Es ist eine Sicherheitskatastrophe, wie man sie selten sieht. In einer Datenbank haben Sicherheitsexperten Milliarden kompromittierter E-Mail-Adressen und Passwörter entdeckt – davon Hunderte Millionen, die noch nie vorher geleakt waren. Was das für Sie bedeutet und was Sie nun unbedingt tun sollten.
Die Sammlung stammt von der Sicherheitsfirma Synthient. Die hatte in verschiedensten Hackerforen Datensätze zusammengetragen, die von den Hackern verkauft oder anderweitig angeboten wurden. Eine systematische Auswertung der Daten überraschte die Experten aber. Denn das Ausmaß war deutlich größer, als sie es jemals erwartet hätten.
Megasammlung mit kompromittierten Passwörtern
In der Sammlung fanden sie nicht weniger als 1.957.476.021 einzigartige E-Mail-Adressen sowie 1,3 Milliarden einzigartige Passwörter. Besonders erschreckend: 625 Millionen dieser Passwörter, also fast die Hälfte, war noch nie in einem vorherigen Leak aufgetaucht.
Gerade letzteres ist ein gewaltiges Problem. Weil Nutzer immer wieder Passwörter mehrfach benutzen, lassen sich mit dem richtigen Passwort oft gleich mehrere Accounts desselben Nutzers hacken. "Ein Datenleck in einem Katzenforum erlaubt Angreifern oft, die Shopping-, Social-Media- und sogar Mail-Accounts der Nutzer ebenfalls zu übernehmen", erklärt Experte Troy Hunt in einem Blogpost.
Bei der Aufarbeitung der Datenberge schrieb Hunt auch einige der Betroffenen aus der Liste direkt an – und fragte, ob die Daten aktuell sind. Tatsächlich scheinen in der Liste auch viele mehr als zehn Jahre alte Passwörter vorzukommen, allerdings sind auch mehr als genug aktuelle darunter. Neben zahlreichen Foren-Logins enthält die Datenbank den Erkenntnissen zufolge auch Unmengen von Firmen-Accounts, Shopping- oder auch Bankingdaten.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
So sollten Sie nun vorgehen
Dass sich Hunt um die Datenbank kümmert, ist für Internetnutzer ein Glücksfall: Der Sicherheitsexperte betreibt die Webseite "Have i been pwned", die kompromittierte Login-Daten sammelt und gezielt danach suchen lässt. Auch die Daten aus dem Megaleck sind bereits in der Datenbank der Seite eingepflegt.
Wollen Sie wissen, ob Sie betroffen sind, müssen Sie nur Ihre E-Mail-Adresse auf dieser Webseite eingeben – und erfahren sofort, in welchem Datenleck sie bereits gefunden wurde.
Noch wichtiger ist aber der Passwort-Check. Wird Ihr Passwort auf dieser Webseite als bereits kompromittiert erkannt, sollten Sie es keinesfalls weiterbenutzen – und auf allen wichtigen Plattformen schleunigst ein anderes einrichten.
Zusätzlich empfiehlt es sich, auf allen Diensten, die es anbieten, die Zwei-Faktor-Authentifizierung zu nutzen. Selbst wenn Datendiebe dann Ihr Passwort erbeuten, können sie sich nicht in die Accounts einloggen.
Diese Sicherheitsmaßnahmen sollte jeder treffen
Noch besser ist es aber, wenn Sie auf ein Passwort verzichten – und auf Webseiten, die das unterstützen, zu einem sogenannten Passkey wechseln. Hinter dem Begriff steckt eine gemeinsame Bemühung der größten Internetkonzerne wie Google, Apple, Microsoft und Amazon, das Passwort endlich in Rente zu schicken (hier erfahren Sie mehr). Der Passkey wird direkt auf dem Gerät erstellt und mit biometrischen Faktoren wie dem Fingerabdruck oder etwa Apples Gesichtserkennung Face ID eingerichtet. Weil es kein Passwort mehr gibt, kann es auch gar nicht mehr geleakt werden. Und vergessen kann man es auch nicht.
Quelle: Blogpost
