Ein Datenklau, bei dem eine riesige Menge gehackter Nutzerdaten ins Netz gelangt ist, beunruhigt Unternehmen in der gesamten IT-Welt. Der australische Security-Experte Troy Hunt stieß auf ein Datenpaket mit 773 Millionen E-Mail-Adressen und 21 Millionen Passwörtern und nannte das Ganze Collection #1. Inzwischen wurden noch weitere Datensätze aufgespürt – Collection #2 bis Collection #5 –, womit sich die Zahl der betroffenen E-Mail-Adressen nach Angaben des Hasso-Plattner-Instituts auf 2,2 Milliarden summiert.
Zweifelhafte Prüfdienste
Hunt selbst stellt zwei Dienste bereit, mit denen sich überprüfen lässt, ob sich die eigenen E-Mail-Adressen unter den Leaks befinden oder ob ein Passwort kompromittiert ist: Have I been pwned und Pwned Passwords. Nun gilt aber es aber gemeinhin als eine schlechte Idee, einem Webdienst geheime Passwörter zu verraten, um deren Sicherheit zu überprüfen. Mit dem Absenden des Passworts ist dieses als unsicher zu betrachten. Auch sind die beiden Checks nur schwer mit der Datenschutzgrundverordnung (DSGVO) vereinbar, die seit Mai 2018 in Kraft ist. Denn theoretisch kann damit jeder die E-Mail-Adressen beliebiger Menschen abfragen. Die gleichen Bedenken gelten auch für Googles neues Chrome-Add-on Password Checkup.
Identity Leak Checker
Eine bessere Alternative um zu prüfen, ob sich die eigenen E-Mail-Adressen unter den Leaks befinden, ist der Identity Leak Checker des Hasso-Plattner-Instituts. Dort sind anders als bei den oben erwähnten Diensten die neu entdeckten Collections #2 bis #5 bereits eingepflegt. Nach der Eingabe der zu prüfenden E-Mail-Adresse verschickt der Dienst an eben diese Adresse eine Nachricht mit einer Auflistung der Leaks, von denen Sie betroffen sind. Sie erfahren zudem, ob sich auch persönliche Daten wie Name, Geburtsdatum, Anschrift oder Kreditkartennummern unter den geleakten Daten befinden. Konkrete Inhalte sind jedoch nicht enthalten, da dies wiederum gegen die DSGVO verstoßen würde.
Vorbeugende Maßnahmen
Die beste Verteidigung besteht darin, viele starke Passwörter zu verwenden – idealerweise für jeden Dienst ein anderes. Wem dies zu mühsam ist, der kann sich von einem Passwort-Manager helfen lassen, die zahlreich im Umlauf sind. Der Passwort-Manager von F-Secure heißt Key und hat den Vorzug, dass er Alarm schlägt, wenn ein häufig genutzter Service gehackt wurde. Unser Tipp: die Einzelplatzversion von Key lässt sich im vollen Umfang kostenlos nutzen. Probieren Sie es aus!
Grundsätzlich sind mehrere Schichten stets von Vorteil: Zusätzliche Sicherheit gegen die Account-Übernahme durch Kriminelle bringt die Zwei-Faktor-Authentifizierung, die zahlreiche Dienste bereits anbieten. Einen Überblick gibt die Webseite TwoFactorAuth.org. Sie ist zwar englisch, informiert aber auch über gängige deutsche Unternehmen wie Banken oder E-Mail-Provider. Insbesondere für Unternehmen interessant ist der Industriestandard U2F. Das steht für Universal Second Factor und basiert auf einem Security-Token ähnlich einem USB-Stick als Authentifizierungsschlüssel.
TwoFactorAuth.org: Die Webseite informiert schnell, welche gängigen Services eine Zwei-Faktor-Authentifizierung anbieten.
Kategorien