Wurden Deine Internet – Zugangsdaten ausspioniert und gestohlen (‚geleakt‘)?
Dies ist eine Frage, die man in letzter Zeit immer häufiger hört. Insbesondere seitdem bekannt wurde, dass das Bundeskriminalamt im Juli 2017 auf eine Internet-Datenbank mit mehr als 500.000.000 geleakten Zugangsdaten gestoßen ist (siehe hier), also quasi auf gestohlene Online-Identitäten (Email-Adressen, Nutzernamen, Passwörter, Bankverbindungen, Kreditkartendaten, Adressen, etc.), geraten die Themen ‚Identitätsdiebstahl‘ oder ’sichere Passwörter‘ wieder in den Focus der Öffentlichkeit.
Aber was bedeutet die Frage denn genau? Was bedeutet ‚geleakt‘?
Nun, für das Wort ‚leak‚ oder eingedeutscht ‚leaken‚ gibt es eigentlich keine passende wörtliche Übersetzung. Es bedeutet hier in diesem Zusammenhang so viel wie das unautorisierte oder unerlaubte Weitergeben von Zugangsdaten.
Also ist die Frage:
Wurden Deine Zugangsdaten anderen Personen bekannt und / oder weitergegeben?
Eine Frage, die durchaus beunruhigen kann, wenn man überlegt, zu welchen Internetangeboten solche Zugangsdaten benötigt werden:
Das können beispielsweise Email-Dienste, Online-Shops, Online-Banking-Portale, Messenger- und Chatdienste oder das Soziale Netzwerk mit Angeboten wie Facebook, Google+, Twitter…. sein.
Und wie bekommt man jetzt eine Antwort auf diese Frage?
So findet man heraus, ob man von einem solchen bekannten Identitätsdiebstahl betroffen ist, sich also die eigenen Zugangsdaten in einer entsprechenden Datensammlung im Internet wiederfinden lassen:
Zunächst sei hier der HPI Identity Leak Checker des Hasso-Plattner-Instituts als eigenständige Digital Engineering Fakultät der Universität Potsdam vorgestellt, empfohlen vom Bundeskriminalamt.
In der Datenbank des HPI Identity Leak Checker befinden sich derzeit über 3.780.000.000 erfasste geleakte Nutzerkonten (Stand: 08/2017) und es werden immer mehr!
Den genannten HPI Identity Leak Checker erreichst Du unter der URL:
https://sec.hpi.uni-potsdam.de/leak-checker/search
und so funktioniert es:

In das Eingabefeld gibst Du einfach Deine Email-Adresse ein, die Du überprüfen möchtest. Danach klickst Du auf „E-Mail-Adresse prüfen!„

Die Überprüfung Deiner Email-Adresse erfolgt nun. Im Anschluss erhälst Du eine entsprechende Email mit dem Ergebnis.

Sollte Deine Email in einer der bekannten, illegalen Datensammlungen zu finden sein, wirst Du darüber informiert. Es erscheint der Hinweis, in welchem Zusammenhang, beispielsweise welcher Internetseite und mit welchen weiteren Informationen, beispielsweise dem dazugehörigen Passwort, Deiner Adresse etc. Deine Email-Adresse wann veröffentlicht wurde. Jetzt solltet Du handeln, und alle Passwörter aller Accounts mit der betroffenen Email-Adresse ändern!

Auch wenn Deine Email-Adresse bisher nicht in den veröffentlichten Datensammlungen zu finden ist, bedeutet das nicht, dass Deine persönlichen Daten bisher nicht gestohlen wurden. Es ist auch möglich, dass der Diebstahl bisher nicht veröffentlicht wurde.
Die Homepage des HPI Identity Leak Checkers bietet auch eine umfangreiche Statistik an:

Auf der Statistik-Seite findest Du weitere umfangreiche Informationen zum Thema Identitätsdiebstahl, meist genutzte Passwörter, betroffene Internetplattformen…
Weitere Informationen bekommst zum HPI Identity Leak Checker bekommst Du hier: https://sec.hpi.de/leak-checker/about
Eine weitere Möglichkeit der Überprüfung bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Der BSI-Sicherheitstest überprüft ebenfalls, ob Deine Email-Adresse und weitere persönliche Daten von einem Identitätsdiebstahl betroffen sind und bereits geleakt wurden.
Den genannten BSI-Sicherheitstest erreichst Du unter der URL:
https://www.sicherheitstest.bsi.de/
und so funktioniert es:

Auf der Seite des BSI findest Du neben dem BSI-Sicherheitstests auch diverse Hintergrundinformationen zum Thema.

