Immer wieder kommt es auch bei größeren Firmen und Diensten zu Datenlecks und somit zu Datenklau. Besonders Facebook machte hier in den letzten Jahren Schlagzeilen mit Datenlecks. Im Dezember 2019 wurden demnach über 267 Millionen Facebook-Anmeldedaten im Darknet angeboten. Im April 2021 gab es dann erneut Meldungen über ein Datenleck bei Facebook. Dieses Mal summierten sich die Daten auf knapp 533 Millionen Datensätze von Facebook-Nutzern. Darunter Namen, Wohnort und E-Mail-Adressen. Weitere große und somit bedeutende Datenlecks in den vergangenen Jahren betrafen darüber hinaus Microsoft, Nintendo, eBay, Yahoo und viele andere bekannte Namen. Wer also glaubt, seine Daten sind bei den “großen Anbietern” sicher, dürfte sich irren. Wer herausfinden möchte, ob er bereits selbst von einem Datenklau betroffen war/ist, der findet im Netz einfache Möglichkeiten. Darüber hinaus gibt es natürlich auch einige Möglichkeiten, den Schaden durch eventuelle Datendiebstähle gering zu halten.
Have I Been Pwned? – Wichtigste Anlaufstelle im Netz in Sachen Datendiebstähle
Seit dem Dezember 2013 stellt Troy Hunt, ein bekannter Berater für Internetsicherheit, seinen Webdienst “Have I Been Pwned?” Nutzern kostenlos zur Verfügung. Hinter dem etwas sperrigen Namen verbirgt sich ein interessanter Dienst, der einen großen Teil der in den letzten Jahren und Jahrzehnten erfolgten Datendiebstähle praktisch zurückverfolgt und aufarbeitet. Hierzu sammelt Have I Been Pwned? selbst die Daten der bekanntgewordenen Datendiebstähle und bereitet diese entsprechend für eine Eigenrecherche auf. Bei Datenlecks spielt selbstverständlich die E-Mail-Adresse eine besonders wichtige Rolle. Denn egal für welchen Dienst man sich anmeldet, ob Facebook, Amazon, beim Casino Vulkan Vegas, bei Communitys jedweder Art oder für kostenlose Videospiele. Nahezu immer ist die E-Mail einer der wichtigsten Bestandteile eines Nutzerdatensatzes. Aus dem Grund können Nutzer dank Have I Been Pwned? auch einzig mithilfe der Angabe ihrer Mail-Adresse prüfen, ob sie selbst betroffen sind. Dies erfolgt in wenigen einfachen Schritten:
- Schritt – Have I Been Pwned?-Seite aufrufen: Sinnigerweise sollte man zunächst die Seite von “Have I Been Pwned?” unter HaveIBeenPwned.com aufrufen.
- Schritt – E-Mail-Adresse angeben: Nun kann der Nutzer bereits auf der Startseite des Dienstes in das hierfür vorgesehene Formularfeld seine zu prüfende E-Mail-Adresse eingeben. Wer in den vergangenen Jahren oder gar Jahrzehnten unterschiedliche E-Mail-Adressen genutzt hat, sollte natürlich auch jede Adresse einzeln prüfen.
- Schritt – Ergebnis abwarten: Meist dauert es nur wenige Sekunden, bis Have I Been Pwned? alle Datensätze durchsucht hat. Nun kommt es auf das Ergebnis der Recherche an, wie es weiter geht.
- Schritt – Ergebnis auswerten: Bereits die sich nun ändernde Hintergrundfarbe der Seite gibt Aufschluss über das Ergebnis. Ist alles in Ordnung und konnte Have I Been Pwned? anhand der angegebenen E-Mail-Adresse keinen Datenleak ermitteln, ist die Hintergrundfarbe grün und der Nutzer erhält die Meldung, dass keine Datensätze (no pwnage found!) gefunden wurden. Wechselt die Seite jedoch zu einer roten Hintergrundfarbe, gilt es nun, das Datenlecks oder auch die Datenlecks zu ermitteln.
