Sicherheit im Netz 21.05.2014, 11:47 Uhr

Kostenloses Online-Tool des Hasso-Plattner-Instituts warnt bei Datenklau

Mit einem neuen kostenlosen Online-Tool des Potsdamer Hasso-Plattner-Instituts kann jeder Nutzer sehr schnell überprüfen lassen, ob und auch welche seiner personenbezogenen Daten von Cyber-Kriminellen bereits gehackt worden sind. Das Tool gibt im Falle eines Befundes auch Tipps im Umgang mit dem Datendiebstahl.

„Achtung: Ihre E-Mail Adresse taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf.“ Wenn Sie eine E-Mail mit diesem Text erhalten, haben Sie grundsätzlich ein Problem. Denn dann sind persönliche Identitätsdaten, die Ihrer E-Mail-Adresse zugeordnet sind, von Online-Piraten erbeutet worden und frei im Netz zugänglich. Es handelt sich dabei nicht um Peanuts: Es geht um so sensible persönliche Daten wie das Passwort, den Vor- und Zunamen, die Kreditkarte, die Bankkontodaten, Telefonnummer, Anschrift, das Geburtsdatum und die Sozialversicherungsnummer.

Tool überprüft die E-Mail-Adresse und die zugehörenden Daten

Diese Benachrichtigung ist das Ergebnis einer Überprüfung der eigenen E-Mail-Adresse, die Forscher des Potsdamer Hasso-Plattner-Instituts (HPI) in Potsdam als kostenloses Online-Tool anbieten. Der HPI Identity Leak Checker überprüft die in eine Maske eingegebene E-Mail-Adresse in Sekundenschnelle. In einer Datenbank am HPI befinden sich rund 170 Millionen Datensätze, die aus von Hackern frequentierten Foren, sozialen Netzwerken, Leak-Ankündigungsseiten und Ähnlichem stammen. „Der von uns entwickelte Dienst sendet dem Nutzer einen Hinweis, welche Arten seiner Identitätsdaten, also zum Beispiel Passwörter, Vor- und Zunamen, Anschriften oder Geburtstage, gegebenenfalls offenliegen und somit missbraucht werden können“, sagt HPI-Direktor Prof. Christoph Meinel.

Farbige Übersicht-Matrix zeigt den Umfang des Datenklaus

Die Daten sind nicht öffentlich abrufbar. Für den persönlichen und kostenlosen Check müssen die Anwender stattdessen ihre E-Mail-Adresse angeben und ein sogenanntes Captcha-Feld mit diesen seltsam verrutschten Buchstabenkombinationen ausfüllen. Sollte die eingegebene E-Mail-Adresse in den Datensätzen enthalten sein, bekommt der Anfragende per E-Mail die oben zitierte Nachricht. Es sind in einer Übersicht-Matrix die persönlichen Daten angekreuzt, die in den Datensätzen beim HPI gefunden wurden. Die Felder mit einer Fundstelle sind für die bessere Sichtbarkeit der digitalen Verletzlichkeit rot unterlegt, Felder ohne Fundstelle schimmern im Sicherheit verheißenden Grün.

Das HPI-Tool soll ein Warnsystem sein und sensibilisieren

Die Benachrichtigungs-E-Mail führt die Daten nicht im Detail auf, sondern zeigt nur an, welche Art von Nutzerdaten gefährdet sein könnte, erklärt HPI-Direktor Meinel. Der HPI Identity Leak Checker soll eine Art Warnsystem für gestohlene und im Internet kursierende Identitätsdaten sein, um „die Internetnutzer darauf aufmerksam zu machen, dass im Umgang mit persönlichen Daten dringend mehr Achtsamkeit geboten ist“, so Christoph Meinel.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Energie und Wasser Potsdam GmbH-Firmenlogo
Geoinformatiker (m/w/d) / Vermessungsingenieur (m/w/d) als Projektleiter (m/w/d) GIS - Fachanwendungen Energie und Wasser Potsdam GmbH
Potsdam Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Software Engineering - Moderne Verfahren" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
BIM-Manager (m/w/d) für Bauprojekte Niedersächsische Landesbehörde für Straßenbau und Verkehr
Hannover Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Fachingenieur (w/m/d) BIM Die Autobahn GmbH des Bundes
Technische Hochschule Deggendorf-Firmenlogo
Forschungsprofessur oder Nachwuchsprofessur (m/w/d) Industrielle Robotik Technische Hochschule Deggendorf
Fresenius Kabi Deutschland GmbH-Firmenlogo
Projekt IT-Ingenieur (m/w/d) Fresenius Kabi Deutschland GmbH
Friedberg Zum Job 
Mercer Stendal GmbH-Firmenlogo
Betriebstechniker (m/w/d) Prozessleittechnik Mercer Stendal GmbH
Arneburg Zum Job 
Wirtgen GmbH-Firmenlogo
Project Manager Product Lifecycle Management (m/w/d) Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Wissenschaftl. Mitarbeiter*in in der Talentakademie "Smart Factory & Products" Hochschule Osnabrück
Osnabrück Zum Job 
NORDEX GROUP-Firmenlogo
SCADA Projektingenieur (m/w/d) NORDEX GROUP
Hamburg, Rostock Zum Job 
Westfälische Hochschule-Firmenlogo
Professur Künstliche Intelligenz und Industrielle Automation (W2) Westfälische Hochschule
Gelsenkirchen Zum Job 
CS CLEAN SOLUTIONS GmbH-Firmenlogo
Mitarbeiter für die Steuerungstechnik Software (m/w/d) CS CLEAN SOLUTIONS GmbH
Ismaning bei München Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
FlowChief GmbH-Firmenlogo
Techniker:in Automatisierung (SCADA) (m/w/d) FlowChief GmbH
Wendelstein Zum Job 
Wirtgen GmbH-Firmenlogo
Software-Ingenieur (m/w/d) Elektrotechnik im Bereich Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Tandem-Professur Robotik, Data Science and AI, Digitalisierte Wertschöpfungsprozesse Hochschule Osnabrück
Osnabrück, Lingen Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professur (W2) | auf Lebenszeit Fachgebiet Rechnerarchitekturen und Rechnersysteme Hochschule für Technik und Wirtschaft Berlin
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professor (W2) | Permanent Computer Architecture and Computer Systems Hochschule für Technik und Wirtschaft Berlin
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Vernetzte Eingebettete Systeme" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 

