DruckenTeilen
Etliche geklaute E-Mail-Adressen und Passwörter sind im Internet aufgetaucht. © KI-Bild: Imagen 4 Ultra/Raphael Strecker
Fast zwei Milliarden E-Mail-Adressen und über eine Milliarde Passwörter sind im Netz aufgetaucht. Ein Test zeigt, ob die eigenen Daten betroffen sind.
Dortmund – Das neue Datenleck übertrifft alle bisherigen Vorfälle bei Weitem. Sicherheitsforscher haben fast zwei Milliarden E-Mail-Adressen und 1,3 Milliarden Passwörter aus unterschiedlichsten Quellen zusammengetragen. Die Bedrohungsanalyse-Plattform Synthient hat diese gigantische Menge an das Portal „Have I Been Pwned?“ weitergegeben.
Datenleck übertrifft alle bisherigen Vorfälle: 625 Millionen gehackte Passwörter sind neu
Das Brisante an dem Fall: Etwa 625 Millionen Passwörter sind vorher noch nie im Netz aufgetaucht. Viele der Zugangsdaten sind zudem noch aktiv. Das kann für Millionen Internetnutzer ernste Folgen haben (mehr Rückrufe und Warnungen bei RUHR24).
Kriminelle nutzen Datensammlungen dieser Art für sogenanntes Credential Stuffing. Dabei probieren Angreifer systematisch (und teilweise automatisiert) gestohlene Zugangsdaten bei verschiedenen Onlinediensten aus. Besonders gefährlich wird es, wenn Nutzer für mehrere Dienste das gleiche Passwort verwenden.
Das Datenleck ist derzeit nicht die einzige Gefahr im digitalen Raum. Experten warnen aktuell davor, dass WhatsApp-Nutzer eine Nachricht anklicken.
Was ist „Have I Been Pwned?“?
„Have I Been Pwned?“ (HIBP) ist eine kostenlose Online-Plattform, die vom Sicherheitsforscher Troy Hunt entwickelt wurde. Sie ermöglicht es Nutzerinnen und Nutzern, zu überprüfen, ob ihre E-Mail-Adresse oder Telefonnummer in einem Datenleck veröffentlicht wurde.
HIBP sammelt Daten aus bekannten Hacks und Leaks weltweit – von gestohlenen Login-Daten bis hin zu kompromittierten Passwörtern. Nach Eingabe der eigenen Adresse durchsucht das System diese Datenbanken und zeigt an, ob und wo persönliche Informationen betroffen sind.
HIBP bietet auch einen Benachrichtigungsdienst: Wird eine gespeicherte Adresse in einem neuen Leak gefunden, erhalten Nutzer automatisch eine Warnung per E-Mail.
Über eine Milliarde gehackte Passwörter – Stichproben bestätigen die Echtheit
Troy Hunt, Sicherheitsexperte und Gründer von „Have I Been Pwned?“ machte Stichproben und wandte sich an betroffene Nutzer. Viele bestätigten, dass die Passwörter tatsächlich von ihnen stammten. Häufig handelte es sich um uralte Zugangsdaten, manchmal aber auch um noch aktiv genutzte Passwörter.
Knapp 400 Millionen der betroffenen E-Mail-Adressen enden auf „@gmail.com“. Das bedeutet jedoch nicht, dass Google selbst von Datenlecks betroffen ist. Es zeigt nur, dass sich Nutzer mit ihren E-Mail-Adressen bei Online-Diensten angemeldet hatten, die dann kompromittiert wurden. Prominente Beispiele aus den vergangenen Jahren sind Dropbox, Facebook oder LinkedIn.
Gehackte Passwörter im Umlauf – so testen Nutzer, ob sie betroffen sind
Ob die eigenen Daten betroffen sind, lässt sich leicht auf der Sicherheitsplattform „Have I Been Pwned?“ überprüfen. Dort können E-Mail-Adressen oder Passwörter anonym gecheckt werden. Zeigt die Seite einen Treffer an, zirkulieren die E-Mail-Adresse oder das Passwort in Hackerkreisen.
Die Webseite verbindet aus Sicherheitsgründen keine E-Mail-Adressen mit den dazugehörigen Passwörtern. Wer ein Passwort prüfen lässt, erhält lediglich die Information, wie häufig die eingegebene Zeichenfolge in Datenlecks aufgetaucht ist. Bei Angabe einer E-Mail-Adresse gibt die Plattform Informationen darüber aus, bei welchen Leaks diese enthalten war.
Passwort gehackt? Diese Maßnahmen müssen Betroffene jetzt ergreifen
Zeigt die Prüfung einen Treffer an, sollten Betroffene sofort reagieren. Die wichtigsten Schritte sind:
- Passwörter sofort ändern: Alle Konten, bei denen das betroffene Passwort verwendet wurde, müssen neue Zugangsdaten erhalten.
- Passwortmanager einsetzen: Diese Programme erstellen für jeden Dienst ein eigenes, sicheres Passwort. Nutzer müssen sich nur noch ein Master-Passwort merken.
- Zwei-Faktor-Authentifizierung aktivieren: Diese zusätzliche Sicherheitsstufe verwehrt Angreifern den Zugriff, selbst wenn das Passwort bekannt ist. Passkeys bieten ebenfalls wirksamen Schutz vor solchen Attacken.
Keine Service-News mehr verpassen:
Alle Nachrichten zu Service-Themen direkt aufs Smartphone – jetzt RUHR24 bei Google folgen!
Gehackte Nutzer-Daten im Netz – sichere Passwörter müssen diese Regeln erfüllen
Ein sicheres Passwort sollte mindestens acht, besser jedoch 16 Zeichen oder länger sein. Je länger das Passwort, desto schwerer lässt es sich knacken. Auch ein kompletter Satz eignet sich – dieser lässt sich leichter merken. Experten empfehlen folgende Kriterien:
- Möglichst lang: Mindestens acht bis 16 Buchstaben und Zeichen erhöhen die Sicherheit deutlich.
- Viele verschiedene Zeichen: Zahlen, Groß- und Kleinbuchstaben sowie Satzzeichen oder Sonderzeichen verwenden.
- Regelmäßig wechseln: Etwa alle drei Monate das Passwort komplett ändern – nicht nur einzelne Buchstaben oder Zahlen austauschen.
- Niemals wiederverwenden: Für jeden Dienst ein eigenes Passwort nutzen.
All diese Kriterien gleichzeitig zu erfüllen, fällt vielen Menschen schwer. Genau hier helfen Passwort-Manager. Diese Programme erstellen automatisch lange, komplexe Passwörter mit allen geforderten Zeichentypen. Für jeden Dienst generieren sie ein einzigartiges Passwort. Nutzer müssen sich nur noch ein einziges Master-Passwort merken.