Gigantischer Datendiebstahl 773 Millionen E-Mail-Konten gehackt: Stehen Ihre Log-in-Daten schon im Netz?

Von Christian Ströhl und dpa | 17.01.2019, 14:13 Uhr

Im Internet ist ein riesiger Datensatz mit gestohlenen Log-in-Informationen aufgetaucht. Stehen Ihre Log-in-Daten im Netz? Mithilfe dieser Datenbanken können Sie es herausfinden.

Im Internet ist ein gewaltiger Datensatz mit gestohlenen Log-in-Informationen aufgetaucht. Darin enthalten seien knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen im Klartext lesbare unterschiedliche Passwörter enthalten, berichtete der IT-Sicherheitsexperte Troy Hunt in der Nacht zum Donnerstag.

Wer ist betroffen – und wer muss sich keine Sorgen machen?

Der Verdacht, dass jemand Zugriff auf die eigenen Internetkonten vom E-Mail-Postfach über Foto- oder Videoplattformen und Onlinespeicher bis hin zu sozialen Netzwerken haben könnte, lässt niemanden ruhig schlafen. Aktuell ist im Netz wieder ein Datensatz mit Millionen Log-in-Informationen "aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen" aufgetaucht, den der australische IT-Sicherheitsexperte Hunt publik gemacht macht.

Weiterlesen: Vorsicht vor gefährlicher Spam-Welle: Trojaner Emotet ist zurück

Das sollten Sie jetzt unbedingt tun

Internetnutzer sollten jetzt prüfen, ob auch ihre Log-in-Daten ins Netz gelangt und dort mehr oder weniger frei auffindbar sind. Helfen können dabei Datenbanken, in die Sicherheitsforscher nach Hackerangriffen oder Datenlecks kompromittierte Zugangsdaten einpflegen. Troy Hunt selbst betreibt etwa den Abfrage-Dienst "Pwned Passwords".

Der Programmierer Janis von Bleichert hat das englische Programm auf seinem Portal "experte.de" ins Deutsche übersetzt. Das deutsche Formular funktioniert genauso, wie das englischsprachige Pendant. Zusätzlich zeigen deutschsprachige Erläuterungen, bei welchen Hacks die eigenen Daten in die Hände von Hackern gelangt sind.

Diese Datenbanken zeigen, ob ihr Passwort gestohlen wurde

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Internetnutzern, kontinuierlich zu überprüfen, ob ihnen sensible Daten wie Benutzernamen und Passwörter bei bekannt gewordenen Datenabflüssen gestohlen worden sind – und empfiehlt neben Troys "Pwned"-Abfragen folgende Datenbanken:

Firefox Monitor: Der Abfragedienst von Mozilla greift auf die Datenbank von "Have I been pwned?" zurück, arbeitet nahezu identisch, unterscheidet sich aber durch ein praktisches Detail: Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mailadresse registrieren und bekommt dann sofort Bescheid, falls eigene Daten im Netz auftauchen sollten.

Ebenfalls praktisch für Firefox-Nutzer: Der Browser schlägt Alarm, wenn man auf einer Seite surft, die gehackt worden ist oder auf der es ein Datenleck gab. Unterhalb der Adressleiste öffnet sich dann eine Benachrichtigung, die etwa über den Zeitpunkt und das Ausmaß des Angriffs oder des Lecks informiert und zu einer Monitor-Abfrage rät.

Identity Leak Checker: eine weitere Abfragemöglichkeit, die das Potsdamer Hasso-Plattner-Institut (HPI) anbietet. Auch hier müssen E-Mail-Adressen angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.

Breach Alarm: Dieser Dienst arbeitet ebenfalls mit E-Mail-Adressen. Die ad-hoc-Abfrage sowie der Monitor-Dienst mit einer Mail-Adresse sind gratis.

Handeln sie!

Spätestens wenn die eigene Mail in einer dieser Abfragen auftauch, sollte man über ein neues Passwort und wenn möglich über eine Zwei-Faktor-Authentifizierung nachdenken, sagt Linus Neumann vom Chaos Computer Club. "Das Jahr ist gerade mal zwei Wochen alt und es ist bereits das zweite Mal, dass wir alarmierende Nachrichten haben", sagte er auch mit Blick auf den massiven Online-Angriff auf knapp 1000 Politiker und Prominente, der Anfang Januar publik geworden war.

"Es gibt keine Ausreden mehr. Jeder der nichts für seine Sicherheit macht, handelt fahrlässig und geht ein Risiko ein." Neumann rät, bei allen Diensten ein jeweils anderes und zufälliges Passwort mit maximaler Länge zu nutzen. Dieses solle dann über einen Passwort-Manager verwaltet werden. Bei der von Neumann empfohlenen Zwei-Faktor-Authentifizierung entriegeln Nutzer den Zugang zu ihrem Onlinekonto oder Social-Media-Profil zusätzlich zum Passwort durch eine weitere Abfrage auf einem anderen Weg. Das kann beispielsweise eine SMS oder eine Code-Abfrage sein.

Trotzdem ist Vorsicht geboten

Gibt es bei einem der Dienste einen Treffer, sollte das verbrannte Passwort geändert und nicht weiter verwendet werden. Achtung: Die Tatsache, dass ein Passwort nicht in dieser oder einer der anderen Datenbanken steht, bedeutet nicht, dass es sicher ist.

Onlinekonten sollten nicht nur mit starken, sondern mit individuellen Passwörtern und möglichst einer Zwei-Faktor-Authentifizierung geschützt werden. Besonders wichtig ist ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken. Als Hilfsmittel zum Verwalten und Nutzen vieler verschiedener guter Passwörter rät das BSI zu Passwortmanagern.

infobox id="dialog_id_79ca95e8-d36f-4d07-81a7-5b158849efc4" title="" headline="Weitere hilfreich Tipps des BSI" content="