Ab sofort lassen sich auch weitere Datensätze durchforsten

Nicht nur befinden sich im Datenbestand des HPI schon seit November jene Daten, die im Januar als Collection #1 bekannt wurden. Seit dem heutigen Donnerstag sind auch die Collections zwei bis fünf dabei. Deren Existenz ist öffentlich seit dem 18. Januar bekannt.

Sie ist zum Teil wesentlich umfassender als die erste Collection. Alle fünf zusammen umfassen 2,1 Milliarden verschiedene E-Mail-Adressen. „Davon waren 750 Millionen bisher nicht in der Datenbank unseres Identity Leak Checkers enthalten“, sagt Chris Pelchen vom HPI. „Gefunden haben wir die Collections in einem Forum, das wir dauerhaft beobachten.“

Es handele sich um ein Forum im offen zugänglichen Netz, nicht um eines im sogenannten Darknet. In solchen Foren werden große Pakete aus verschiedenen Datenleaks immer wieder neu zusammengestellt, neu betitelt und dann zum Verkauf angeboten. Die Collection #1 etwa sollte anfangs 45 Dollar kosten. Häufig werden die Pakete aber irgendwann zum kostenlosen Download bereitgestellt – so war es auch im Fall der Collections. Gefragt, ob das HPI Geld ausgeben würde, um an Daten zu gelangen und den Identity Leak Checker damit zu erweitern, sagt Pelchen: „Das machen wir nicht. Damit würden wir den Anbietern nur helfen.“

So prüfen Sie, ob Ihre Adresse dabei ist

Wer nun überprüfen will, ob die eigene E-Mail-Adresse irgendwo im Bestand des HPI auftaucht, gibt die entsprechende Adresse auf dieser Website ein. Daraufhin generiert der ILC eine Nachricht wie hier dargestellt an ebendiese Adresse, in der tabellarisch festgehalten ist, wann in welchem Leak die Adresse und gegebenenfalls sonstige Daten wie Passwörter, Telefonnummern oder Kreditkartennummern enthalten waren.

Wichtig sind hierbei vor allem zwei Dinge:

Erstens enthält die Mail vom HPI nicht die Passwörter und sonstigen Daten an sich. In den Anfangstagen hatte das Institut diese Details auf Verlangen (nach Bundesdatenschutzgesetz) noch per E-Mail an beliebige Adressen herausgegeben und war scharf dafür kritisiert worden. Theoretisch hätte damals jeder die kompletten Daten beliebiger Menschen abfragen können. Mittlerweile hat das Institut nachgebessert. Man erfährt also nur noch, ob neben der E-Mail-Adresse weitere Daten in einem Leak enthalten sind, und das auch ausschließlich in einer Mail an die eingegebene Adresse.

Zweitens ist mit Passwort in diesem Zusammenhang nicht unbedingt das Passwort zum E-Mail-Account gemeint. Viel häufiger ist der Fall, dass ein Cloud-, Shopping- oder sonstiger Dienst die Zugangsdaten seiner Nutzer nicht schützen konnte, und die bestehen aus der E-Mail-Adresse und dem für den jeweiligen Dienst gewählten Passwort. Trotzdem empfiehlt das HPI, das Passwort sowohl des betroffenen E-Mail-Accounts selbst zu ändern als auch die Passwörter aller anderen Accounts, bei denen man mit der Adresse angemeldet ist.

Tipps für gute Passwörter finden Sie hier,

beim Generieren und Merken der Passwörter kann Ihnen ein Passwort-Manager helfen. Zusätzliche Sicherheit gegen die Übernahme eines Accounts durch Kriminelle bringt die Zwei-Faktor-Authentifizierung, die viele Dienste anbieten. Sie wird auch „bestätigte Anmeldung“ genannt und setzt voraus, dass Nutzer neben dem Passwort ein zweites Element für die Anmeldung über ihr Gerät verwenden. Dabei kann es sich um einen per SMS empfangenen Code handeln, einen von einer speziellen App generierten Code, oder auch um einen speziellen physischen Sicherheitsschlüssel.