Technik

Lehre aus Monster-Datenleak Kein Online-Konto ist sicher

Hacker Passwort.jpg

Besonders gefährlich wird es, wenn Hackern neben der E-Mail-Adresse auch das Passwort in die Hände gefallen ist.

imago/Science Photo Library

Erneut taucht im Internet ein Datensatz mit vielen Millionen E-Mail-Adressen und Passwörtern auf. Sie stammen von Tausenden Websites, nicht aus einem einzelnen großen Hack. Nutzer sollten daraus eine Lehre ziehen: Kein Online-Konto ist wirklich sicher. Aber man kann etwas tun.

Die Nachricht, dass ein australischer IT-Experte in einem Hacker-Forum einen Datensatz mit 773 Millionen E-Mail-Adressen und 21 Millionen Passwörtern entdeckte, hat viele Nutzer aufgeschreckt. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt, handelt es sich bei "Collection#1"um Daten, die über einen längeren Zeitraum gesammelt wurden und zum Teil älteren Datums sind." Das heißt, es gibt keinen neuen, spektakulären Hack einer großen Online-Plattform, bei der Angreifer Millionen Zugangsdaten erbeutet haben, sondern viele Quellen.

Viele verschiedene Quellen

Laut einer Liste des Entdeckers mit fast 3000 Internetadressen handelt es sich bei "Collection#1" aber wohl nicht nur um eine weitere Sammlung schon länger im Netz kursierender Datensätze. Unter ihnen befinden sich zahlreiche Adressen, die dem Datum nach offenbar im vergangenen Jahr abgeschöpft wurden. Auch viele deutsche Websites stehen in der Liste, man findet sie, indem man sie aufruft und in der Browser-Suche ".de" eingibt.

[Update 18.01 16:00] Dem Sicherheitsforscher Brian Krebs zufolge ist das Ausmaß des Datenleaks noch viel größer als bisher bekannt war. Er hat herausgefunden, dass der Anbieter im Hacker-Forum eine Telegram-Adresse angibt und hat diesen darüber kontaktiert. "Sanixer" bestätigt, dass die Daten in "Collection#1" auf vielen verschiedenen Websites gesammelt wurden, der Datensatz sei aber nicht der jüngste in seinem Angebot. Insgesamt verkauft "Sanixer" fast 1 Terabyte Daten, "Collection#1 ist lediglich knapp 87 Gigabyte groß.

collection1 Werbung.jpg

(Foto: KrebsonSecurity)

Einen Grund zur Panik gibt es nicht, aber Nutzer sollten aus dem Monster-Datenleak eine Lehre ziehen: Kein Online-Konto ist wirklich sicher. Es gibt immer ein Risiko, dass Hacker E-Mail-Adressen oder Passwörter erbeuten. Mal ist es größer, mal kleiner, eine hundertprozentige Sicherheit gibt es aber nicht. Davon sollten Nutzer ausgehen und sich entsprechend verhalten.

Bin ich betroffen?

Aktuell empfiehlt es sich, zu testen, ob man vom jüngsten oder einem älteren Datenleak betroffen ist. Ob die E-Mail-Adresse bei einem Angriff erbeutet wurde, kann man auf der Website "Have I Been Pwned" testen. Sie wird vom Entdecker des "Collection#1"-Datensatzes und Microsoft-Mitarbeiter Troy Hunt betrieben und gilt als vertrauenswürdig. Er bietet auf Pwned Passwords auch an, Passwörter zu überprüfen. Hunt versichert, dies mit anonymisierten Werten zu tun. Aber um jedes Restrisiko auszuschließen, sollte man ein getestetes Passwort anschließend ändern, selbst wenn es in keinem Datensatz gefunden wurde. Denn wie auch Hunt selbst schreibt, darf man ein Passwort grundsätzlich nie preisgeben.

Auch Mozillas Firefox-Monitor nutzt "Have I Been Pwned". Zusätzlich zu einem Schnelltest kann man hier eine E-Mail-Adresse registrieren und erhält dann einen detaillierten Bericht über die Leaks, von denen man betroffen ist. Man erfährt so beispielsweise, welche Daten außer der E-Mail-Adresse erbeutet wurden. Dies können unter anderem Benutzernamen, Passwörter, Passwort-Hinweise oder Bankdaten sein. Außerdem verschickt Mozilla registrierten Nutzern künftig automatisch Warnungen, sobald ihre Konten bei einem neuen Hackerangriff kompromittiert wurden.

