Von Jannis Brühl und Max Muth

Die Zahl ist enorm: 2 692 818 238 Zeilen mit Zugangsdaten für Internetdienste sind im Netz aufgetaucht. Abermillionen E-Mail-Adressen und Passwörter stehen im Netz - unverschlüsselt, also für jeden lesbar.

Der IT-Sicherheitsforscher Troy Hunt stieß während seiner Recherchen in einem Hackerforum auf das Datenleck. Es konnte zeitweise dort und auch über den Cloud-Dienst Mega heruntergeladen werden. Das Magazin Wired nennt es das größte Leak, das bisher öffentlich bekannt wurde. Zahlenmäßig etwas größer wären theoretisch die beiden 2016 bekannt gewordenen Yahoo-Leaks, von denen eine beziehungsweise drei Milliarden Datensätze betroffen waren. Doch diese beiden heiklen Datensätze sind bislang im öffentlich einsehbaren Teil des Netzes nicht aufgetaucht.

Anders die "Collection #1", wie der nun bekannt gewordene Datensatz benannt ist. Woher die Daten genau stammen, ist noch unklar. Hunt zufolge sind verschiedenste Webseiten betroffen. Offenbar haben die Veröffentlichenden in der Sammlung verschiedene ältere und neuere Leaks zusammengefasst. Hunt schrieb in einem Blogpost, dass er einige Daten wiedererkannt habe, etwa 140 Millionen E-Mail-Adressen seien auch für ihn neu. Er habe die Sammlung um Duplikate und unsaubere Datensätze bereinigt, danach seien noch etwa 770 Millionen E-Mail-Adressen übrig gewesen, dazu 22 Millionen Passwörter.

Der Unterschied zwischen den beiden Zahlen erklärt sich dadurch, dass viele Nutzer - anders als empfohlen - dasselbe Passwort für mehr als eine Seite verwenden. Außerdem können verschiedene Nutzer zufällig identische Passwörter verwenden, was insbesondere simple Kennungen wie "123456" betrifft.

Über Umwege kommen Hacker auch an Kontodaten

Eine erste Prüfung der betroffenen Webseiten durch die SZ zeigt, dass überwiegend Domains mit der internationalen Endung .com betroffen sind. Allerdings finden sich auch etwa 130 deutsche Domains, darunter etwa "mannheim.fruehstueckstreff.de", "netzwerk-psychoanalyse.de", "primus-versand.de" und "strickideen.de".

Mit dem Leak stehen die Millionen Zugangsdaten ab sofort Hackern aus aller Welt zur Verfügung, um Nutzer auszuspähen oder zu versuchen, an Shopping- und Bankdaten zu kommen. Das geschieht im Falle von derart großen Leaks häufig über so genanntes "credential stuffing", übersetzt etwa "Vollstopfen mit Anmeldedaten". Dabei feuern Hacker sehr lange Listen mit E-Mail-Passwort-Kombinationen automatisiert auf das Zugangssystem eines Dienstes ab, zum Beispiel auf Spotify.

Die Software probiert selbständig, sich mit Hunderttausenden Zugangsdaten nacheinander einzuloggen. Bei dieser Masse ist die Chance nicht allzu klein, mit einigen der Kombinationen Treffer zu landen und sich Zugang zu Nutzerkonten zu verschaffen. Einer Analyse der IT-Sicherheitsfirma Shape Security vom Sommer 2018 zufolge kommen 80 Prozent der Log-in-Versuche auf Shoppingseiten von Unbefugten. Fast genauso hoch sind die Zahlen für die Webseiten von Fluggesellschaften.

So prüfen Nutzer, ob sie betroffen sind

Troy Hunt ist unter Fachleuten als Experte für die Sicherheit von Anmeldedaten anerkannt. Er hat das aktuelle Leak in seine Datenbank geladen, in der er seit einigen Jahren Leaks sammelt. Das soll Internetnutzern helfen, sich zu schützen: Auf seiner Webseite haveibeenpwned.com können sie prüfen, ob sie von dem aktuellen Leak - oder älteren - betroffen sind. Dazu müssen Nutzer in das Suchfeld eine E-Mail-Adresse eingeben, die sie für Log-ins verwenden.

Nach einem Klick auf die "Suche" prüft die Webseite, ob die E-Mail-Adresse in einem der Leaks aus den vergangenen Jahren aufgetaucht ist. Sie zeigt lediglich an, in welchem Leak diese E-Mail-Adresse auftauchte, nicht jedoch, welches Passwort benutzt wurde - das wäre ja ein Sicherheitsproblem. Da "Collection #1" eine Datensammlung ist, wird dadurch auch nicht klar, welche Webseiten oder Apps betroffen sind. Sollten die eigenen Daten also betroffen sein, dann sollten Nutzer schnellstmöglich ihre betroffenen Passwörter ändern. Wer nur ungern alle mit einer E-Mail-Adresse verknüpften Passwörter ändern möchte, kann auf einer Unterseite von Troy Hunts Webseite prüfen, ob ein einzelnes Passwort in den Leaks auftaucht.

Detailansicht öffnen Wurde Ihr Passwort in einem der auf der Webseite gespeicherten Leaks verwendet? Beim Passwort "12345678" ist das der Fall: Fast drei Millionen mal. (Foto: Screenshot)

Im Beispiel im Bild wurde das Passwort "12345678" überprüft. Es findet sich fast drei Millionen Mal in den Datensätzen wieder. Ob es in Kombination mit der eigenen E-Mail-Adresse verwendet wurde, lässt sich über haveibeenpwned.com nicht herausfinden. Dennoch sollte es geändert werden, da es ganz offensichtlich unter Hackern im Umlauf ist - was naheliegt, schließlich ist es eines der am häufigsten verwendeten Passwörter.

Wer lieber auf einer deutschsprachigen Seite nachsieht, ob seine Email-Adresse betroffen ist, dem sei der Identity-Leak-Checker des Hasso-Plattner-Instituts (HPI) empfohlen. Dort können Nutzer ebenfalls ihre E-Mail-Adresse eingeben, die Experten des Instituts schicken ihnen dann eine Auswertung für diese Adresse zu. Die Daten aus "Collection #1" sind laut einem Mitarbeiter des Potsdamer Informatik-Instituts bereits seit November in der Datenbank des HPI gespeichert.

Korrektur: In einer früheren Version hatten wir von etwa 250 betroffenen .de-Domains geschrieben, tatsächlich sind es nur 132.

Eine ausführliche Anleitung, wie man seine Daten im Netz schützt, lesen Sie hier: