Sicherheit im Netz 21.05.2014, 11:47 Uhr

Kostenloses Online-Tool des Hasso-Plattner-Instituts warnt bei Datenklau

Mit einem neuen kostenlosen Online-Tool des Potsdamer Hasso-Plattner-Instituts kann jeder Nutzer sehr schnell überprüfen lassen, ob und auch welche seiner personenbezogenen Daten von Cyber-Kriminellen bereits gehackt worden sind. Das Tool gibt im Falle eines Befundes auch Tipps im Umgang mit dem Datendiebstahl.

„Achtung: Ihre E-Mail Adresse taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf.“ Wenn Sie eine E-Mail mit diesem Text erhalten, haben Sie grundsätzlich ein Problem. Denn dann sind persönliche Identitätsdaten, die Ihrer E-Mail-Adresse zugeordnet sind, von Online-Piraten erbeutet worden und frei im Netz zugänglich. Es handelt sich dabei nicht um Peanuts: Es geht um so sensible persönliche Daten wie das Passwort, den Vor- und Zunamen, die Kreditkarte, die Bankkontodaten, Telefonnummer, Anschrift, das Geburtsdatum und die Sozialversicherungsnummer.

Tool überprüft die E-Mail-Adresse und die zugehörenden Daten

Diese Benachrichtigung ist das Ergebnis einer Überprüfung der eigenen E-Mail-Adresse, die Forscher des Potsdamer Hasso-Plattner-Instituts (HPI) in Potsdam als kostenloses Online-Tool anbieten. Der HPI Identity Leak Checker überprüft die in eine Maske eingegebene E-Mail-Adresse in Sekundenschnelle. In einer Datenbank am HPI befinden sich rund 170 Millionen Datensätze, die aus von Hackern frequentierten Foren, sozialen Netzwerken, Leak-Ankündigungsseiten und Ähnlichem stammen. „Der von uns entwickelte Dienst sendet dem Nutzer einen Hinweis, welche Arten seiner Identitätsdaten, also zum Beispiel Passwörter, Vor- und Zunamen, Anschriften oder Geburtstage, gegebenenfalls offenliegen und somit missbraucht werden können“, sagt HPI-Direktor Prof. Christoph Meinel.

Farbige Übersicht-Matrix zeigt den Umfang des Datenklaus

Die Daten sind nicht öffentlich abrufbar. Für den persönlichen und kostenlosen Check müssen die Anwender stattdessen ihre E-Mail-Adresse angeben und ein sogenanntes Captcha-Feld mit diesen seltsam verrutschten Buchstabenkombinationen ausfüllen. Sollte die eingegebene E-Mail-Adresse in den Datensätzen enthalten sein, bekommt der Anfragende per E-Mail die oben zitierte Nachricht. Es sind in einer Übersicht-Matrix die persönlichen Daten angekreuzt, die in den Datensätzen beim HPI gefunden wurden. Die Felder mit einer Fundstelle sind für die bessere Sichtbarkeit der digitalen Verletzlichkeit rot unterlegt, Felder ohne Fundstelle schimmern im Sicherheit verheißenden Grün.

Das HPI-Tool soll ein Warnsystem sein und sensibilisieren

Die Benachrichtigungs-E-Mail führt die Daten nicht im Detail auf, sondern zeigt nur an, welche Art von Nutzerdaten gefährdet sein könnte, erklärt HPI-Direktor Meinel. Der HPI Identity Leak Checker soll eine Art Warnsystem für gestohlene und im Internet kursierende Identitätsdaten sein, um „die Internetnutzer darauf aufmerksam zu machen, dass im Umgang mit persönlichen Daten dringend mehr Achtsamkeit geboten ist“, so Christoph Meinel.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Netzgesellschaft Potsdam GmbH-Firmenlogo
Projektingenieur (m/w/d) für Automatisierung und Netzführung Netzgesellschaft Potsdam GmbH
Potsdam Zum Job 
B. Braun Melsungen AG-Firmenlogo
Project Manager (w/m/d) Operational Technology B. Braun Melsungen AG
Melsungen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
BIM-Managerin oder BIM-Manager (w/m/d) Die Autobahn GmbH des Bundes
Hannover Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
FCP Ingenieure Deutschland GmbH-Firmenlogo
BIM-Modeller Infrastruktur (m/w/d) FCP Ingenieure Deutschland GmbH
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
HygroMatik GmbH-Firmenlogo
Junior Entwicklungsingenieur für Hard- und Softwarelösungen (m/w/d) HygroMatik GmbH
Henstedt-Ulzburg Zum Job 
THU Technische Hochschule Ulm-Firmenlogo
W2-Professur Technische Informatik THU Technische Hochschule Ulm
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Tebis ProLeiS GmbH-Firmenlogo
MES Consultant (m/w/d) Tebis ProLeiS GmbH
Martinsried/Planegg, Erndtebrück, Aachen, Home-Office Zum Job 
Iqony Solutions GmbH-Firmenlogo
Projektingenieur (m/w/d) Prozesssimulation/Verfahrenstechnik Iqony Solutions GmbH
IMS Messsysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) Systemsoftware IMS Messsysteme GmbH
Heiligenhaus Zum Job 
HygroMatik GmbH-Firmenlogo
Entwicklungsingenieur für Hard- und Softwarelösungen (m/w/d) HygroMatik GmbH
Henstedt-Ulzburg Zum Job 
Narda Safety Test Solutions GmbH'-Firmenlogo
Entwicklungsingenieur Hardware (m/w/d) Narda Safety Test Solutions GmbH'
Pfullingen Zum Job 
Bundesamt für Strahlenschutz-Firmenlogo
Ingenieur*in (m/w/d) Liegenschafts- und Gebäudemanagement im Referat "Bau, Liegenschaften und Innerer Dienst" Bundesamt für Strahlenschutz
Oberschleißheim (bei München), Salzgitter, Berlin Zum Job 
Netzgesellschaft Potsdam GmbH-Firmenlogo
Projektingenieur (m/w/d) für Automatisierung und Netzführung Netzgesellschaft Potsdam GmbH
Potsdam Zum Job 
B. Braun Melsungen AG-Firmenlogo
Project Manager (w/m/d) Operational Technology B. Braun Melsungen AG
Melsungen Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
BIM-Managerin oder BIM-Manager (w/m/d) Die Autobahn GmbH des Bundes
Hannover Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 

