Sonntag, 20. Januar 2019

Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Screenshot des Conrad Info Tickers vom 18.01.2019
von Claudia Grötzebach
 "...eine riesige Sammlung mit Zugangsdaten zu Online-Diensten zirkuliert in Untergrund-Foren. Die Passwörter von Millionen Nutzern sind betroffen."

Das meldete der Conrad Info Ticker am 18.01.2019 zeitgleich mit diversen Nachrichtensendungen.                              

Deutsche ziemlich sicher betroffen

So kann eine Warnung des Hasso-Plattner-Institutes
aussehen von Claudia Grötzebach
Bei dieser Zahl wurde auch mir flau. Die BRD zum Beispiel hat rund 80 Millionen Einwohner, mit 773 Mio. gelisteten eMail-Adressen ist die Zahl der Betroffenen rund zehn mal so hoch, bei 21 Mio. veröffentlichten Passwörtern. 
Die Wahrscheinlichkeit, dass auch Einheimische davon betroffen sind, ist extrem hoch. Das Ergebnis, zwei meiner eMail-Adressen sind betroffen.


So kann eine Warnung des Hasso-Plattner-Institutes
aussehen von Claudia Grötzebach

"Bin auch ich betroffen?" 

"Bin auch ich betroffen?" sollten auch Sie sich fragen, wenn Sie im Internet unterwegs sind oder eMails erhalten. Und doch, so mancher, mit dem ich telephoniere, hat sich nicht schlau gemacht, ja macht sich noch nicht einmal Gedanken...


Screenshot von der
Webseite Troy Hungs

Bitte werden Sie aktiv!

So testen Sie, ob Ihre Adressen kompromittiert sind: 
  1. Nutzen Sie die gängigen Seiten, um Ihre eMail-Adressen zu testen.
  2. Wählen Sie seriöse bekannte Seiten, auch hier lauern Phishing-Fallen.
  3. Grundsätzlich sind deutsche Seiten für Deutschsprachige günstiger, denn:
    a. Wir verstehen die Infos besser, das sollte man nicht unterschätzen.

    b. Deutsche Seiten - mit Ausnahmen - übermitteln die Daten nicht ins Ausland.

Meine Favoriten für den Risikocheck

Meine erste Wahl ist das Hasso-Plattner-Institut der Uni Potsdam. Sie braucht allerdings Geduld. In ein Infofeld geben Sie Ihre eMail-Adresse ein und erhalten später eine eMail mit den Rechercheergebnissen an Ihre angegebene Adresse.
https://sec.hpi.uni-potsdam.de/ilc/search?lang=de


Am bekanntesten ist die Webseite "Have I Been pwned". Dort verläuft die Recherche sekundenschnell. Ich war "pwnd". Doch was heißt "pwned"? Der Google-Übersetzer bietet übrigens "pwned" an. Sehr informativ....

Doch mittlerweile gibt es eine deutsche Variante: www.experte.de. Hier wird Ihnen mitgeteilt, ob und wie oft Sie in "geleakten" Datensätzen gefunden wurden. In Kästen unterhalb dieser Angabe wird Ihnen dann erklärt, worum es dabei geht. Ich war in zwei Fällen in 2012 und 2013 betroffen. Da waren meine Accounts - Gott sei Dank - schon ungültig oder die Passwörter bereits geändert.


Außerdem können Sie über den Firefox Monitor Ihre eMail-Adresse prüfen und herausfinden, was Hacker über Sie wissen. Außerdem können Sie dort auch Sicherheitsberichte abonnieren. Sicher eine gute Maßnahme.

Und - verlassen Sie sich nicht auf die Recherche über nur eine Seite, so die allgemeinen Empfehlungen.

„Oh no – pwned!“

Lesen Sie bei Ihrem Check: „Oh no – pwned!“ dann ändern Sie zügig das entsprechende Passwort. Es empfehlen sich auch weitere Maßnahmen. Wer die Information „No pwnage found!“ erhält, kann sich entspannen, sollte aber trotzdem die Passwort-Sicherheit (siehe: Zwei-Faktor-Authentifizierung) nicht vergessen. Regelmäßige Checks empfehlen sich natürlich auch. Und - meiden Sie offene Netzwerke.

Mein Fazit zum Umgang mit Passwörtern:

  1. Ändere Dein Passwort. 
  2. Jeder Account/Zugang - ein Password - konsequent.
  3. Lege eine "geheime" eMail-Adresse an, die nur für Logins genutzt wird und sonst unbekannt bleibt.
  4. Wähle "lange" Passwörter, auch wenn manche Anbieter keine "langen" Passwörter akzeptieren. (Ja, das gibt es wirklich!) Empfohlen sind 8-20 Zeichen. 
  5. Wähle keine einfallslosen Passwörter wie "123456".
  6. Integriere Zahlen oder Sonderzeichen, auch Groß- und Kleinschreibung. 
  7. Notiere Passwörter nicht, oder wenn - halte die Liste unter Verschluss.
  8. Nutze ein System, aber kein einfaches - oder einen Passwortmanager. 

Einmal ist kein Mal

Datensicherheit ist keine Einmalaktion. Sie muss regelmäßig wiederholt werden. Deshalb habe ich jetzt meinen Terminkalender bereichert: Ich plane Sicherheitsrecherchen ein.

Webseiten und Hintergrundinfos

Möchten Sie mehr wissen? Dann lesen Sie den Sachstand ausführlicher auf der Heise Webseite nach. Dort gibt es auch weitere Seiten mit Passwort-Ratgebern und mehr. 

Nützlich fand ich auch die Tipps von der Webseite "Onlinewarnungen". Die informierte mich zum Beispiel über die deutsche Variante von "Have I Been Pwned". 

Wer mehr über die Bedeutung wissen will, für den lohnt sich ein Blick auf "bedeutungonline".

Und nutzen Sie den einen oder anderen Technik-Newsletter, auch wenn es manchmal die Geduld strapaziert:

Mein Informationsfavorit

Auch wenn die Conrad-Werbung mit täglich zwei Newslettern die Geduld strapaziert, der Conrad TechTicker war es bislang Wert. Der überarbeitete Conrad Info Ticker (seit 1.1.2019) ist schlechter: Die Anreißer sind zu allgemein und die Zahl der Meldungen ist reduziert. Früher - im Tech Ticker - reichte ein Blick für eine umfassende Information, jetzt braucht es den Klick auf die Webseite. Und auch dann erscheinen sie mir schlechter aufbereitet. Dennoch - seriöse Infos frei Haus sind nicht so häufig. Hier finden Sie den Heise-Artikel mit Hintergrundinfos.

Autor: Claudia Grötzebach

Keine Kommentare:

Kommentar posten