„Datenpanne“, „Datenleck“, „Ihr Passwort wurde kompromittiert“. Bei diesen Worten spielen sich nicht nur albtraumhafte Szenarien im Kopf ab, sondern man fragt sich auch unweigerlich: wie verhalte ich mich jetzt richtig. In diesem Beitrag erfährst du, wie du herausfinden kannst, ob deine Passwörter kompromittiert wurden und falls ja – wie du dich dann am besten verhältst.
Zum World Password Day am 6. Mai haben wir hier auf dem Blog die drei schlimmsten Hackerangriffe der letzten Jahre vorgestellt. Falls du sie nachlesen möchtest, findest du ganzen Beitrag hier. Durch den Blogartikel wird erschreckend deutlich, wie viele Passwörter in den letzten Jahren kompromittiert wurden. Kurz zur Erklärung: Ein System oder ein Datensatz kann als kompromittiert betrachtet werden, wenn der Eigentümer des Systems, einer Datenbank oder eines Datensatzes keine Kontrolle mehr über die korrekte Funktionsweise und deren Sicherheit hat. Mit anderen Worten: Hundert Millionen gehackte Informationen schwirren im Netz herum. Darunter nicht nur persönliche Informationen wie Name, E-Mail-Adresse und Telefonnummer, sondern auch unverschlüsselte Passwörter, Kreditkarteninformationen und Passnummern.
Komfort gefährdet Sicherheit
Was besonders schlimm daran ist: Jeder dritte Nutzer verwendet das gleiche Passwort für mehrere Dienste und fast 70 % ändern ihre Passwörter nicht in regelmäßigen Abständen. Und wenn ein Passwort und die dazugehörige E-Mail-Adresse erst einmal gehackt wurden, haben Hacker auch leicht Zugang zu anderen Accounts, wenn dort die gleichen Anmeldedaten hinterlegt sind. Die Gründe für die leichten und gleichen Passwörter sind fehlende Motivation und Bereitschaft, sich schwere und komplexe Passwörter zu merken. Das ist bei „jd:9_L!(heP*BhI“ irgendwie auch verständlich. In der heutigen Zeit und der Vielzahl an gehackten Accounts darf Komfort jedoch nicht mehr die Ausrede sein, seine kostbaren persönlichen Daten mit „Passw0rd1!“ zu schützen. Denn die Realität ist erschreckend: Allein im Jahr 2020 wurden 172 Datenlecks mit rund 2 Milliarden Identitäten im Internet veröffentlicht.
Es wird von Jahr zu Jahr schlimmer
Vor kurzem kam der neue Cybersecurity-Bericht des Hasso-Plattner-Instituts raus. Im Jahr 2021 fanden Sicherheitsforscher noch mehr Lecks auf deutschen Websites als 2020, und auch der digitale Identitätsdiebstahl nahm zu. Dazu sagte der Direktor des HPI, Professor Christoph Meinel: „Auch wenn es im Internet keinen 100-prozentigen Schutz vor Angriffen gibt, müssen persönliche Daten unbedingt bestmöglich geschützt werden. Dazu gehört auch die Wahl von langen, individuellen und komplexen Passwörtern und die regelmäßige Überprüfung, ob persönliche Daten betroffen sind, wie das beispielsweise mithilfe unseres HPI Identity Leak Checker kostenlos möglich ist.“
Unwissenheit schützt auch im Internet nicht
Starke Passwörter sind wichtig und du solltest ab jetzt für jede Anwendung ein einzigartiges und komplexes Passwort auswählen. Aber was ist, wenn bereits eins oder mehrere deiner Passwörter kompromittiert wurden? Werden User benachrichtigt, wenn ihre Accounts gehackt wurde? Die kurze Antwort lautet: Ja, sollten sie. Oftmals werden Nutzer über einen entsprechenden Hinweis auf der Landingpage benachrichtigt, oder es wird ein Newsletter, eine Pressemitteilung an alle User versendet. Aber wer von uns liest schon Pressemitteilungen. Wer von uns meldet sich schon über die Landingpage des E-Mail-Providers in Zeiten von Mailing-Apps und Outlook an. Eine solche Nachricht kann in der Flut an Informationen, die wir täglich zu uns nehmen, schnell untergehen.
