Mega-Leak-FAQ: Das sollten Sie jetzt zu Ihrem Schutz tun!

Der Mega-Leak „Collection #1” ist nur der Anfang, offenbar gibt es noch viel größere Datensätze aus gestohlenen Nutzerdaten. Mehr dazu in unserer FAQ, in der Sie auch erfahren, was Sie nun zu Ihrem Schutz tun sollten!

1.Was ist passiert?

Der Sicherheitsexperte Troy Hunt, der auch Have I Been Pwned betreibt, hat im Netz einen von Hackern verbreiteten riesigen Datensatz entdeckt, den er auf den Namen „Collection #1“ getauft hat. Der Datensatz enthält über 2,6 Milliarden (!!) Einträge. Insgesamt sind 772.904.991 unterschiedliche Mailadressen und 21.222.975 einzigartige Passwörter gelistet. Der Datensatz besteht aus 12.000 Dateien mit einem Umfang von 87 Gigabyte.

2. Woher stammen die Daten?

Die Daten stammen aus unterschiedlichen Attacken auf Websites. Laut Hunt gibt es hunderte Quellen für diese Daten. Schätzungen zufolge stammen die Daten von etwa 2.000 Angriffen.

3. Wie aktuell sind die Daten?

Der Sicherheitsexperte Brian Krebs schreibt in seinem Blog Krebs on Security, dass die in „Collection #1“ enthalten Daten mehrere Jahre alt sind – etwa 2 und 3 Jahre. Daher werden Sie von einem (offenbar russischen) Hacker im Netz auch für nur 45 US-Dollar angeboten. Der Hacker nennt sich „Sanixer“ und bietet die Daten über den Messenger Telegram an.

4. Gibt es noch weitere Datensätze?

Die Bezeichnung „Collection #1“ deutet an, dass es tatsächlich mehr Datensätze gibt, die der besagte Hacker veräußert. Laut Brian Krebs werden insgesamt 1 Terabyte an Daten von ihm im Netz angeboten, die teils aktuellere Informationen enthalten, die weniger als 12 Monate alt sind. „Collection #2“ hat einen Umfang von 526 Gigabyte, Collection #3 ist 37,18 Gigabyte groß, Collection #4 enthält 178 Gigabyte an Informationen und Collection #5 insgesamt 43 Gigabyte. Hinzu kommen zwei weitere, große Datensätze.

5. Wie kann ich feststellen, ob meine Mail-Adressen betroffen sind?

Der Entdecker und Sicherheitsexperte Troy Hunt hat die gefundenen Daten in seinen Dienst Have I Been Pwned integriert. Anwender können hier ihre Mail-Adresse angeben und erfahren, ob diese Mail-Adresse schon mal in einem im Netz geleakten Datensatz enthalten war – inklusive also auch Collection #1. Sollten Sie bereits bei Have I Been Pwned registriert sein, so sollten Sie eine Mail erhalten haben, falls Sie von dem neuen Vorfall betroffen sind.

6. Und was ist mit meinen Passwörtern?

Unter „Password“ bei Have I Been Pwned können Sie überprüfen, ob das von Ihnen genutzte Passwort schon einmal in einem geleakten Datensatz enthalten war.

7. Wer ist Troy Hunt? Kann man ihm trauen?

Troy Hunt ist Microsoft-Mitarbeiter und seit Jahren auf dem Gebiet der Sicherheit tätig. Bei seinem Dienst Have I Been Pwned werden keinerlei Daten hochgeladen. Auch sind beim Dienst aus Sicherheitsgründen keinerlei Mail-Adressen zu Passwörter Kombinationen hinterlegt. Der Anwender erfährt also nur, ob und wann seine Mail-Adresse oder sein Passwort schon mal kompromittiert wurde, aber nicht, in welcher Kombination.

8. Was sollte ich tun, wenn meine Mail-Adresse und/oder mein Passwort betroffen sind?

Zunächst einmal: Keine Panik! Atmen Sie einmal tief durch, alles wird gut! Und jetzt lesen Sie die folgenden Empfehlungen durch und folgen Sie ihnen.

Die Informationen in Collection #1 sind, wie bereits erwähnt, schon viele Jahre alt. Wenn Sie ohnehin regelmäßig die bei ihren Diensten verwendeten Passwörter ändern, besteht keine große Gefahr. Zur Sicherheit sollten Sie aber kein Passwort mehr verwenden, welches bereits gestohlen wurde. (Siehe Punkt 6)

9. Wie kann ich mich generell schützen?

Hier gilt die gute alte Regel: Verwenden Sie für unterschiedliche Dienste unterschiedliche starke Passwörter. Grundsätzlich ist jedes Passwort ein schlechtes Passwort, welches sich in einem Wörterbuch oder durch eine einfache Google-Suchabfrage finden lässt.

Sie sollten auf keinen Fall das gleiche Passwort mehrmals verwenden. Ja – das ist anstrengender, als seine Dienste mit immer dem gleichen Passwort zu schützen. Daher empfehlen wir Ihnen den Einsatz von Passwort-Managern. Passwort-Manager könnten zwar auch angegriffen werden, allerdings ist deren Nutzung immer noch besser, als unsichere Passwörter zu verwenden.

Bei Diensten, die sich auch über eine Zwei-Faktor-Authentifizierung schützen lassen, sollten Sie diesen Service unbedingt in Anspruch nehmen. Dann sind Sie auch der sicheren Seite, selbst wenn mal ihr Passwort gestohlen werden sollte.

10. Gibt es noch einen guten Extra-Tipp im Umgang mit Passwörtern?

Ja – wir empfehlen Ihnen einen Mail-Account anzulegen, den Sie ausschließlich nur zu einem bestimmten Zweck verwenden sollten: Zur Passwort-Wiederherstellung bei Diensten. Dieses Mail-Konto sollten Sie mit einem besonders starken Passwort schützen und außerdem sollte der Mail-Adressen-Name nicht einen Hinweis auf Ihre Person enthalten, also keinen Bestandteil ihres Vornamens oder Nachnamens.

11. Klingt super – habt ihr mehr Infos für mich zu Punkt 9 und 10?

Natürlich:

Tipps für sichere Passwörter Die besten Passwort-Manager für den PC So schützen Sie wichtige Dienste per Zwei-Faktor-Authentifizierung

12. Eine Empfehlung haben wir noch für Sie

Wenn Sie unseren Sicherheits-Newsletter abonnieren, werden Sie schnell darüber informiert, sobald wieder ein erhöhtes Sicherheitsrisiko besteht und können dann schnell handeln.