Hackerangriff? So finden Sie heraus, ob Ihr Passwort geknackt wurde
Von Michael Leitner
2018 sorgte für zahlreiche neue Rekorde – unter anderem auch bei der Zahl der Hacks. Laut dem niederländischen Security-Unternehmen Gemalto wurden allein in der ersten Jahreshälfte 2018 3,3 Milliarden Datensätze gestohlen, 72 Prozent mehr als ein Jahr zuvor. Diese Zahl dürfte auch 2019 weiter steigen. Denn während sich Unternehmen früher bei Hacks bedeckt hielten, schreibt die Datenschutzgrundverordnung (DSGVO) nun eine Meldepflicht vor.
Dennoch ist es bei der Flut an Datendiebstählen schwierig, den Überblick zu behalten. Grundsätzlich gilt online die Faustregel: Es ist nicht die Frage ob man gehackt wurde, sondern wann und wie oft. Einer der populärsten Dienste, der hierbei hilft, ist die Plattform „Have I Been Pwned?“ (Wurde ich gehackt?) vom australischen Sicherheitsforscher Troy Hunt. Hunt sammelt bereits seit Jahren Datensätze, die von Hackern verwendet werden.
Nach Leaks suchen
2015 nutzte er sein Wissen, um die Plattform „Have I Been Pwned?“ zu entwickeln. Auf dieser können Nutzer überprüfen, ob ihre E-Mail-Adresse oder Passwort in einer der gestohlenen Datenbanken auftauchen. Der Dienst ist einfach zu bedienen und gilt als sicher, eingegebene Daten werden nicht gespeichert. Selbst australische und britische Behörden greifen auf die Datenbank von „Have I Been Pwned?“ zurück, um den Einsatz kompromittierter Passwörter zu verhindern.
Hunt bietet auch einen kostenlosen Warndienst an. Nutzer können ihre E-Mail-Adresse hinterlegen und werden automatisch benachrichtigt, wenn diese in einem Datenleck auftaucht. Wer zudem verhindern will, dass andere Personen nach der eigenen E-Mail-Adresse suchen, kann diese per Opt-Out aus der Suche entfernen lassen.
Wer von einem Datenleck betroffen ist, sollte das Passwort auf der betroffenen Plattform ändern. Nutzt man dasselbe Passwort auch auf anderen Plattformen, sollte es dort umgehend gewechselt werden. Oftmals ist aber nicht klar, woher die geleakten Daten stammen, beispielsweise beim aktuellen Fall der „Collection #1“, die mehr als 2,7 Milliarden individuelle Datensätze von unzähligen Plattformen beinhaltet.
Grundsätzlich sollte auf jeder Plattform ein einzigartiges, möglichst langes und aus verschiedenen Zeichen bestehendes Passwort gewählt werden. Passwörter sollten auf keinen Fall wiederverwendet werden.
Bei der Verwaltung helfen Passwortmanager, die kostenlos oder gegen eine günstige Gebühr erhältlich sind, beispielsweise LastPass, Dashlane, 1Password oder das Open-Source-Programm KeePass. Diese erstellen auf Knopfdruck einmalige Passwörter, für den Zugriff auf die Datenbank muss der Nutzer lediglich sein Master-Passwort kennen.
Eine weitere Möglichkeit zur Absicherung wichtiger Accounts bietet zudem die Zwei-Faktor-Authentifizierung per SMS, App oder Hardware-Token. Wenn ein Dienst die Zwei-Faktor-Authentifizierung anbietet, sollte man diese auch nutzen.
Wer Hunts Dienst dennoch nicht vertraut – insbesondere von der Eingabe eines wichtigen Passwortes sollte man eigentlich absehen – hat Alternativen. „Have I Been Pwned?“ unterstützt auch die Abfrage von SHA-1-Hashes, sodass man zumindest sein Passwort nicht im Klartext eingeben müsste.
Die mehrere Gigabyte große Hash-Datenbank kann zudem auch heruntergeladen werden, sodass man den eigenen Passwort-Hash offline suchen kann. Zudem bietet Mozilla, das unter anderem den Browser Firefox und E-Mail-Client Thunderbird entwickelt, einen ähnlichen Dienst namens Firefox Monitor an. Dieser greift auf die gleiche Datenbank wie „Have I Been Pwned?“ zurück.