Kostenloses Online-Tool des Hasso-Plattner-Instituts warnt bei Datenklau
Mit einem neuen kostenlosen Online-Tool des Potsdamer Hasso-Plattner-Instituts kann jeder Nutzer sehr schnell überprüfen lassen, ob und auch welche seiner personenbezogenen Daten von Cyber-Kriminellen bereits gehackt worden sind. Das Tool gibt im Falle eines Befundes auch Tipps im Umgang mit dem Datendiebstahl.
„Achtung: Ihre E-Mail Adresse taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf.“ Wenn Sie eine E-Mail mit diesem Text erhalten, haben Sie grundsätzlich ein Problem. Denn dann sind persönliche Identitätsdaten, die Ihrer E-Mail-Adresse zugeordnet sind, von Online-Piraten erbeutet worden und frei im Netz zugänglich. Es handelt sich dabei nicht um Peanuts: Es geht um so sensible persönliche Daten wie das Passwort, den Vor- und Zunamen, die Kreditkarte, die Bankkontodaten, Telefonnummer, Anschrift, das Geburtsdatum und die Sozialversicherungsnummer.
Tool überprüft die E-Mail-Adresse und die zugehörenden Daten
Diese Benachrichtigung ist das Ergebnis einer Überprüfung der eigenen E-Mail-Adresse, die Forscher des Potsdamer Hasso-Plattner-Instituts (HPI) in Potsdam als kostenloses Online-Tool anbieten. Der HPI Identity Leak Checker überprüft die in eine Maske eingegebene E-Mail-Adresse in Sekundenschnelle. In einer Datenbank am HPI befinden sich rund 170 Millionen Datensätze, die aus von Hackern frequentierten Foren, sozialen Netzwerken, Leak-Ankündigungsseiten und Ähnlichem stammen. „Der von uns entwickelte Dienst sendet dem Nutzer einen Hinweis, welche Arten seiner Identitätsdaten, also zum Beispiel Passwörter, Vor- und Zunamen, Anschriften oder Geburtstage, gegebenenfalls offenliegen und somit missbraucht werden können“, sagt HPI-Direktor Prof. Christoph Meinel.
Farbige Übersicht-Matrix zeigt den Umfang des Datenklaus
Die Daten sind nicht öffentlich abrufbar. Für den persönlichen und kostenlosen Check müssen die Anwender stattdessen ihre E-Mail-Adresse angeben und ein sogenanntes Captcha-Feld mit diesen seltsam verrutschten Buchstabenkombinationen ausfüllen. Sollte die eingegebene E-Mail-Adresse in den Datensätzen enthalten sein, bekommt der Anfragende per E-Mail die oben zitierte Nachricht. Es sind in einer Übersicht-Matrix die persönlichen Daten angekreuzt, die in den Datensätzen beim HPI gefunden wurden. Die Felder mit einer Fundstelle sind für die bessere Sichtbarkeit der digitalen Verletzlichkeit rot unterlegt, Felder ohne Fundstelle schimmern im Sicherheit verheißenden Grün.
Das HPI-Tool soll ein Warnsystem sein und sensibilisieren
Die Benachrichtigungs-E-Mail führt die Daten nicht im Detail auf, sondern zeigt nur an, welche Art von Nutzerdaten gefährdet sein könnte, erklärt HPI-Direktor Meinel. Der HPI Identity Leak Checker soll eine Art Warnsystem für gestohlene und im Internet kursierende Identitätsdaten sein, um „die Internetnutzer darauf aufmerksam zu machen, dass im Umgang mit persönlichen Daten dringend mehr Achtsamkeit geboten ist“, so Christoph Meinel.
In der Benachrichtigungs-E-Mail gibt das HPI auch Empfehlungen, wie der Betroffene mit dem Datendiebstahl umgehen sollte. Wird beispielsweise das Passwort zur E-Mail-Adresse in der Datenbank gefunden, so schlägt das Institut vor, das Passwort für sämtliche Accounts dieser E-Mail-Adresse zu ändern. Gleichzeitig versichert das HPI, dass die in das Online-Tool eingegebenen E-Mail-Adressen „verschleiert“ und nicht gespeichert werden, damit eine eventuelle Cyber-Attacke auf die HPI-Datenbank erfolglos bleibt. Auf diesem Wege macht sich das Institut selber unattraktiver für Cyberangriffe.
Ein weiterer Dienst checkt den Computer auf Schwachstellen
Zusätzlich zum HPI Identity Leak Checker hat das Institut einen weiteren Dienst online gestellt. Mit diesem können Nutzer ihren Rechner kostenlos auf erkennbare Schwachstellen überprüfen. Die Selbstdiagnose-Seite der HPI-Datenbank erkennt welche Browser-Version genutzt wird, einschließlich der gängigen Plug-ins sowie weiterer auf dem Computer verwendeten Software. Das Tool sucht dann nach bekannten Schwachstellen. Der Nutzer erhält als Ergebnis eine Liste mit dem Gefährlichkeitsgrad der gefundenen Sicherheitslücken.
Die Datenbank umfasst momentan rund 61.000 Informationen zu Sicherheitslücken in knapp 158.000 Programmen. Sie aktualisiert sich dreimal am Tag. „Dadurch wird unsere Datenbasis täglich um 200 bis 300 Verwundbarkeits-Informationen angereichert. Ziel ist eine zentrale und möglichst vollständige Zusammenstellung aller verfügbarer Informationen und Schwachstellen“, erklärt Christoph Meinel vom HPI.
Erst vor wenigen Wochen 18 Millionen gestohlene Datensätze sichergestellt
Es geschieht immer häufiger, dass E-Mail-Adressen, dazugehörige Passwörter und andere persönlichen Daten, sei es durch Sicherheitslücken bei den Internetdiensten oder Sorglosigkeit gepaart mit Unwissenheit bei den Nutzern in die Fänge von Online-Kriminellen geraten. Erst vor wenigen Wochen ist die Staatsanwaltschaft in Verden auf einen riesigen Datensatz im Internet gestoßen. Man habe einen „Bestand von rund 18 Millionen E-Mail-Adressen mit zugehörigen Passwörtern“ sichergestellt, bestätigte die Staatsanwaltschaft Verden. Weitere Informationen wolle man aus „ermittlungstechnischen Gründen“ nicht mitteilen. Es war der bislang größte bekannte Fall von Datendiebstahl in Deutschland. Alle großen deutschen E-Mail-Provider und mehrere internationale Anbieter waren vom Datenklau betroffen.
Und das war beileibe nicht der erste Fall dieser Art. Bereits im vergangenen Jahr entdeckten vier auf Cyberkriminalität spezialisierte Staatsanwälte aus Verden an der Aller eine Datenbank mit 16 Millionen E-Mail-Adressen und den dazugehörenden Passwörtern. Es war allerdings ein Zufallsfund, der monatelange Ermittlungen nach sich zog.
Für aktuelle gehackte Zugangsdaten gibt es einen florierenden Schwarzmarkt, etwa zur Versendung von Spam-Mails. Je nach Umfang der gehackten Datenpakete können die Angreifer jedoch noch wesentlich mehr damit anfangen. Sie können zum Beispiel in soziale Netze eindringen, auf Kosten ihrer Opfer im Internet einkaufen und sogar Online geführte Bankkonten plündern.
Ein Beitrag von:
