Datenlecks sind keine Ausnahme – sie sind Alltag

Die Vorstellung, dass ein Datenleck etwas Seltenes ist, das nur großen Firmen passiert und nur unvorsichtige Nutzer trifft, ist leider überholt. In Wahrheit wurden in den vergangenen Jahren Milliarden von Datensätzen gestohlen – bei LinkedIn, bei Adobe, bei Dropbox, bei Facebook und bei Hunderten weniger bekannter Dienste.

Die gestohlenen Daten landen in Sammlungen, die im Darknet gehandelt werden. Dort stehen dann E-Mail-Adressen, Passwörter, manchmal auch Telefonnummern und Geburtsdaten – ordentlich sortiert und durchsuchbar. Kriminelle nutzen diese Daten für automatisierte Angriffe: Sie probieren die gestohlenen Passwörter bei anderen Diensten aus, verschicken gezielte Phishing-Mails oder versuchen, mit den persönlichen Informationen Identitätsbetrug zu begehen.

Das Heimtückische daran: Sie merken davon nichts. Es gibt keinen Alarm, keine Benachrichtigung, kein rotes Lämpchen. Es sei denn, Sie prüfen es selbst.

Have I Been Pwned – der bekannteste Leck-Prüfer

Der australische IT-Sicherheitsexperte Troy Hunt hat 2013 einen Dienst ins Leben gerufen, der genau diese Lücke schließt: Have I Been Pwned (kurz HIBP – das „Pwned“ stammt aus der Gamer-Sprache und bedeutet so viel wie „erwischt“ oder „gehackt“).

Das Prinzip ist denkbar einfach: Sie geben Ihre E-Mail-Adresse ein, klicken auf „pwned?“ – und innerhalb von Sekunden erfahren Sie, ob diese Adresse in einem bekannten Datenleck auftaucht. Falls ja, zeigt Ihnen die Seite, welche Dienste betroffen waren und welche Art von Daten gestohlen wurde – zum Beispiel Passwörter, IP-Adressen oder Geburtsdaten.

Ich habe das vor ein paar Jahren zum ersten Mal ausprobiert, eher aus Neugier. Das Ergebnis war ernüchternd: Meine Haupt-E-Mail-Adresse tauchte in sechs verschiedenen Datenlecks auf. Darunter ein Onlineshop, bei dem ich mich kaum noch erinnern konnte, jemals ein Konto gehabt zu haben. Das Passwort, das ich dort verwendet hatte? Dasselbe wie bei drei anderen Diensten. Ein unangenehmer Moment der Selbsterkenntnis.

Ist das sicher?

Die naheliegende Frage: Kann ich einer Website, die nach Datenlecks sucht, meine E-Mail-Adresse anvertrauen? Bei Have I Been Pwned: ja. Der Dienst speichert keine Suchanfragen, erfordert keine Anmeldung und gehört mittlerweile zu den am häufigsten empfohlenen Sicherheitstools weltweit. Selbst das FBI liefert Daten aus beschlagnahmten Datenleck-Sammlungen an HIBP, damit Betroffene gewarnt werden können.

Für die Passwortprüfung (dazu gleich mehr) wird sogar ein besonders datenschutzfreundliches Verfahren eingesetzt: Ihr Passwort wird lokal auf Ihrem Gerät in einen Hash umgewandelt – eine Art digitalen Fingerabdruck. An den Server werden nur die ersten fünf Zeichen dieses Hashs gesendet. Der Server antwortet mit einer Liste möglicher Treffer, und Ihr Browser prüft den Abgleich lokal. Das eigentliche Passwort verlässt also nie Ihren Rechner.