In der Benachrichtigungs-E-Mail gibt das HPI auch Empfehlungen, wie der Betroffene mit dem Datendiebstahl umgehen sollte. Wird beispielsweise das Passwort zur E-Mail-Adresse in der Datenbank gefunden, so schlägt das Institut vor, das Passwort für sämtliche Accounts dieser E-Mail-Adresse zu ändern. Gleichzeitig versichert das HPI, dass die in das Online-Tool eingegebenen E-Mail-Adressen „verschleiert“ und nicht gespeichert werden, damit eine eventuelle Cyber-Attacke auf die HPI-Datenbank erfolglos bleibt. Auf diesem Wege macht sich das Institut selber unattraktiver für Cyberangriffe.

Ein weiterer Dienst checkt den Computer auf Schwachstellen

Zusätzlich zum HPI Identity Leak Checker hat das Institut einen weiteren Dienst online gestellt. Mit diesem können Nutzer ihren Rechner kostenlos auf erkennbare Schwachstellen überprüfen. Die Selbstdiagnose-Seite der HPI-Datenbank erkennt welche Browser-Version genutzt wird, einschließlich der gängigen Plug-ins sowie weiterer auf dem Computer verwendeten Software. Das Tool sucht dann nach bekannten Schwachstellen. Der Nutzer erhält als Ergebnis eine Liste mit dem Gefährlichkeitsgrad der gefundenen Sicherheitslücken.

Die Datenbank umfasst momentan rund 61.000 Informationen zu Sicherheitslücken in knapp 158.000 Programmen. Sie aktualisiert sich dreimal am Tag. „Dadurch wird unsere Datenbasis täglich um 200 bis 300 Verwundbarkeits-Informationen angereichert. Ziel ist eine zentrale und möglichst vollständige Zusammenstellung aller verfügbarer Informationen und Schwachstellen“, erklärt Christoph Meinel vom HPI.

Erst vor wenigen Wochen 18 Millionen gestohlene Datensätze sichergestellt

Es geschieht immer häufiger, dass E-Mail-Adressen, dazugehörige Passwörter und andere persönlichen Daten, sei es durch Sicherheitslücken bei den Internetdiensten oder Sorglosigkeit gepaart mit Unwissenheit bei den Nutzern in die Fänge von Online-Kriminellen geraten. Erst vor wenigen Wochen ist die Staatsanwaltschaft in Verden auf einen riesigen Datensatz im Internet gestoßen. Man habe einen „Bestand von rund 18 Millionen E-Mail-Adressen mit zugehörigen Passwörtern“ sichergestellt, bestätigte die Staatsanwaltschaft Verden. Weitere Informationen wolle man aus „ermittlungstechnischen Gründen“ nicht mitteilen. Es war der bislang größte bekannte Fall von Datendiebstahl in Deutschland. Alle großen deutschen E-Mail-Provider und mehrere internationale Anbieter waren vom Datenklau betroffen.

Und das war beileibe nicht der erste Fall dieser Art. Bereits im vergangenen Jahr entdeckten vier auf Cyberkriminalität spezialisierte Staatsanwälte aus Verden an der Aller eine Datenbank mit 16 Millionen E-Mail-Adressen und den dazugehörenden Passwörtern. Es war allerdings ein Zufallsfund, der monatelange Ermittlungen nach sich zog.

Für aktuelle gehackte Zugangsdaten gibt es einen florierenden Schwarzmarkt, etwa zur Versendung von Spam-Mails. Je nach Umfang der gehackten Datenpakete können die Angreifer jedoch noch wesentlich mehr damit anfangen. Sie können zum Beispiel in soziale Netze eindringen, auf Kosten ihrer Opfer im Internet einkaufen und sogar Online geführte Bankkonten plündern.

 

Ein Beitrag von:

  • Detlef Stoller

    Detlef Stoller ist Diplom-Photoingenieur. Er ist Fachjournalist für Umweltfragen und schreibt für verschiedene Printmagazine, Online-Medien und TV-Formate.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.