Computer-Bildschirm mit Benutzeroberfläche eines E-Mail-Programms (Quelle: dpa/imageBROKER/Jochen Tack)
Bild: dpa/imageBROKER/Jochen Tack

Leak-Checker des Hasso-Plattner-Instituts - Sind Sie sicher, dass Ihre E-Mail-Adresse noch sicher ist?

Der am Freitag aufgedeckte Datenklau ist nur die Spitze eines Eisbergs. Täglich werden tausende Nutzerkonten gehackt, meist ohne Wissen der Inhaber. Ob auch Ihre E-Mail-Adresse betroffen ist, weiß der Leak-Checker des Hasso-Plattner-Instituts. Von Daniel Marschke

Nach dem Hackerangriff auf mehr als 100 Politiker, Prominente, Künstler, Journalisten und Social-Media-Protagonisten sind zahlreiche Fragen offen, zum Beispiel, warum das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht viel schneller reagierte, obwohl es nach eigenen Angaben bereits im Dezember von dem massiven Datenleak wusste.

Klar scheint immerhin zu sein, dass es sich nicht um einen klassischen Cyberangriff handelte: Nicht Behörden, Unternehmen oder andere sensible Institutionen wurden "geleakt" - vielmehr stammen die Daten aus rein privaten Quellen.

"123456" - das beliebteste Passwort der Deutschen

Der Präsident des BSI, Arne Schönbohm, sieht die Verantwortung daher auch bei den betroffenen Nutzern. Diese hätten die Verkehrsregeln des Cyberspace besser beachten müssen, sagte der BSI-Chef auf Phoenix.

Tatsächlich ist das mangelnde Sicherheitsbewusstsein vieler Internet-Nutzer ein großes Problem. Vor allem bei der Wahl von Passwörtern sind sie erschreckend naiv. Das geht aus Untersuchungen des Hasso-Plattner-Instituts (HPI) in Potsdam hervor, das jedes Jahr eine Liste mit Passwörtern veröffentlicht, die in Deutschland am meisten genutzt wurden.

Demnach wurde die Rangliste der "Top Ten"-Passwörter auch im zurückliegenden Jahr von der Zahlenfolge "123456" angeführt. Auf dem zweiten Platz folgt "12345". Auch "ficken" auf Platz vier ist aus Sicht von IT-Experten keine Buchstabenfolge, die als besonders sicher gelten könnte - ebenso wenig wie "hallo" auf Platz sieben oder das Passwort "passwort" auf Rang neun.

"Einladung zum Identitätsdiebstahl"

Das Problem: Einfache Ziffernfolgen oder Wörter lassen sich innerhalb weniger Minuten schon von einfachsten Programmen knacken. "Derart schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt. Sie sind geradezu eine Einladung zum Identitätsdiebstahl", sagte HPI-Direktor Christoph Meinel bei der Vorstellung der aktuellen Rangliste Mitte Dezember.

Grundlage für die Ermittlung der am meisten verwendeten Passwörter sind die Daten aus dem "Identity Leak Checker" des HPI Dort werden Nutzerkonten gespeichert, die unter einer .de-Domäne registriert sind und schon einmal geleakt wurden. Nicht besonders erstaunlich: Nutzerkonten mit unsicheren Passwörtern sind besonders gefährdet.

Wenn Sie wissen wollen, ob auch Ihre E-Mail-Adresse schon einmal betroffen war, können Sie das mit dem HPI-Leak-Checker prüfen [externer Link].

Seit 2006 fast sechs Milliarden Konten betroffen

Absolut gesehen, ist die Zahl geleakter Nutzerkonten so groß, dass der am Freitag bekannt gewordene Hackerangriff nur die alleroberste Spitze eines riesigen Eisbergs darstellt. "Der Diebstahl von Identitätsdaten im Internet ist ein großes Problem", sagte Christiane Rosenbach, Pressesprecherin des HPI, am Samstag rbb|24. Und das sei auch seit Jahren bekannt. So reicht die Statistik des HPI bis ins Jahr 2006 zurück. Seitdem waren rund 5,9 Milliarden Nutzerkonten betroffen. Die Dunkelziffer dürfte noch höher sein, denn das HPI dokumentiert nur Fälle, die von Dienstebetreibern mitgeteilt werden.