In der Benachrichtigungs-E-Mail gibt das HPI auch Empfehlungen, wie der Betroffene mit dem Datendiebstahl umgehen sollte. Wird beispielsweise das Passwort zur E-Mail-Adresse in der Datenbank gefunden, so schlägt das Institut vor, das Passwort für sämtliche Accounts dieser E-Mail-Adresse zu ändern. Gleichzeitig versichert das HPI, dass die in das Online-Tool eingegebenen E-Mail-Adressen „verschleiert“ und nicht gespeichert werden, damit eine eventuelle Cyber-Attacke auf die HPI-Datenbank erfolglos bleibt. Auf diesem Wege macht sich das Institut selber unattraktiver für Cyberangriffe.

Ein weiterer Dienst checkt den Computer auf Schwachstellen

Zusätzlich zum HPI Identity Leak Checker hat das Institut einen weiteren Dienst online gestellt. Mit diesem können Nutzer ihren Rechner kostenlos auf erkennbare Schwachstellen überprüfen. Die Selbstdiagnose-Seite der HPI-Datenbank erkennt welche Browser-Version genutzt wird, einschließlich der gängigen Plug-ins sowie weiterer auf dem Computer verwendeten Software. Das Tool sucht dann nach bekannten Schwachstellen. Der Nutzer erhält als Ergebnis eine Liste mit dem Gefährlichkeitsgrad der gefundenen Sicherheitslücken.

Die Datenbank umfasst momentan rund 61.000 Informationen zu Sicherheitslücken in knapp 158.000 Programmen. Sie aktualisiert sich dreimal am Tag. „Dadurch wird unsere Datenbasis täglich um 200 bis 300 Verwundbarkeits-Informationen angereichert. Ziel ist eine zentrale und möglichst vollständige Zusammenstellung aller verfügbarer Informationen und Schwachstellen“, erklärt Christoph Meinel vom HPI.

Erst vor wenigen Wochen 18 Millionen gestohlene Datensätze sichergestellt

Es geschieht immer häufiger, dass E-Mail-Adressen, dazugehörige Passwörter und andere persönlichen Daten, sei es durch Sicherheitslücken bei den Internetdiensten oder Sorglosigkeit gepaart mit Unwissenheit bei den Nutzern in die Fänge von Online-Kriminellen geraten. Erst vor wenigen Wochen ist die Staatsanwaltschaft in Verden auf einen riesigen Datensatz im Internet gestoßen. Man habe einen „Bestand von rund 18 Millionen E-Mail-Adressen mit zugehörigen Passwörtern“ sichergestellt, bestätigte die Staatsanwaltschaft Verden. Weitere Informationen wolle man aus „ermittlungstechnischen Gründen“ nicht mitteilen. Es war der bislang größte bekannte Fall von Datendiebstahl in Deutschland. Alle großen deutschen E-Mail-Provider und mehrere internationale Anbieter waren vom Datenklau betroffen.

Und das war beileibe nicht der erste Fall dieser Art. Bereits im vergangenen Jahr entdeckten vier auf Cyberkriminalität spezialisierte Staatsanwälte aus Verden an der Aller eine Datenbank mit 16 Millionen E-Mail-Adressen und den dazugehörenden Passwörtern. Es war allerdings ein Zufallsfund, der monatelange Ermittlungen nach sich zog.

Für aktuelle gehackte Zugangsdaten gibt es einen florierenden Schwarzmarkt, etwa zur Versendung von Spam-Mails. Je nach Umfang der gehackten Datenpakete können die Angreifer jedoch noch wesentlich mehr damit anfangen. Sie können zum Beispiel in soziale Netze eindringen, auf Kosten ihrer Opfer im Internet einkaufen und sogar Online geführte Bankkonten plündern.

 

Ein Beitrag von:

  • Detlef Stoller

    Detlef Stoller ist Diplom-Photoingenieur. Er ist Fachjournalist für Umweltfragen und schreibt für verschiedene Printmagazine, Online-Medien und TV-Formate.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.