wissen.de
Total votes: 11
wissen.de Artikel

"Leak-Checker" verrät Datendiebstahl

Ob E-Mail-Adresse, Online-Konto oder Facebook-Account: Immer wieder hacken Unbekannte digitale Konten und klauen die Daten. Damit können sie zum Beispiel teure Dinge im Internet unter fremden Namen kaufen oder auf private Fotos zugreifen. Obwohl wir unsere Internet-Konten mit Passwörtern sichern, kommt es immer wieder zu einem solchen Identitätsdiebstahl. Das kostet uns oft nicht nur Geld, sondern meist kommen auch ungewollt persönliche Daten an die Öffentlichkeit. Aber was kann man tun, um seine digitale Identität besser zu schützen

Symbolbild Datendiebstahl
Immer wieder gelangen Kundendaten in Hacker-Hände. Was können Betroffene tun, damit der persönliche Schaden so gering wie möglich ausfällt?

Wenn man sich beispielsweise bei einem Dienst oder Webshop anmeldet, werden die Daten in der Benutzerdatenbank des Anbieters gespeichert. Greifen dann Cyber-Kriminelle die Datenbank an, können sie an Teile der gespeicherten Daten kommen und sie öffentlich machen oder an kriminell motivierte Dritte verkaufen. Dabei spricht man von einem Leak. Daten- und Identitätsdiebstahl kann aber auch im Kleinen vorkommen: Wenn über Phishing-Mails Trojaner auf den Rechner gelangen, die dann persönliche Daten ausspionieren und diese - vom Nutzer oft unbemerkt - an den Hacker schicken.

Trotz vieler Sicherheitsvorkehrungen kommt es auch bei großen Anbietern nicht selten zu großflächigen Identitätsdiebstählen mit vielen betroffenen Konten. In der Vergangenheit wurden beispielsweise Fälle bekannt, in denen Hacker sich auf einem Schlag hunderttausende oder Millionen von Nutzerdaten von E-Mail-Anbietern angeeignet haben.  Die Folge: Mit den Anmeldedaten des E-Mail-Kontos einer Person können Fremde auf das Mail-Konto selbst zugreifen, aber auch zum Beispiel auf die Facebook-Seite gelangen oder unter fremden Namen über Twitter Nachrichten verbreiten. Auch der Online-Bankzugang kann betroffen sein.

Bin ich vom Leak betroffen?

Aber wie merke ich, wenn ich von einem solchen Leak betroffen bin? Ein Forscherteam von der Universität Bonn um Timo Malderle haben sich genau damit befasst und einen neuen, sogenannten „Leak-Checker“ entwickelt. Damit sollen sich Nutzer schützen, indem sie einfach prüfen können, ob persönliche Daten von Unbekannten gestohlen wurden.

Für einen Leak-Check muss man zunächst seine Email-Adresse angeben. Daraufhin werden die Daten mittels Datenbanken analysiert, auf denen die Wissenschaftler nach Hackerangriffen oder Datenlecks missbrauchte Zugangsdaten speichern. Mit dem Checker wird geprüft, ob die gerade eingegeben E-Mail-Adresse in einer dieser Datenbanken auftaucht. Ist das der Fall, ist man höchstwahrscheinlich von einem aktuellen Diebstahl betroffen ist. Das Ergebnis des Leak-Checks mit einer entsprechenden Warnung erhält man dann per E-Mail und kann daraufhin sein Passwort ändern, um seine Daten wieder zu schützen.

Screenshot des Leakchecker-Startmenüs
Mit dem Leak-Checker lässt sich einfach prüfen , ob persönliche Daten bei einem der bekannten Diebstähle entwendet wurden.

Extra Sicherung

Bisher konnte man bei den meisten Leak-Checkern beliebige, auch fremde Mailadressen eingeben und bekam die Informationen über gestohlene Kontodaten direkt angezeigt. Somit konnte jeder erfahren, wessen Daten geleakt wurden und bei welchen Diensten diese Person angemeldet ist. Um das auszuschließen, kommuniziert der neue Leak-Checker der Forscher direkt mit den Betroffenen, indem das Ergebnis per E-Mail an die überprüfte E-Mail-Adresse versendet wird.

„Der Nutzer bekommt dann aber nicht nur einen Hinweis auf den Anbieter, bei dem er einen Account hat, wie zum Beispiel Twitter oder Myspace, sondern auch Bruchstücke des eigenen geleakten Passworts angezeigt“, erklärt Malderle. So kann der Nutzer sich erinnern, wie das Passwort in Gänze lautet, wo er es verwendet hat und es dann gegebenenfalls direkt ändern, sollte es noch aktuell sein.

