Klick sicher: Datenklau

Es war eines der Themen auf der letzten Veranstaltung zum Safer Internet Day im BRF: Datenleak und die damit verbundenen Konsequenzen für die Nutzer. Ob man betroffen ist, kann jeder selbst testen. Der BRF-Klick-sicher-Experte Danny Loos von der RCCU sagt, wie.

Passwort Zugangsdaten (Pixabay)

Passwort Zugangsdaten (Pixabay)

Datenleaks

Der 7. Januar 2019 wird sicherlich als Negativschlagzeile in die Geschichte der IT-Sicherheit eingehen. Genau an diesem Datum ist eine immense Datenbank an geleakten Daten mit der Bezeichnung „Collection #1“ im Netz erschienen. Die Datenbank beinhaltet 2,9 Billionen Daten von 775 Millionen Konten. Vermutlich handelt es sich um eine Sammlung an Zugangsdaten aus den vergangenen Jahren.

Wenn man bedenkt, dass dem sozialen Netzwerk „LinkedIn“ im Jahre 2016 alleine 164 Millionen Nutzerdaten abhanden gekommen sind, ist diese Datenmenge nicht verwunderlich. Die Zugangsdaten konnten von einigen Sicherheitsexperten, wie auch Troy Hunt, heruntergeladen und analysiert werden.

Damit noch nicht genug, denn kurze Zeit später erschienen weitere Datenbanken mit der Bezeichnung „Collection #2 – 5“. Inklusive „Collection #1“ konnte man so in Besitz von sage und schreibe 2,2 Milliarden Kontodaten gelangen. Es ist die bislang größte jemals aufgetauchte Sammlung an geleakten Daten.

Eine zeitlang waren diese Daten im Internet frei zugänglich. Wer sich jetzt Hoffnung macht, diese irgendwo herunterladen zu können, den muss ich enttäuschen, die Download Links sind verschwunden. Mittlerweile werden die Datenbänke mit geleakten Konten im Darknet für umgerechnet 20.000 Dollar in Bitcoin zum Kauf angeboten.

Was muss ich als Nutzer jetzt beachten?

Es ist nicht auszuschließen, dass sich auch Ihre Daten in dieser gigantischen Datenbank befinden. Am besten sollte jeder selbst testen, ob man betroffen ist. Hierbei kann ich zwei Webseiten empfehlen, die ich schon einmal in anderen Beiträgen erwähnt hatte: „haveibeenpwned“ von Troy Hunt und den „Identity Leak Checker“ des Hasso Plattner Instituts in Potsdam.

Man gibt dort einfach die eigene E-Mail Adresse ein und schon checkt die Webseite, ob diese in ihren Datenbänken vorhanden ist oder nicht. „Haveibeenpwned“ geht sogar noch weiter. Hier kann man sogar testen, ob das ausgewählte Passwort öffentlich bekannt ist bzw. bereits geleakt wurde. Falls ja, sollte man es am besten umgehend ändern oder gar nicht erst benutzen.

In Panik verfallen braucht man wegen der veröffentlichen Leaks jetzt nicht; es genügt die angesprochenen Vorsichtsmaßnahmen zu treffen. Egal ob die E-Mail Adresse oder das eigene Passwort bekannt sind, man sollte umgehend handeln. Passwort ändern ist eine Sache, die „Zwei-Faktor-Authentisierung“ ,auch kurz „2FA“ genannt, wäre z.B. eine zusätzliche Sicherheit, die so leicht nicht zu überwinden ist. Empfehlenswert ist dies vor allen Dingen für Konten, die einem wichtig sind oder Zahlungsinformationen beinhalten.

Links

https://haveibeenpwned.com

https://sec.hpi.de/ilc/search?lang=de

Infos: Danny Loos, Föderale Kriminalpolizei Eupen, Illustration Pixabay

Kommentar hinterlassen
Keine Kommentare
Kommentar hinterlassen

Ihre Email-Adresse wird niemals veröffentlicht!
Pflichtfelder sind mit * gekennzeichnet.
Bitte beachten Sie unsere Richtlinien zu Kommentaren.

Restl. Anzahl Wörter: 150