Selbst aktiv werden mit dem Identity Leak Prüfer
Mit dem Identity-Leak Prüfer, dem Online-Sicherheitsprüfer des Hasso-Plattner-Institutes, lässt sich einfach und schnell herausfinden, ob man selbst Opfer eines Datendiebstahls geworden ist. Dabei muss der Nutzer nur seine E-Mail-Adresse eingeben und kann so überprüfen, ob persönliche Informationen frei im Internet kursieren und somit auch von Unbefugten missbraucht werden können. Diese Möglichkeit, seine E-Mail-Adresse mit mehr als 12 Milliarden gestohlener Identitäten abzugleichen, ist nicht in jedem Land möglich. Zuerst sollte man also regelmäßig überprüfen, ob Zugänge bereits kompromittiert wurden. Und das nicht nur privat. Auch vor geschäftlichen Zugängen machen Hacker nicht halt. Deshalb sollten Mitarbeitende neben privaten Zugängen auch geschäftlichen E-Mail-Adressen mit dem Identity-Leak Prüfer kontrollieren.
Unter diesem Link findet ihr den Identity-Leak Prüfer und ihr könnt direkt herausfinden, ob und welche eurer personenbezogenen Daten bereits kompromittiert wurden:
Mittlerweile ist mit dem Prüfer ein Abgleich mit mehr als 12,7 Milliarden gestohlener im Internet verfügbarer Identitäten möglich. Dieses Angebot in Deutschland gilt als einzigartig.
Bis jetzt haben bereits mehr als 16,4 Millionen Nutzer die Sicherheit ihrer Daten in den letzten 5 Jahren überprüft. In mehr als 4,1 Millionen Fällen mussten Nutzer feststellen, dass ihre E-Mail-Adresse und andere sensible Informationen im Internet veröffentlicht wurden.
Die Liste zum Schämen
Der HPI-Prüfer bildet auch die Datengrundlage für die „Liste zum Schämen“, nämlich die meistgenutzten Passwörter der Deutschen, die das HPI regelmäßig veröffentlicht.
Die Top 10 der deutschen Passwörter 2021:
- 123456
- passwort
- 12345
- hallo
- 123456789
- qwertz
- schatz
- basteln
- berlin
- 12345678
„Achtung: Ihre E-Mail-Adresse taucht mindestens in einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank auf“
Was bedeutet das überhaupt? Viele Hacker verkaufen die gestohlenen Daten im Darknet, Hacker machen jährlich Milliardengewinne damit. Der Internet-Schwarzmarkt ist international organisiert und gilt schon seit einiger Zeit lukrativer als der Drogenhandel. Wenn zudem noch Bankdaten gestohlen werden, können die Kriminellen im Namen der Opfer sogar online einkaufen gehen.
Deshalb solltest du zuerst einen Passwortwechsel durchführen!
Erster Schritt: Passwortwechsel
Sowohl im privaten als auch im geschäftlichen Kontext. Im geschäftlichen Kontext ist dieser Schritt nicht nur dringend ratsam, sondern das Bundesamt für Sicherheit in der Informationstechnik besagt: „Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht. Passwörter MÜSSEN geheim gehalten werden.“
Dabei sollte das neue Passwort einigen Richtlinien entsprechen:
- Pro Zugang sollte nur ein einzigartiges Passwort verwendet werden
- Je komplexer und länger das Passwort ist, desto besser
- Das Passwort sollte keine Wörter aus einem Wörterbuch oder Tastenabfolgen enthalten
- Das Passwort sollte durch Zahlen und Sonderzeichen verstärkt werden
- Das Passwort sollte durch regelmäßige Änderungsintervalle aktualisiert werden
Ganz schön viele Anforderungen für dein neues Passwort, oder?
Durch einen Password Manager zu mehr Sicherheit und Komfort
Vor allem im geschäftlichen Kontext kann hier schnell Abhilfe geleistet werden. Bei durchschnittlich über 16 genutzten Zugängen pro Mitarbeitenden können Passwort-Richtlinien schnell zu Überforderung und Angst bei den Mitarbeitenden führen, das neu erstellte und komplexe Passwort zu vergessen. Ein Password Manager wie Password Safe kann Sicherheit und Komfort vereinen. Der integrierte Passwort-Generator erstellt sichere, einzigartige und komplexe Passwörter auf Knopfdruck. Diese Passwörter müssen sich die Mitarbeitende glücklicherweise nicht merken, das übernimmt die Software für sie. Mit nur einem einzigen Master-Passwort kann man sich im System anmelden, alle weiteren Zugangsdaten erkennt die Software automatisch und fügt sie in die Anmeldemaske ein. Durch die Kombination aus dem Password Safe Webzugriff und der App können sich Nutzer von überall problemlos anmelden, also auch aus dem Homeoffice heraus oder von der Geschäftsreise.
Das bedeutet: es gibt hier keine Ausreden mehr, sich „jd:9_L!(heP*BhI“ nicht merken zu können. Mit Password Safe brauchst du dir nur noch ein einziges sicheres und komplexes Passwort merken.
Für weitere Informationen über den Datenschutz in Password Safe klicke hier.