- Schritt – Ergebnis offenbart ein Datenleck: Hat Have I Been Pwned? ein Datenleck ermitteln, erhält der Nutzer hierüber detaillierte Informationen. Zum einen gibt der Dienst die Anzahl der Datenlecks an. Im Folgenden dann noch eine Liste mit den Diensten, die vom Datenleck betroffen sind. Ist der Nutzer beispielsweise von einem der bereits erwähnten Facebook-Datenklaus betroffen, ist hier Facebook als Dienst aufgelistet. Dazu erhält der Nutzer meist auch genaue Informationen, unter anderem zum bekanntgewordenen Zeitpunkt des Datenleaks und welche Daten betroffen sind. Bei manchen Lecks sind “nur” E-Mail-Adressen und Nutzernamen betroffen. Bei vielen Diensten konnten die Datendiebe allerdings auch sehr sensible Daten wie Kreditkartennummern, Passwörter, Adressen und andere persönliche Daten erbeuten.
- Schritt – Nächste Schritte planen: Hat der Nutzer festgestellt, dass er Betroffener eines Datenlecks ist, sollte er nun natürlich seine nächsten Schritte planen. Hier kommt es unter anderem auch darauf an, wie lange der Datenklau bereits zurückliegt. Manche betroffene Dienste existieren zum Beispiel eventuell schon gar nicht mehr. Darüber hinaus muss sich der Nutzer natürlich auch selbst einige Fragen stellen. Haben Angreifer beispielsweise auch Passwörter gestohlen und der Nutzer nutzt seit jeher immer nur einige wenige oder gar nur ein einzelnes Passwort, kann dringender Handlungsbedarf bestehen. Immerhin bieten auch heute immer noch einige Dienste nicht die wichtige Zwei-Faktor-Authentifizierung an oder viele Nutzer selbst haben diese noch nicht aktiviert.
Weitere Serviceangebote von Have I Been Pwned?
Neben der einfachen Recherche mittels der eigenen E-Mail-Adresse bietet Have I Been Pwned? noch einige weiter nützliche Services an. Im oberen “Hauptmenü” der Seite gibt es beispielsweise den Punkt “Notify me”. Hier kann der Nutzer selbst einfach seine aktuelle Mailadresse angeben. Findet Have I Been Pwned? die gespeicherte Mail nun künftig in einem Datensatz, erhält der Nutzer automatisch eine E-Mail mit einer entsprechenden Benachrichtigung. Wer nicht nur eine einzelne Mailadresse, sondern eine komplette Domain prüfen möchte, hat hierzu ebenfalls die Möglichkeit. Eine Domain-Recherche kann etwa für Firmen- oder auch Familiendomains sinnvoll sein. Zu guter Letzt besteht auch noch die Möglichkeit, die Datensätze nach einem spezifischen Passwort zu durchsuchen. Wer etwa in der Vergangenheit nachlässig war und immer das gleiche Passwort genutzt hat, kann hier prüfen, ob dieses eventuell schon durch ein Datenleck im Internet kursiert.
Wichtige Verhaltensweisen: Risiken und Schäden minimieren
Gegen Datendiebstahl selbst ist der Nutzer relativ machtlos. Immerhin liegt es bei den jeweiligen Firmen und Diensten, die Daten ihrer Kunden und Nutzer bestmöglich zu schützen. Das selbst große Firmen wie Facebook, eBay, Nintendo & Co. betroffen sind und somit daran scheitern, zeigt allerdings auch, dass das gar nicht so einfach ist. Allerdings kann der Nutzer dafür Sorge tragen, dass sich Schäden und Risiken durch eventuelle Datendiebstähle in Grenzen halten. Zum Beispiel, indem er sichere Passwörter nutzt und diese regelmäßig ändert. Hier bieten sich diverse Passwortmanager wie etwa KeePass an. Darüber hinaus sollten Nutzer, wo immer möglich, die Zwei-Faktor-Authentifizierung nutzen. Kann ein Login in einen Dienst nur mittels einer Zwei-Faktor-Authentifizierung erfolgen, sind eventuell erbeutete E-Mail-Adressen und Passwörter allein zunächst relativ nutzlos.