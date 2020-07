Es waren keine guten Wochen für die Datensicherheit: Erst sorgte ein spektakulärer Twitter-Hack für Aufsehen, kurz darauf wurde das Comeback der gefährlichsten Schadsoftware der Welt (mehr dazu hier) vermeldet. Immer wieder erbeuten Kriminelle Zugangsdaten von Internet-Accounts, im Netz kursieren mittlerweile Milliarden E-Mail-Adressen und Passwörter. Und immer mehr Nutzer fragen sich: Wurde ich gehackt?

Eine gute Möglichkeit, etwaige Datendiebstähle zu bemerken, bevor es zu spät ist, ist der Dienst "Have I Been Pwned" (bedeutet übersetzt in etwa "Wurde ich erwischt?"). Er wurde 2013 vom Sicherheitsforscher Troy Hunt gestartet, nachdem Angreifer beim Software-Unternehmen Adobe Millionen Nutzerdaten erbeuteten. Inzwischen ist die dahinter liegende Datenbank auf mehr als zehn Milliarden (!) Einträge angewachsen.

So funktioniert "Have I Been Pwned"

Rufen Sie die Seite zunächst in Ihrem Browser auf. Anschließend tippen Sie Ihre E-Mail-Adresse in den Suchschlitz und drücken auf den "Pwned?"-Button. Erscheint die Meldung " Good news - no pwnage found!", können Sie aufatmen. Ihre Daten tauchen nicht im Datensatz auf und wurden mit hoher Wahrscheinlichkeit nicht entwendet.

Erscheint dagegen die Nachricht "Oh no - pwned!", ist die Mail-Adresse im Zusammenhang mit mindestens einem Datenleck aufgetaucht. Scrollen Sie nach unten, um weitere Details in Erfahrung zu bringen: So wird nicht nur der Dienst angezeigt, sondern auch, welche Daten bei den Firmen abgegriffen werden konnten - etwa E-Mail-Adressen, Passwörter und Nutzernamen.

Wichtig zu wissen: Angegriffen wurden im Zweifel die Nutzerprofile bei den jeweiligen Diensten und nicht die E-Mail-Adressen. Problematisch wird es nur, wenn Sie für mehrere - oder gar alle - Dienste das identische Passwort verwenden oder sich unter den aufgeführten Diensten Ihr E-Mail-Provider verbirgt.

Alte Passwort-Mythen gelten nicht mehr

Wie wahrscheinlich ist es überhaupt, dass man bereits Opfer von Datenklau wurde? "Empirisch gesehen ist es sehr wahrscheinlich", sagte Hunt einmal gegenüber dem US-Portal "Mashable". "Für diejenigen von uns, die schon eine Weile im Internet sind, ist es fast eine Gewissheit."

Um größere Schäden zu verhindern, raten Sicherheitsexperten mittlerweile davon ab, in regelmäßigen Abständen die Passwörter zu ändern. Denn es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmäßig zu wechseln. Ein Wechsel ist nur dann zu empfehlen, wenn es Anzeichen gibt, dass das Passwort ausgespäht oder auf anderem Wege kompromittiert wurde.

Zugleich verabschiedeten sich Experten von vielen gängigen Einschränkungen bei der Passwortvergabe. Statt maximal komplizierter Konstruktionen aus Ziffern und Sonderzeichen, die sich kaum jemand merken kann, werden längere Passphrasen und der Einsatz von Passwort-Managern empfohlen.

Mit letzteren finanziert Hunt das Projekt: Browser wie Mozillas Firefox und Passwortmanager (etwa 1Password) haben einen Rückkanal zu "Have I Been Pwned" eingebaut, die automatisch Alarm schlagen, wenn die Nutzer Kennwörter vergeben, die in der Datenbank auftauchen. Auch westliche Regierungen, darunter Großbritannien und Australien, verlassen sich auf "Have I Been Pwned".

Hunt entwickelt seine eigene Ethik

Immer wieder wird auch die Sicherheit der Daten auf der Plattform thematisiert, schließlich hat Hunt Zugriff auf Milliarden sensible Daten. Denn er ist alleiniger Eigentümer, der für alles verantwortlich ist - von der Organisation über das Einspeisen der Daten in die Datenbank bis zur eigenen Ethik.

Er selbst verfolge einen "Was halte ich für sinnvoll"-Ansatz für den Umgang mit personenbezogenen Daten, die von anderen Personen verletzt wurden, erklärte er in einem Interview. Da es keinen vergleichbaren Dienst gibt, muss er sich eigene Regeln auferlegen, wie er mit den vielen verletzenden Daten umgeht. Er erhebe nicht den Anspruch, alles richtig zu machen, sondern sei auf Transparenz angewiesen, erklärt er. Seine Beweggründe erläutert er jedoch regelmäßig für alle einsehbar in langen, detaillierten Blog-Einträgen.

Er selbst sammle und speichere so wenige Daten wie möglich über die Nutzer, sagt Hunt. Sensible Informationen wie Telefonnummern oder Angaben zur Sexualität speichere er nicht, selbst wenn diese öffentlich verfügbar sind. "Wenn Have I Been Been Pwned geknackt wird, sind es nur E-Mail-Adressen", sagte er.

Außerdem betreibt Hunt noch "Pwned Passwords": Hier können Nutzer danach suchen, ob ihr Kennwort eines von 572 Millionen ist, die in großen Daten-Diebstählen erbeutet wurden.

