Anfang des Jahres machte eine Sicherheitslücke von bisher unbekanntem Ausmaß die Runde. Deutsche und internationale Medien betitelten sie als „die Mutter aller Lücken“. Auch wenn der Name theatralisch anmuten mag: Es handelte sich um eine der größten Sammlungen sensibler Daten, die je veröffentlicht wurden. Cyberkriminelle hatten Zugangsdaten von verschiedenen Unternehmen und Online-Diensten wie LinkedIn und X (ehem. Twitter) gestohlen. Insgesamt 26 Milliarden Datensätze sind auf diese Weise zusammengekommen. Enthalten waren unter anderem Regierungsdaten, aber auch Anmeldeinformationen von Privatpersonen.

Datenlecks sind eher die Regel als die Ausnahme, aber das Ausmaß an geleakten Daten stellt bisherige Lecks in den Schatten. Frühere Pannen wie Cam4 im Jahr 2020 (11 Milliarden Datensätze), der Leak bei Yahoo 2013 (drei Milliarden Datensätze) und die berühmt-berüchtigte Collection Nr. 1 in 2019 (773 Millionen Datensätze) betrafen ebenfalls zahlreiche Menschen - insbesondere, da der ersten Collection innerhalb weniger Wochen vier weitere folgen sollten.

Das sind zweifellos beeindruckende und erschreckende Zahlen, doch was bedeutet das für Nutzer und Unternehmen konkret? Die wichtigste Erkenntnis dürfte sein: Auch das längste, komplexeste und damit scheinbar sicherste Passwort nützt nichts, wenn es in einem solchen Leak auftaucht. Die nächste Frage, die sich stellt, ist: Wie kann ich überprüfen, ob ich selbst betroffen bin? Das klären wir in diesem Beitrag.

Unternehmen stehen in der Datenschutzpflicht

Unternehmen in Deutschland und der EU unterliegen gesetzlichen Vorschriften, was die Verarbeitung von personenbezogenen Daten angeht. Vor allem die DSGVO (Datenschutz-Grundverordnung) gibt Organisationen einen strengen Rahmen vor. Insbesondere bei Datenlecks sind sie verpflichtet, betroffene Nutzer sofort zu informieren (Art. 34 DSGVO) und den Vorfall innerhalb von 72 Stunden den zuständigen Behörden zu melden (Art. 33 DSGVO). Unternehmen benachrichtigen ihre Nutzer in der Regel per E-Mail über Datenschutzverletzungen. Oftmals berichten auch Medien über größere Datenvorfälle, sodass die Nutzer auch hierauf aufmerksam werden können.

Wurde ich genatzt?

Die vielleicht einfachste Methode, um die eigenen Daten auf ein Datenleck hin zu überprüfen, ist wohl ein Besuch der Internetseite haveibeenpwned.com (eheste Übersetzung: "Wurde ich genatzt?"). Hier können Anwender ihre E-Mail-Adresse oder ihre Passwörter eingeben und überprüfen, ob sie bereits von einem Datenleck betroffen waren. Zudem zeigt die Seite an, in welchen Leaks die E-Mail-Adresse aufgetaucht ist.

Have i been pwned front page

Sowohl E-Mails als auch Passwörter können auf haveibeenpwned.com durch eine einfache Suchanfrage überprüft werden.

Geben Sie einfach Ihre E-Mail-Adresse ein, klicken Sie auf "pwned?" und voilà! Es erscheint eine Meldung, die Sie über den Sicherheitsstatus Ihrer Anmeldedaten sowie womöglich über das genaue Leck informiert, in das Sie geraten sind. Wenn Sie Glück haben, ist das Ergebnis grün: Keine Sicherheitslücke liegt vor. Wenn Sie weniger Glück haben, färbt sich die Seite rot und zeigt an, in welchem Datenleck Ihre Anmeldedaten aufgetaucht sind.

Webbrowser

Einige Webbrowser, darunter Google Chrome und Firefox, können überprüfen, ob Kennwörter bereits kompromittiert wurden. Chrome empfiehlt über den integrierten Passwortmanager stärkere Passwörter oder bietet andere Funktionen zur Verbesserung der Passwortsicherheit an.

