem Nutzer wieder „Gute Nachrichten“ präsentiert, gleichwohl mit dem Hinweis, dass das nicht bedeuten muss, dass das Passwort auch wirklich „gut“ sei, sondern lediglich nicht in den vorhandenen Datensets auf der Seite auftauche.

Ist Hunts Seite selbst sicher?

Nun stellt sich die Frage, wie sicher und zuverlässig die Seite selbst ist. Immerhin hat Troy Hunt den Leak entdeckt und profitiert nun mit seiner eigenen Seite davon. Fest steht: Der Service der E-Mail und Passwort-Kontrolle ist nicht neu. Hunt bietet die Seite bereits seit 2013 an.

Sehr transparent geht er dabei mit den Umsetzungen des Datenschutzes um. „Wenn eine Datenverletzung im HIBP geladen wird, werden nur die E-Mail-Adressen im Online-System gespeichert. Andere Daten jeglicher Art (Namen, Telefonnummern usw.) werden beim Laden der Daten nicht gespeichert.“

Auch würden E-Mail-Adressen und Passwörter nicht in Kombination miteinander gespeichert. Bei der Suchfunktion finde keine Protokollierung und Speicherung der Daten statt.

Troy Hunts Seite wird sogar von offizieller Seite empfohlen: Das Bundesamt für Sicherheit in der Informationstechnik weist explizit auf die Internetplattform hin.

Troy Hunt ist in der IT-Branche bekannt

Was ebenfalls für Troy Hunt spricht: Der Australier ist auf dem Feld der IT-Sicherheit kein Unbekannter. Für Microsoft arbeitet er unter anderem als Regional Direktor in beratender Funktion. Von dem weltweit größten Softwarehersteller hat Troy Hunt für seine Auszeichnung unter anderem die höchste interne Auszeichnung, den „Most Valuable Professional“-Titel, erhalten.

Von dem Datenleak war Hunt, der im vergangenen Jahr den Grand-Prix-Preis des „European Security Blogger Award“ für den besten Sicherheitsblog gewann, nach eigener Aussage selbst betroffen. „Was ich jedoch sagen kann, ist, dass meine persönlichen Daten dort vorhanden sind und korrekt sind; eine richtige E-Mail-Adresse und ein Passwort, das ich vor vielen Jahren verwendet habe. (tki/les)