Sicheres Passwort für jeden Zugang

Kaum jemand wird für jedes Online-Konto eine neue E-Mail-Adresse einrichten. Es lohnt sich aber, wenigstens eine spezielle Adresse ausschließlich für besonders wichtige Zugänge zu nutzen. So hat man eine relativ gute Chance, dass sie noch nicht auf dem Hacker-Markt ist und dort auch nicht so schnell landet. Am besten nimmt man dafür auch einen besonders sicheren Dienst, beispielsweise von den deutschen Anbietern Mailbox.org und Posteo.

Wichtiger ist allerdings, für jeden Zugang ein individuelles Passwort einzurichten. So geraten bei einem Datenleak nicht automatisch alle anderen Konten in Gefahr. Viele Nutzer tun dies allerdings nicht, weil sie sich die verschiedenen Kombinationen nicht merken können oder wollen. Das Problem kann man aber ganz einfach mit einem Passwort-Manager lösen. Er speichert gut abgesichert alle Zugangsdaten. Um sie abzurufen, muss man sich nur ein Master-Passwort merken. Laut Stiftung Warentest sind unter anderem LastPass Premium oder Keeper Security empfehlenswert. Eine gute Lösung ist auch das Open-Source-Tool KeePass.

Keine einfachen Passwörter verwenden

Besser als zu einfache Passwörter oder immer die gleiche Kombination zu verwenden, ist es immer noch, sich die Zugangsdaten aufzuschreiben und sicher aufzubewahren. Hacker brechen nicht in Wohnungen ein und klauen Notizbücher aus Schreibtischschubladen. Viel wahrscheinlicher ist, dass sie simple Passwörter erraten oder Zugangsdaten von den Servern eines Dienstes erbeuten.

Ein Passwortmanager hat auch den Vorteil, dass man lange Kombinationen mit Sonderzeichen nutzen kann, die man sich normalerweise nicht merken könnte. Was man bei einem guten Passwort alles berücksichtigen sollte, hat unter anderem das BSI aufgeschrieben.

Zwei-Faktor-Authentifizierung nutzen

Hacker haben selbst mit E-Mail-Adresse und Passwort kein leichtes Spiel, wenn für ein Konto die Zwei-Faktor-Authentifizierung (Bestätigung in zwei Schritten) eingerichtet wurde. Das bedeutet, der Nutzer muss zusätzlich einen Code eingeben, den er per SMS zugeschickt bekommt, eine App generiert einen einmaligen Schlüssel oder man bestätigt den Vorgang direkt auf einem angemeldeten Smartphone. Noch besser sind Sicherheitsschlüssel auf einem USB-Stick (fido u2f security key), der zusätzlich zu E-Mail-Adresse und Passwort zum Einsatz kommen muss, bevor ein Zugang gewährt wird.

Gesundes Misstrauen

Die beste Technik nützt allerdings gar nichts, wenn der Nutzer nicht mitdenkt und seine Daten freiwillig preisgibt. Dies passiert immer noch sehr häufig, weil Menschen auf Phishing-Mails hereinfallen, in denen sie beispielsweise aufgefordert werden, aus Sicherheitsgründen ihre Zugangsdaten zu bestätigen. Hier gilt: Grundsätzlich wird solche Nachrichten kein seriöser Anbieter verschicken. Und wenn es Zweifel gibt, meldet man sich über den Browser selbst bei einem Dienst an und überprüft die Angaben oder ruft den Kundenservice an.

Manchmal versuchen Gangster Nutzern die Daten auch über gefälschte Webseiten zu entlocken. Gegen diese Vorgehensweise hilft es, die Adresse genau zu überprüfen. Aktuelle Browser zeigen eine sichere, verschlüsselte Verbindung mit einem Schloss-Symbol an. Klickt man darauf, sieht man weitere Informationen. Außerdem warnen die Browser oft selbstständig vor verdächtigen Seiten.

Quelle: n-tv.de

Mehr zum Thema