Komplett datenschutzkonform

Und auch der Leak-Check selbst, also die Analyse der Datensätze, wurde von Malderle und seinen Kollegen speziell gesichert: Die Daten werden beim Einlesen in einem speziellen Verfahren pseudonymisiert und verschlüsselt. Bei der Auswertung müssen die relevanten Merkmale, wie zum Beispiel das Passwort, die E-Mail-Adresse, der Benutzername oder das Geburtsdatum, erkannt und voneinander unterschieden werden. In den geleakten Daten sind aber nicht nur diese Identitätsmerkmale, sondern auch die Zeichen, die die einzelnen Einträge in solchen Listen trennen, nicht einheitlich.

Die Forscher entwickelten für dieses Problem eine Software für die automatisierte Auswertung. „Persönlich bekommen wir gar nicht mit, welcher Nutzer eine Anfrage an den Leak-Checker stellt“, erklärt Malderle. Von der Eingabe der Mailadresse, der Pseudonymisierung, dem Abgleich mit dem geleakten Datensatz und der Antwort an den Nutzer läuft alles automatisch ab.

In ihrer Datenbank speichern die Forscher dabei nur öffentlich zugängliche Identitätsdaten-Leaks aus dem Internet oder dem sogenannten Darknet – kaufen also keine Leaks von Kriminellen. Die Identitätsdaten-Leaks erhält das Forscherteam, indem es das Internet mit speziellen Suchalgorithmen durchsucht. Teilweise werden diese Daten auch durch die Systeme der Experten automatisiert gesammelt. Etwa 25 Milliarden Datensätze, also Zeilen mit zueinander passenden Identitätsmerkmalen, konnten bislang mit der neuen Software analysiert werden – automatisiert und datenschutzkonform.

Symbolbild Social Media
Wer seine Benutzerkonten bei Facebook, Google oder Amazon auch auf anderen Seiten verwendet. etwa um dort ohne Extra-Login zu zahlen, sollte besonders auf die Sicherheit des gewählten Passworts achten. Solche Konten dienen dann gleichsam als Generalschlüssel. Ähnliches gilt für E-Mail-Adressen, die mit anderen Konten verknüpft sind.

Doppelt hält besser: Wie schütze ich mich?

Wie schützt man seine Online-Konten aber zukünftig besser, nachdem ein Leak festgestellt wurde und man die Passwörter vom Online-Shop, Facebook und Co. zurückgesetzt hat? Die Experten empfehlen spätestens dann, speziell sein E-Mail-Konto möglichst stark zu sichern. Denn das E-Mail-Konto ist eine Art Generalschlüssel für viele weitere Dienste, die Links zum Zurücksetzen des Passwortes per Mail verschicken. Setzt man also Passwörter bei anderen Anbietern zurück, könnte jemand über die E-Mail-Adresse fast alle anderen Konten knacken.

Bei der Absicherung gilt: „Umso länger und komplexer das Passwort ist, desto besser ist ein Benutzerkonto geschützt.“ Zwölf Stellen sollte ein Passwort mindestens haben - optimal wären aber 16 oder mehr. Dabei sollte der Code auch schwer zu erraten sein, indem man zum Beispiel keine Wörter aus dem Wörterbuch nutzt, da Hacker sie bei Angriffen häufig ausprobieren. Außerdem bietet eine sogenannte Zweifaktor-Absicherung noch einen deutlich höheren Schutz. Dabei gibt man nicht nur das Passwort ein, sondern hat zum Beispiel noch eine zusätzliche Anmeldung mit einem Einmalpasswort oder einer SMS.

Darüber hinaus ist es sicherer, für jeden Account ein anderes Passwort zu benutzen. Denn wenn das Passwort bei einem Dienst gestohlen wird, sind nicht sofort auch die anderen Dienste ungeschützt. Sogenannte Passwortmanager, die auch über den Browser angeboten werden, können helfen, nicht den Überblick zu verlieren. „Man sollte seine Passwörter aber auf keinen Fall unverschlüsselt digital speichern, also auf dem Rechner oder dem Handy“, sagt Malderle.

Software aktuell halten

Neben der Passwortsicherung raten Experten außerdem dazu, den Internetbrowser, das Betriebssystem und Antivirensoftware ständig auf dem aktuellem Stand  zu halten. Damit kann man Sicherheitslücken schließen, die die Angreifer ausnutzen könnten. Wenn man sich neue Apps herunterlädt, sollte man zudem prüfen, auf welche Daten und Funktionen sie zugreifen können. Manchmal kann eine App zum Beispiel das Adressbuch auf dem Smartphone einsehen oder bietet an, bei der Registrierung nach Freunden zu suchen.

Ausführliche Informationen zum Datenschutz findet man unter anderem auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

ABO / Rheinische Friedrich-Wilhelms-Universität Bonn, 09.02.2021
Total votes: 11