Tooltip: Mit Leak Checker erfahren, ob Ihre Daten gestohlen wurden
Amazon, Google, Dropbox oder Microsoft 365: Vermutlich haben Sie bei mehreren Dutzend Online-Diensten einen Benutzeraccount. Könnten Kriminelle womöglich Ihre Zugangsdaten kennen? Das ist tatsächlich eine reale Gefahr, die Folgen für Sie haben kann. Mit unseren Tooltips zu Leak Checkern finden Sie in wenigen Minuten heraus, ob Sie betroffen sind und wie Sie dann vorgehen.
Was ein Leak bedeutet
Von einem Datenleck, oder auch Leak genannt, ist die Rede, wenn sensible Daten an die Öffentlichkeit oder in die Hände unberechtigter Dritter geraten. Das kann vielfältige Gründe haben: unzureichende Sicherheitsvorkehrungen des Online-Dienstes, wenn Mitarbeitende auf Phishing-E-Mails hereinfallen oder Server gehackt werden. Durch solche Vorfälle werden Daten abgegriffen. Das können alle Daten sein, die Dienstleistende, Unternehmen und Behörden über uns speichern wie E-Mail-Adressen, Passwörter, Adressen oder Konto- und Kreditkartendaten.
Wie Cyberkriminelle Ihre Daten missbrauchen
Um diese gestohlenen Daten, insbesondere E-Mails und Passwörter, hat sich bereits ein lukrativer Schwarzmarkt entwickelt. Das auf geleakte Daten spezialisierte Netzwerk „Digital Shadows“ berichtete im Jahr 2020 über 15 Milliarden Benutzer-Passwort-Kombinationen, die auf cyberkriminellen Marktplätzen gehandelt werden. Das bedeutet, dass z.B. die Zugangsdaten Ihres Online-Bankings oder Unternehmen-Accounts im Netz verkauft werden und sich Täterinnen und Täter auf diesem Weg daran bereichern. Dabei spielt ihnen in die Karten, dass die meisten Nutzerinnen und Nutzer ihre Zugangsdaten mehrfach verwenden. So lässt sich in etlichen Fällen mit den Anmeldedaten von z.B. Spotify auch ein Amazon- oder Google-Konto übernehmen. Diese Angriffsmethode nennt sich Credential Stuffing.
So helfen Ihnen Leak Checker
Um zu wissen, ob Sie betroffen sind, können Sie sogenannte Leak Checker nutzen. Leak Checker, bzw. deren Betreiber, durchforsten kontinuierlich das Internet und Darknet, um geleakte Daten in ihren Listen zu ergänzen und mit Ihren abzugleichen. Eine Garantie, dass Ihre persönlichen Informationen nicht gestohlen wurden, wenn Leak Checker sie nicht in ihren Listen finden, gibt es nicht. Jedoch verfügen Leak-Monitoring-Dienste inzwischen teilweise über mehrere Milliarden geleakte Daten, was die Wahrscheinlichkeit für Sie reduziert, unwissentlich betroffen zu sein.
Für Unternehmen haben diese Leak-Monitoring-Dienste den Mehrwert über einen möglichen Datenmissbrauch sämtlicher Accounts der Mitarbeitenden Bescheid zu wissen und dementsprechend handeln zu können. Damit kann z.B. verhindert werden, dass Kriminelle mit den gestohlenen Daten in Ihr Unternehmen eindringen können.
Tooltip: Leak Checker der Universität Bonn
Der Leak Checker der Universität Bonn ist im Jahr 2019 aus dem Projekt EIDI entstanden. EIDI steht für "Effektive Information nach digitalem Identitätsdiebstahl". Der für Privatanwender kostenlose Dienst zeichnet sich als DSGVO-konform aus und wird vom Bonner Start-up Identeco unterstützt. Das Start-up bietet einen Leak-Monitoring-Dienst für Unternehmen an, wozu u.a. ein Live-Feed gehört. Dieses Angebot ist jedoch kostenpflichtig.
Tooltip: HPI Identity Leak Checker des Hasso-Plattner Instituts
Der HPI Identity Leak Checker des Hasso-Plattner Instituts aus Potsdam ist seit 2014 in Betrieb und ebenfalls aus einem Forschungsprojekt entstanden. Der Service ist für Privatanwender kostenlos und DSGVO-konform. Dazu gibt es auch ein kostenpflichtiges Angebot für Unternehmen. Auf der Webseite finden sich zudem Statistiken über die am häufigsten kompromittierten Domains. Bei diesen Domains handelt es sich meist um E-Mail-Anbieter wie Yahoo, Gmail oder Hotmail.
Tooltip: Have I Been Pwned von Troy Hunt
Der bekannteste Leak-Monitoring-Dienst ist „Have I Been Pwned“ – übersetzt „Hat's mich erwischt?“ – des australischen Sicherheitsforschers Troy Hunt. Have I Been Pwned ist kostenfrei, unterscheidet sich von den beiden deutschen Diensten aber darin, dass die Ergebnisse nicht über die überprüfte E-Mail zugestellt, sondern direkt auf der Webseite angezeigt werden. Dennoch lässt sich eine E-Mail-Benachrichtigung im Hinblick auf neue Funde aus Datenlecks abonnieren. Nach eigenen Angaben liegt der Datenbestand bei knapp 13 Milliarden geleakten Nutzerkonten, wird jedoch laufend erweitert. Der Dienst genießt in der Cybersicherheitsbranche ebenfalls einen guten Ruf.
Das sollten Sie tun, wenn Ihre Daten geleakt sind
Zunächst: Ändern Sie umgehend Ihr Passwort bei den betroffenen Diensten. Prüfen Sie parallel, ob Sie das Passwort in Kombination mit der E-Mail-Adresse an anderer Stelle auch nutzen und ändern Sie es gegebenenfalls. Generell empfehlen wir, jedes Passwort nur einmalig zu vergeben und eine Zwei-Faktor-Authentifizierung zu nutzen. Weitere Informationen und Tipps zu Passwörtern und zur Accountsicherheit finden Sie in unserem IT-Sicherheitskompass.
Zu Ihrem Schutz sollten Sie außerdem auf verdächtige Transaktionen in Ihren Konten achten, wenn Finanz- und Zahlungsdaten wie Kreditkarten- oder Kontonummern von Ihnen geleakt wurden. Das gibt Ihnen die Chance, rechtzeitig Einspruch gegen betrügerische Abbuchungen zu erheben.
Falls Personendaten wie Ihr Name oder Adresse in die falschen Hände geraten sind, kann es helfen, vorsorglich mit Behörden in Kontakt zu treten, um sich gegen Identitätsdiebstahl abzusichern.
Ratgeber-Reihe „Tooltip“
Mit welchem Hammer Sie den Nagel auf den Kopf treffen oder welche Bohrmaschine die richtige für Sie ist, können wir Ihnen nicht sagen. In unserer Reihe „Tooltip“ geben wir Ihnen dafür andere praktische Werkzeuge an die Hand, mit denen Sie stattdessen Ihre digitale Sicherheit im Betrieb erhöhen.