Die Nachricht von einem riesigen neuen beschädigten Cache von E-Mail- und Passwortkombinationen ist gestern eingetroffen. Der Sicherheitsforscher Troy Hunt hat 773 Millionen (individuelle) E-Mail-Adressen und 21 Millionen Passwörter von einem Datenspeicher namens “Collection #1” auf seine sehr nützliche Website “Have I Been Pwned” hochgeladen. Hier können Benutzer herausfinden, ob ihre E-Mail bei der Sicherheitslücke geleakt ist.

Es ist eine ziemlich große Zahl, und es ist die größte Zahl, die Hunt je auf seine Website hochgeladen hat. Aber ist es Zeit für Panik? Und was bedeutet das für Sie?

Déjà vu?

Der Infosec-Journalist Brian Krebs nahm mit einer bisher unbekannten Person Kontakt auf, die den Cache “Collection #1” online verkauft. Laut Krebs behauptete der Verkäufer, dass die Daten, die er für 45 Dollar anbietet, zwei bis drei Jahre alt sind. Der Verkäufer sagte, dass die Daten von “einer großen Anzahl von gehackten Websites” stammen.

So sind die Daten, obwohl es sich um eine umfangreiche Sammlung handelt, nicht neu. Hunt sagt jedoch auch, dass 140 Millionen der insgesamt 773 Millionen E-Mail-Adressen neu bei Have I Been Pwned sind. Während ein Großteil der Daten also bereits länger im Web war, wissen Sie spätestens jetzt davon. Und es wird dringlich empfohlen herausfinden, ob Ihre Daten unter den geleakten Informationen sind. Sie können auch herausfinden, ob eines Ihrer Passwörter in bekannten Speicherauszügen für Verstöße herumfliegt. Ist das der Fall? Dann sollten Sie umgehend die Verwendung aller betroffenen Passwörter beenden.

Hintergrund zum aktuellen Fall: Diese Art von Datenspeichern wird häufig unter Cyberkriminellen verbreitet. Sie können für das sogenannte Credential Stuffing (eine Form von Brute-Force-Angriffen) verwendet werden, bei dem einfach versucht wird, die erbeuteten Benutzernamen- und Passwortsätze auf verschiedenen Seiten zu testen, um zu sehen, wo sie funktionieren. Cyberkriminelle verwenden oftmals automatisierte Tools, um dies schneller zu erledigen. Und laut Krebs’ Bericht sind geleakte Anmeldeinformationen für Phishing, Erpressung und andere indirekte Angriffe nützlicher.

Gesunde Gewohnheiten

Während es keinen Grund zur Panik beim Auftauchen von Daten aus alten Hacks gibt, ist der aktuelle Vorfall mal wieder eine gute Gelegenheit, Ihre Gewohnheiten für Passworthygiene um eine Stufe zu verbessern. Das bedeutet:

Verwenden Sie für jedes Ihrer Konten ein eindeutiges und sicheres Passwort. Einzigartig bedeutet ein anderes Passwort für jedes Konto und stark bedeutet komplex und lang. Mehr dazu hier.

Verwenden Sie eine Zwei-Faktor-Authentifizierung für Ihre wichtigsten bzw. sensiblen Konten. Dieser zusätzliche Schritt bedeutet, dass ein Hacker nicht nur Ihr Passwort benötigt, um in Ihr Konto einzudringen, sondern auch den physischen Zugriff auf Ihr Gerät.

Verwenden Sie einen Passwortmanager wie F-Secure KEY, der jetzt Teil von F-Secure TOTAL ist. Ein Passwortmanager schafft ohne große Mühen, dass Anwender ein einzigartiges, langes und sicheres Passwort für jedes einzelne Konto anlegen können. Bonus bei F-Secure: KEY informiert Sie auch proaktiv über größere Datenschutzverletzungen, anstatt dass Sie erst informiert werden, wenn es vielleicht schon zu spät ist.

Passworthygiene bleibt ein wichtiges Thema

Ihre Passwörter in Ordnung zu bringen, erfordert ein wenig Aufwand, aber es lohnt sich für Ihre Sicherheit. Wenn Sie für jedes Konto ein eindeutiges Passwort verwenden und Ihre Anmeldeinformationen am Ende zu einem Verstoß führen, müssen Sie nur das Passwort für diesen einen verletzten Dienst ändern. Und das ist letztlich wesentlich einfacher als sich alle Dienste zu merken, bei denen Sie das gleiche Passwort verwenden.

Neue Gewohnheiten brauchen Zeit und können einschüchternd sein – das wissen wir. Aber Sie sollten sich dem Thema dennoch annehmen. Fangen Sie klein an. Laden Sie beispielsweise F-Secure KEY herunter und geben Sie dort jeden Tag nur ein Konto ein. In ein paar Wochen oder Monaten, je nachdem, wie viele Passwörter Sie haben, können Sie sich um alle Ihre Konten kümmern. Klingt nach einer guten Möglichkeit, das neue Jahr zu beginnen, oder?