Ähnlich wie bei dem HPI Identity Leak Checker gibst Du auch hier die zu überprüfende Email-Adresse ein.

Du bekommst eine Bestätigung, dass Deine Email-Adresse nun überprüft wird. Sollten Deine Daten von einem bekannten Identitätsdiebstahl betroffen sein, bekommst Du eine Email mit diesem – nur persönlich für Dich angelegten – Betreff. Solltest Du eine Email von dem BSI mit einem anderen Betreff erhalten, solltest Du diese Mail nicht öffnen, sondern sofort löschen. Ist Deine email-Adresse von keinem bekannten Identitätsdiebstahl betroffen, erhälst Du vom BSI keine Email!
Weitere Informationen zu dem BSI-Sicherheitstest bekommst Du hier: https://www.sicherheitstest.bsi.de/faq
Wie kannst Du Dich vor einem Diebstahl Deiner Identität, Deiner Zugangsdaten schützen?
Einen 100%igen Schutz gibt es nicht. Insbesondere gegen den Datendiebstahl direkt beim Dienstleistungsanbieter im Internet kannst Du persönlich nichts unternehmen. Aber Du kannst dafür Sorge tragen, dass sich ein entstandener Schaden nicht weiter ausbreitet!
Dazu solltest Du folgende einfache Regeln beherzigen:
- Nutze für jeden Zugang ein eigenes Passwort. So können Datendiebe nicht auch auf alle anderen Zugänge zugreifen, sollten die Zugangsdaten eines Deiner Zugänge bekannt geworden sein.
- Nutze sichere Passwörter.
Sichere Passwörter sollten aus einer Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Das Passwort sollte nicht im Duden oder sonstigen Wörterbüchern zu finden sein, aus Namen oder Geburtstagen oder sonstigen persönlichen Daten bestehen, auch nicht in einzelnen Bestandteilen.
Die länge des Passwortes sollte mindestens 8 Zeichen betragen (Ausnahme: WLAN-Schlüssel, hier sind mindestens 20 Zeichen zu empfehlen.)
Vermeide ebenso Tastaturmuster, wie „qwertz“, „1q2w3e4r“, „qaywsx“…
Einen Anhaltspunkt dafür, wie sicher Dein Passwort ist, gibt die Internetseite https://howsecureismypassword.net/. Hier wird angezeigt, wie lange es dauern könnte, Dein Passwort zu errechnen.
Das deutschsprachige Pendant zu diesem Angebot findest Du unter https://www.experte.de/passwort-check. Hier bekommst Du auch direkt angezeigt, ob dieses Passwort in den Leak-Datenbanken bereits vorhanden ist und daher keinesfalls mehr genutzt werden sollte. - Passwörter sollten niemals unverschlüsselt auf dem Computer gespeichert werden. Hier sind eher Passwort-Verwaltungsprogramme oder der alte Notizzettel (an einem sicheren Ort aufbewahrt!) zu empfehlen.
- Passwörter sollten regelmäßig geändert werden!
- Die Eingabeseiten der Internetdienstleister sollten immer direkt und niemals über einen Link in einer Email aufgerufen werden. Die URL der Seite sollte immer mit „https://“ beginnen, die Seite also verschlüsselt aufgerufen werden.
- Vorgegebene Passwörter, beispielsweise in WLAN-Routern, sollten immer geändert werden.
- Passwörter sollten niemals weitergegeben werden, insbesondere nicht per Email.
Passwortgenerator von kostnix-web.de:
Weitere Hinweise zur Computersicherheit im Internet bekommst Du hier:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Checklisten/Massnahmen_gegen_Internetangriffe.html