Was Sie tun sollten, wenn Ihre Adresse betroffen ist

Falls Have I Been Pwned einen Treffer meldet – und bei den meisten Lesern wird das der Fall sein –, ist das zunächst kein Grund zur Panik. Es bedeutet, dass Ihre E-Mail-Adresse und möglicherweise ein Passwort in einer gestohlenen Datenbank aufgetaucht sind. Was Sie jetzt tun:

• Passwort sofort ändern – bei dem betroffenen Dienst, aber auch überall sonst, wo Sie dasselbe Passwort verwendet haben.
• Jedes Konto bekommt ein eigenes Passwort – das ist die wichtigste Regel überhaupt. Wenn ein Dienst gehackt wird und Sie dort ein einzigartiges Passwort verwenden, bleibt der Schaden begrenzt.
• Passwort-Manager nutzen – niemand kann sich 80 verschiedene Passwörter merken. Programme wie Bitwarden, KeePass oder 1Password übernehmen das für Sie. Ein Thema, dem wir uns in einem späteren Beitrag ausführlich widmen werden.
• Benachrichtigungen aktivieren – bei HIBP können Sie Ihre E-Mail-Adresse registrieren und werden automatisch informiert, wenn sie in einem neuen Datenleck auftaucht.

Andere nützliche Prüftools

Have I Been Pwned ist das bekannteste Tool, aber nicht das einzige. Hier ein kurzer Überblick über seriöse Alternativen:

Have I Been Pwned – Passwortprüfung: Auf der Unterseite Pwned Passwords können Sie prüfen, ob ein bestimmtes Passwort in einem bekannten Datenleck aufgetaucht ist. Der Abgleich funktioniert über das oben beschriebene Hash-Verfahren – das Passwort selbst wird nicht übertragen. Erschreckend: „123456“ taucht in über 40 Millionen Datenlecks auf.

HPI Identity Leak Checker: Der Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam ist eine deutsche Alternative. Sie geben Ihre E-Mail-Adresse ein und erhalten per E-Mail einen Bericht darüber, welche Daten betroffen sind. Für Nutzer, die ihre Daten lieber bei einer deutschen Institution als bei einem australischen Dienst eingeben möchten, eine gute Option.

Mozilla Monitor: Mozilla bietet mit Mozilla Monitor einen Dienst an, der auf den Daten von Have I Been Pwned basiert, aber in eine übersichtliche Oberfläche verpackt ist. Wer Firefox nutzt, kann sich direkt im Browser warnen lassen.

Was diese Tools nicht leisten

So nützlich diese Dienste sind – sie haben eine wichtige Einschränkung: Sie kennen nur bekannte Datenlecks. Wenn Ihre Daten bei einem Einbruch gestohlen wurden, der nie öffentlich wurde, tauchen sie in keiner dieser Datenbanken auf. Die Abwesenheit eines Treffers bedeutet also nicht, dass Ihre Daten garantiert sicher sind. Sie bedeutet nur, dass sie in keiner bekannten Sammlung gefunden wurden.

Und noch etwas: Diese Tools prüfen E-Mail-Adressen und Passwörter, aber nicht Ihre gesamte digitale Identität. Ob Ihre Kreditkartendaten, Ihre Personalausweisnummer oder Ihre Adresse in einem Datenleck stecken, erfahren Sie auf diesem Weg in der Regel nicht.

Fünf Minuten, die sich lohnen

Datenlecks gehören leider zur Realität des digitalen Lebens. Wir können nicht verhindern, dass ein Onlinedienst gehackt wird, bei dem wir vor zehn Jahren ein Konto erstellt haben. Was wir aber tun können: regelmäßig prüfen, ob unsere Daten betroffen sind – und die richtigen Konsequenzen daraus ziehen.

Der Aufwand ist minimal: Adresse eingeben, Ergebnis lesen, betroffene Passwörter ändern. Fünf Minuten, die im Ernstfall viel Ärger ersparen können.

Mein Vorschlag: Probieren Sie es gleich aus. Öffnen Sie haveibeenpwned.com, geben Sie Ihre meistgenutzte E-Mail-Adresse ein – und schauen Sie, was passiert. Falls Sie mutig sind, testen Sie auch gleich Ihr Lieblingspasswort auf der Passwortprüfung.

Waren Sie betroffen? Wie viele Lecks waren es bei Ihnen? Und haben Sie danach etwas geändert? Ich bin neugierig – schreiben Sie es gerne in die Kommentare.