Google Password Manager in Chrome

Google Password Manager in Chrome
Der Passwort-Manager in Chrome kann sehr nützlich sein, um herauszufinden, ob Ihre Daten öffentlich bekannt geworden sind

 

Passwort-Manager

Passwortmanager sind von unschätzbarem Wert, wenn es darum geht, mit einer großen Sammlung von Anmeldedaten zu jonglieren. Sie speichern diese nicht nur sicher ab, sondern können auch komplexe und einzigartige Passwörter für jedes Online-Konto erstellen. Da diese Programme selbst mit einem Kennwort geschützt sind, sollte dieses Master-Passwort so sicher, aber auch einprägsam wie möglich sein.

Jedoch sind auch diese Passwortsafes nicht immun gegen Angriffe und bleiben attraktive Ziele für Cyberkriminelle. In der Vergangenheit kam es immer wieder zu Angriffen, bei denen Anmeldeinformationen aus Passwort-Managern gestohlen wurden. Dennoch überwiegen die Vorteile, unter anderem die integrierte Prüfung auf geleakte Passwörter und die Integration in Zwei-Faktor-Authentifizierungssysteme (2FA).

Wie lassen sich Zugangsdatenlecks (und ihre Auswirkungen) verhindern?

Kann sich der durchschnittliche Internetnutzer vor Datenlecks überhaupt schützen? Und wenn ja, wie? Und wie können Sie Ihre Konten sicher halten?

Zunächst einmal sollten Sie sich nicht allein auf Passwörter verlassen. Stellen Sie stattdessen sicher, dass Ihre Konten durch zwei Arten der Identifizierung geschützt sind. Verwenden Sie zu diesem Zweck die Zwei-Faktor-Authentifizierung (2FA) bei allen Diensten, die dies ermöglichen. Idealerweise verwenden Sie hierfür einen speziellen Sicherheitsschlüssel für 2FA oder eine Authentifizierungs-App wie den Microsoft- oder Google Authenticator. Dadurch haben es Angreifern deutlich schwerer, sich unbefugt Zugang zu Ihren Konten zu verschaffen – selbst, wenn sie Ihre Passwörter in die Hände bekommen.

Was die Passwortsicherheit als solche angeht, sollten Sie es vermeiden, Ihre Logins auf Papier aufzuschreiben oder sie in einer Notiz-App zu speichern. Es ist auch besser, Ihre Kontodaten nicht in Webbrowsern zu speichern, da diese in der Regel nur als einfache Textdateien gespeichert werden. Dies macht sie anfällig für die Datenexfiltration durch Malware.

Ein weiterer Tipp: Die eigenen Passwörter sollten nie zu kurz und zu einfach sein. Verwenden Sie im Zweifelsfall dieses ESET-Tool, um Ihre Passwörter zu erstellen. Oder überprüfen Sie mit dem Tool, wie stark Ihre verwendeten Passwörter sind.

Nutzen Sie Passphrasen: Diese sind sowohl sicher als auch leicht zu merken. Sie bestehen nicht aus zufälligen Kombinationen von Buchstaben und Symbolen, sondern aus einer Reihe von Wörtern, die mit Großbuchstaben und optimalerweise mit Sonderzeichen gespickt sind.

Verwenden Sie außerdem für jedes Konto ein anderes Kennwort, um Angriffe wie Credential Stuffing zu verhindern. Hierbei nutzen Hacker die Vorliebe (und Bequemlichkeit) von Menschen aus, dieselben Anmeldedaten bei mehreren Online-Diensten wiederzuverwenden.

Ein neuerer Ansatz zur Authentifizierung beruht auf passwortlosen Anmeldungen, wie z. B. Passkeys. Es gibt auch andere Anmeldemethoden wie Sicherheitstoken, Einmalcodes oder biometrische Verfahren zur Überprüfung der Nutzeridentität über mehrere Geräte und Systeme hinweg.