Mithilfe verschiedener Sicherheitsdatenbanken können wir checken, welche unserer Daten im Netz schon einmal gehackt worden sind. Je nach Tool werden mal mehr mal weniger Treffer angezeigt. Unsere Autorin hat nach dem Selbstversuch aber fast all ihre Passwörter geändert.
Von großen Datenskandalen hören wir ja immer wieder was. Zuletzt war die Videokonferenz-Plattform Zoom betroffen, von der hunderttausende Nutzerdaten geleaked und im Darknet zum Kauf angeboten wurden.
Emailadressen durch Sicherheitsdatenbanken laufen lassen
Dass das immer noch beliebteste Passwort "123456" totaler Quatsch ist, wissen wir – wir wissen aber auch, dass es das hundertprozentig sichere Passwort nicht gibt. Also sollten wir selbst ab und zu mal checken, wo unsere Daten überall angeboten werden, weil sie zuvor gehackt wurden.
Unsere Daten prüfen können wir mit verschiedenen Sicherheitsdatenbanken. Dort ist alles hinterlegt, was nach Hackerangriffen im Netz veröffentlicht wurde – beispielsweise Kontodaten, Mailadressen und Passwörter. Kostenlos geht das unter anderem bei Have I been Pwned?, Firefox Monitor, BreachAlarm und den Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam.
Je nach Plattform unterschiedliche Ergebnisse
Bei allen Plattformen geben wir einfach unsere E-Mailadresse ein und daraufhin läuft sie durch die Datenbank. Deutschlandfunk-Nova-Reporterin Krissy Mockenhaupt hat festgestellt, dass die Ergebnisse dabei von Anbieter zu Anbieter unterschiedlich sind.
"BreachAlarm fand ich nicht so gut. Hier wurden Hacks nicht erkannt, die mir aber bei anderen Datenbanken angezeigt wurden."
Krissy Mockenhaupt hat drei private Emailadressen checken lassen. Schlussendlich waren alle drei mal gehackt worden. Keine der Datenbanken hatte aber alle drei auch erkannt. Sie empfiehlt also, sich nicht auf die Ergebnisse eines einzigen Anbieters zu verlassen, sondern mehrere zu nutzen.
"Auf keine der Datenbanken ist zu hundert Prozent Verlass. Man sollte die Mailadresse am besten bei mehreren Datenbanken checken."
Nicht alle Datenbanken haben dieselben Funktionen. Positiv bei "Have I been Pwned" ist zum Beispiel, dass wir unsere Mailadressen registrieren, und einen Altert einstellen können. Das heißt, wir werden alarmiert, wenn unser Passwort künftig auf einer der Leak-Listen in der Datenbank auftaucht.
Und wer sich dann einmal in das Datenbanksystem reingefummelt hat, erfährt auch ziemlich viel, wie zum Beispiel, wann die Passwörter von welcher Plattform geklaut wurden.
Beim Hasso-Plattner-Institut bekommen wir sogar per Mail eine kleine Tabelle zugeschickt, in der aufgeführt ist, ob unser Passwort abgefischt wurde oder die Anschrift beziehungsweise Bankdaten. Allerdings sind diese Angaben nicht zwingend vollständig.
Passwort des Mailaccounts und der Benutzerkonten ändern
Wenn sich also herausstellt, dass unsere Passwörter gehackt worden sind, sollten wir diese schnell ändern. Mehr dazu erfahrt ihr hier. Wenn aber nur das Geburtsdatum oder der Wohnort betroffen ist, müssen wir nichts unternehmen, sagt auch Chris Pelchen vom Hasso-Plattner-Institut.
"Wenn jetzt der Name oder das Geburtsdatum oder der Wohnort von einem Leak betroffen ist, macht es wenig Sinn direkt umzuziehen."
Krissy Mockenhaupt hat nach ihrem Selbsttest so ziemlich alle Passwörter geändert, die sie hat, sagt sie.
"Ich hab meine Passwörter sicherheitshalber bei allen wichtigen Konten nochmal geändert."
Wichtig ist nämlich: Wenn ein Passwort gehackt wurde, reicht es nicht, nur das Passwort des betroffenen Mailaccounts zu ändern. Wir müssen auch an alle Benutzerkonten ran, für die wir diese Mailadresse benutzt haben - denn auch darauf könnten sich Unbefugte Zugriff verschafft haben.