Regeln für sichere Passwörter unbedingt beachten

Allein im Dezember 2018 wurden in Deutschland mehr als 602.000 Nutzerkonten "geleakt", die durch eine E-Mail-Adresse identifizierbar waren. Ein Großteil der gestohlenen Angaben wird laut HPI anschließend illegal in Datenbanken veröffentlicht und dient so als Grundlage für weitere kriminelle Handlungen.

HPI-Direktor Meinel sieht daher weiteren Aufklärungsbedarf. Es müsse Kriminellen "so schwer wie möglich" gemacht werden, an Passwörter zu gelangen. Vor allem die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste sei leichtsinnig, "wenn man bedenkt, welche Schäden einem hierdurch entstehen können". Wer die Sicherheit seiner Passwörter erhöhen will, sollte nach Angaben des HPI folgende Regeln beachten:

  • Lange Passwörter wählen (mehr als 15 Zeichen)
  • Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
  • Keine Wörter aus dem Wörterbuch
  • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
  • Verwendung von Passwort-Managern
  • Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen   
  • Zwei-Faktor-Authentifizierung aktivieren

Welche anderen Regeln man noch beachten sollte, um im Internet möglichst sicher unterwegs zu sein, hat Netzpolitik.org auf seiner Website zusammengestellt.

Beitrag von Daniel Marschke

Kommentar

Bitte füllen Sie die Felder aus, um einen Kommentar zu verfassen.

Kommentar verfassen
*Pflichtfelder

Mit Nutzung der Kommentarfunktion stimmen Sie unserer Netiquette sowie unserer Datenschutzerklärung (Link am Ende der Seite) zu. Die Redaktion behält sich vor, einzelne Kommentare nicht zu veröffentlichen.

10 Kommentare

  1. 10.

    Was Sie und Tom sagen, deutet darauf hin, dass der ach so muendige Buerger vor allem vor sich selbst geschuetzt werden muesste: Wenn Leute vielfaeltigste Ueberwachungsapparate als Hard- und Software freiwillig und in vollem Bewusstsein von deren Risiken nutzen, und wenn im Jahre 2019 noch die genannte TopTen der Passwoerter besteht, kann man dafuer wohl kaum "die da oben" verantwortlich machen. Das ist 100% frei gewaehlte, volkseigene Dummheit.

  2. 9.

    (2) Meine Frage ist, wie sicher ist es, mein Passwort zu variieren? Zum Beispiel jeweils einen Buchstaben oder eine Zahl darin auszutauschen? Passwörter werden ja nicht manuell geknackt, sondern durch Bots und Algorithmen. Falls durch ein Datenleak mein Passwort in die falschen Hände geraten würde, wären die Dinger dann in der Lage, gleich alle Varianten davon in Null komma Nix entschlüsseln zu können?

  3. 8.

    (1) Ich habe eine Frage. Vielleicht kann mir die jemand beantworten. Ich habe ein gutes und sicheres Passwort, das ich mir auch merken kann. Aber ich habe unzählige Adressen, bei denen ich mich anmelden muss. Da hilft glaube ich nur ein Passwort-Manager. Meine Frage ist, wie sicher ist es, mein Passwort zu variieren?

  4. 7.

    Es wird in der Tat viel zu lasch bestraft. Es ist wie ein Einbruch in die Wohnung. Es sollte mindestens eine Gefängnisstrafe nach sich ziehen.

  5. 6.

    Tja, es geht ja auch nicht um die Mails (zumindest nur in seltenen Fällen).

    Benutzen Sie Ihre eMail Adresse vielleicht auch als Benutzernamen bei anderen Accounts? Vielleicht sogar mal mit dem selben Passwort?

  6. 5.

