Kennen Sie den Webdienst „Have I been pwned“? Darüber kann man benachrichtigt werden, wenn die Email-Adresse durch ein Datenleck irgendwo gelistet wurde. der Betreiber Troy Hunt war jetzt mal wieder in aller Munde, denn er kann mal wieder Funde aufweisen. Da verschiedene Passwort-Manager mit Have I been pwned zusammenarbeiten, macht das gerade die Runde.
Was ist denn Have I been pwned?
Gegründet wurde die Seite im Dezember 2013 von Troy Hunt. Das ist ein Sicherheitsexperte aus dem australischen Gold Coast. Der Dienst hat unzählige Datenbank-Abbilder erfasst und kann somit überprüfen, ob personenbezogene Daten missbraucht wurden. In der Datenbank sind Milliarden von Konten enthalten, bei denen es eine derartige Verletzung gab.
Wer will, kann die eigene Email-Adresse dort registrieren und wird fortan darüber informiert, wenn diese in bekannt gewordenen Datendiebstählen auftauchen. Um die 250 Verstöße gegen den Schutz personenbezogener Daten sind bei Have I been pwned gelistet. Es sind knapp 5 Milliarden Email-Adressen aufgeführt. Und die Seite hat um die 60000 Abonnenten.
Was passiert mit den Daten?
Stellen wir uns mal vor, Ihre Daten gerieten in falsche Hände. Nehmen wir an, dass eine Sicherheitslücke bei Facebook Zugriff auf Email-Adresse und Passwort erlaubte. Dann könnten die Angreifer hergehen und einfach mal probieren, wo noch überall diese Konstellation auftaucht. Und dann könnten schnell Kreditkarten-Daten umgeleitet werden oder sonstwas angestellt werden.
Es ist unbekannt, woher Troy Hunt die Daten hat. Fakt ist, dass ich die Daten via Have I been pwned überprüfen kann. Ich habe mal eine nicht genutzte Email-Adresse bei GMX geprüft, die ich nach wie vor nicht loswerde, und bin zu dem Ergebnis oben im Bild gekommen. Mich würde es nicht wundern, wenn diese Problematik aus der Vergangenheit der Grund dafür ist.
Was passiert, wenn meine Daten gefunden wurden?
Es ist ja spannend zu sehen, ob ich nun betroffen bin oder nicht. Zuerst einmal bin ich mir nicht sicher, ob ich mit dieser GMX-Adresse irgendwo noch registriert bin. Aber im Prinzip müssen wir dann für jede Email-Adresse, für die ein positiver Befund vorliegt, folgendes machen:
- Dringend bei jedem Dienst, den wir mit dieser Email-Adresse nutzen, das Passwort wechseln
- Für jeden Dienst ein eigenes Passwort verwenden
- Bei jedem verwendeten Dienst das Vorhandensein der Zwei-Faktor-Authentifizierung prüfen. Wenn sie nicht möglich ist, muss man überlegen, ob man den Dienst noch nutzen möchte.
- Einen Passwort-Manager nutzen
Entgegen meiner früheren Behauptung, dass GMX eine Zwei-Faktor-Authentifizierung anbietet, muss ich leider sagen, dass dies nicht stimmt. Diesen Standard-Sicherheitsmechanismus gibt es schlichtweg nicht. Erst recht nicht für kostenfreie Accounts. Und genau die wird dann der Anwender auch nicht mehr los.
In meinen Augen ist das unter aller Sau. Ich muss doch einen Account bei einem Dienst, den ich nicht mehr nutze, löschen können. Bei GMX muss ich eine teure Hotline anrufen. Sonst wollen die nicht mitspielen. Damit liefern Dienste wie GMX die ideale Angriffsfläche für solche Datendiebstähle.
Das Internet ist kaputt
Solche Dienste wie Have I been pwned zeigen eindrucksvoll, wie kaputt das Internet eigentlich ist. Es ist nicht nur die kriminelle Energie, die immer wieder deutlich wird. Es ist auch die Sorglosigkeit der Anwender. Beides macht das Internet immer weiter kaputt. Wir können es aber vielleicht reparieren, wenn wir uns konsequent an die Punkte weiter oben halten.
Klar ist aber auch, dass wir uns Gedanken darüber machen müssen, welche Dienst wir benötigen und welche nicht. Es tut allgemein nicht weh, Accounts bei Diensten zu schließen, wenn man diese nicht (mehr) nutzt. OK, GMX gehört zu den Ausnahmen, weil das dort einfach nicht funktioniert. Aber grundsätzlich kann sich man schon von allem verabschieden, was man nicht mehr nutzt. Das schützt auch die Daten. Und spart Zeit.