Identity Leak

Immer wieder hört oder liest man in den Medien von sog. "Password Leaks", "Datenlecks", "Identity Leaks" oder "Identitätsdiebstahl". Auch Angehörige der Universität sind von solchen Leaks betroffen.

Was ist ein "Identity Leak" / Identitätsdiebstahl?

Allgemein bedeutet Identity Leak, dass Daten / Informationen bezüglich der Identität des*der Nutzer*in im Internet bzw. Darknet veröffentlicht wurden. Welche Daten konkret betroffen sind, hängt natürlich von der Quelle der Daten ab. Oftmals zählen zu den Daten:

  • E-Mail Adresse / Benutzernamen
  • Passwörter im Klartext oder gehasht
  • Geo-Informationen
  • Geburtsdatum
  • Adress- und Kontaktinformationen
  • ...

Wo kommen die Daten her und wie ist deren Qualität?

Bei sogennannten "Collections" / Sammlungen kann oftmals die Herkunft der Daten und deren Qualität nicht abschliessend geklärt werden. Hier sieht man lediglich, dass man auf einer "Passwortliste" steht, aber nicht warum. Das Problem ist auch, wenn man einmal auf solch einer Liste zu finden ist, kommt man nie wieder runter, selbst wenn die Daten sehr alt und längst nicht mehr aktuell sind.

Konkreter sind Informationen zu bestimmten "Breaches", also Einbrüche und Datendiebstahl bei bestimmten Dienstleistern wie Dropbox, Adobe, oder linkedin. Hier weiss man tatsächlich in der Regel recht genau, welche Personen und welche Daten betroffen sind. Das Datum des Einbruchs wiederum gibt Aufschluss über die Aktualität der Daten.

Ich bin betroffen, was soll ich jetzt machen?

Folgendes Vorgehen empfehlen wir:

  1. Datenherkunft prüfen
  2. Betroffene Passwörter ändern
  3. Einstellungen betroffener Konten prüfen

Versuchen Sie zuerst herauszufinden, um welche Daten von welchen Diensten es sich konkret handelt. Hierzu können Sie die unten erwähnten Dienste in Anspruch nehmen. Wenn Sie konkrete Informationen erhalten, dann sollten Sie das Passwort bei den betroffenen Diensten ändern. Falls Sie dasselbe Passwort auch woanders verwenden, ändern Sie es auch dort. Allgemein gilt, ein einmal öffentlich bekannt gewordenes Passwort, kann niemals mehr verwendet werden.

Prüfen Sie auch alle Einstellungen bei den betroffenen Diensten. Besonders interessant sind Änderungen der E-Mail Adresse oder E-Mail Weiterleitungen / Benachrichtigungen, etc, weil diese es u.U. einem Angreifer ermöglichen, weitere Informationen über Sie zu sammeln, Passwörter zurück zu setzen u.ä.

Etwas schwieriger ist es, wenn die Herkunft der Daten unklar ist. Dann ist oft die einzige Information, die man hat, dass man auf irgendeiner Liste steht. Man könnte zur Vorsicht sämtliche seiner in Frage kommenden Passwörter ändern, aber das ist nicht pauschal zu empfehlen. Dennoch sollten Sie aufmerksam sein und prüfen, ob sich bei in Frage kommenden Konten auffällige Aktivitäten ergeben, und in diesem Falle anlassbezogen handeln (Passwort ändern, Einstellungen prüfen, s.o.).

Wo finde ich weitere Informationen?

Der renommierte Sicherheitsforscher Troy Hunt bietet einen Service namens "haveibeenpwned" an. Dort kann man seine E-Mail Adresse eingeben und bekommt eine Übersicht über bekannte Leaks.

https://www.haveibeenpwned.com

Der Service bietet auch die Möglichkeit, zu prüfen, ob ein Passwort geleakt wurde. Da wir allerdings nicht garantieren können, dass dieser Dienst sicher ist bzw. bleibt, können wir die Nutzung der Passwortprüfung nicht empfehlen.

Das Hasso-Plattner-Institut bietet einen Service namens "Identity Leak Checker". Auch hier kann man seine E-Mail Adresse eingeben und erhält dann eine E-Mail vom HPI mit Informationen bezüglich gefundener Leaks.

https://sec.hpi.de/ilc/

Beide Dienste bieten zwar Informationen über den Datendiebstahl, aber die Information, welches Passwort konkret betroffen ist, bekommt man leider nicht.