    Eines ist sicher, das HPI in P hat nun eine umfangreiche Sammlung aller interessierten und besorgten Bürger bzw. deren Emailadresse.

    Ich weiss nun, dass ich anno Zopf angeblich ein gehacktes PW bei einem meiner vielen Mailadressen habe, aber kein Häkchen bei den anderen Dingen. hm. Ich hoffe, die Hacker hatten Spaß am Lesen der 30 Junk-Email zur Verlängerung der Wertgegenstände des Mannes, zu Viagra aus Bulgarien, alle Malte Bergers dieser Welt kennen sie nun auch, den Felix Meier mit seinem unfehlbaren Angebot, die Phisher in meinem nicht vorhandenen FB- oder Paypal-Acount... ach ja, nicht zu vergessen die Mails der Schule, der Eltern und Elternvertreter!

    DAS war sicher total interessant, oder?

  7. 4.

    Da haben Sie leider recht. Die DSGVO ist im Ansatz gut gedacht, jedoch ein zahnloser Tiger, da ja die Erfassung und Verarbeitung von Daten nicht explizit verboten ist. Die Seitenbetreiber müssen lediglich darauf hinweisen, welche Daten erfaßt werden und zu welchem Zweck. Aber mal ehrlich: wieviel Prozent der Nutzer lesen sich das durch? Ergebnis der DSGVO ist nun, daß auf fast jeder Seite ein Hinweis auf Cookies aufpoppt. "Wir verwenden Cookies, um Ihr Nutzererlebnis zu verbessern". Ja klar. Die Nutzer werden getrackt, um Profile zu erstellen. Für personalisierte Werbung im harmlosesten Fall, wer weiß wozu noch. Alle Smartphones werden getrackt, sofern man keine Gegenmaßnahmen ergreift, und dann gibt es noch Leute, die sich freiwillig Wanzen ins Haus stellen, Alexa und Co.
    Nein, staatlicherseits hat niemand ein gesteigertes Interesse, die Bürger zu schützen. Und die Wrtschaft erst recht nicht.

  8. 3.

    Immer wieder interessant zu lesen, wie unfähig und scheinbar ausgeliefert der „normale“ User ist.. ganz zu schweigen von scheinbar wenig bewanderten „öffentlichen Personen“ und deren unqualifizierten oder ignorierten IT-Beratern.

    Da lässt man ein Monster namens DSGVO los, das im Kern ja Sinn macht und tut so als sei der User nur Opfer.. wem heutzutage am Bahnhof die in die Gesäßtasche gesteckte Brieftasche geklaut wird, kann mit einem müden Lächeln rechnen.

    Warum sind die seit ewigen Zeiten vorhandenen Passwort-regeln auf Server, die eben die einfachen Passwörter gar nicht erlauben, nicht aktiv? Warum ist bei großen Anbietern 2-factor nicht Pflicht? Warum haften Anbieter nicht, wenn sie unsicheren Service bieten? Warum ist das Einmal-Login wie über Facebook!, Google, openID erlaubt?

    Weil es Umsatz bringt.

    Und die harmlosen Versuche der Aufklärung durch Behörden und Helfer ala BSI? Heiße Luft.

    Password-safe zuerst - zertifiziert und Verpflichtende Regeln für Betreiber.

  9. 2.

    Einen Whois-Auszug als Daten-Leak zu bezeichnen deutet doch etwas auf Inkompetenz des HPI. Immerhin sind das Daten, die Menschen freiwillig in ein öffentliches Verzeichnis eingetragen haben. Dann wäre ein Telefonbucheintrag auch ein Daten-Leak.

  10. 1.

    Solch Vorgang ist doch normal,wenn man weiß,das überführten Hackern in Deutschlandnoch freundliche Grüße bekommen,siehe Hack des Merkel-Handys,da konnte sich die Mutti zum freundlichen Satz durchringen,Unter Freunden geht sowas nicht,ausweisen hätte man die Schurken sollen !

Das könnte Sie auch interessieren