Im Internet besteht Ihre Identität oft nur aus E-Mail-Adresse und Kennwort. Diese beiden Daten, Ihre Zugangsdaten, werden ständig gestohlen und gehackt, danach geleakt und veröffentlicht – mit einem Identity Leak Checker wie HPI, BSI, Have I been Pwned finden Sie heraus, ob Ihre Zugangsdaten irgendwo kursieren.
Buchstäblich täglich erbeuten Hacker aller Art via Identitätsdiebstahl unsere digitale Identitätsdaten. Schuld ist schlechte Software, wohin man schaut, und die Tatsache, dass die Sicherheit von Kunden meist Prio B hat.
Die gestohlenen Identity-Daten werden danach im Internet oder im Darknet verkauft oder anderweitig veröffentlich, was man stark vereinfach einen Leak nennt. Jäger und Sammler sammeln diese Identitätsdaten: Die einen für kriminelle Machenschaften … die anderen basteln damit Identity Leak Checker.
Ein Identity Leak Checker ist eine Datenbank gestohlener Identitätsdaten. Allerdings informiert die Datenbank nur Sie, die Betroffenen, darüber, ob Ihre Zugangsdaten irgendwo kursieren und welche genau das sind. Das gibt Ihnen die Chance, Ihre Zugangsdaten dort zu ändern.
Daher rate ich dazu, ab und zu mal einen Identity Leak Checker über die eigenen Daten laufen zu lassen.
HPI Identity Leak Checker / Uni Potsdam
Hinter dem HPI Identity Leak Checker der Uni Potsdam steht das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH (HPI), ein Institut der Universität Potsdam.
- URL: https://sec.hpi.uni-potsdam.de/leak-checker/search?lang=de
- Ist das seriös? Ja.*
- Was ist zu tun: Einfach E-Mail-Adresse angeben, es folgt nach einiger Zeit eine Mail an diese E-Mail-Adresse.
- Abo möglich: nein.
- Sicherheitscode: Nein.
- Signiert? Ja, PGP.
- Verständlich? Naja. Ich habe verschiedene Ergebnisse gesehen und finde die Darstellung für Normalbürger teils nicht nachvollziehbar. Was ist nun ein Problem, was nicht?
Was genau ist denn nun Unknown (Anti-Public Combolist) oder Unknown (Exploit.in Compilation) oder auch Unknown (Large Fake DFB-Leak). Passwort-Kenner wissen es, der Großteil der Nutzer dieses Tests eher nicht. Egal.
Wenn die E-Mail-Adresse bei Diensten mit einem Verifiziert-Häkchen betroffen ist, dann alle Passwörter bei allen Diensten ändern, die mit dieser E-Mail-Adresse genutzt werden.
Alternative: Identity Leak Checker des BSI
Der „BSI Sicherheitstest“ ist der Identity Leak Checker des Bundesamt für Sicherheit in der Informationstechnik, die zum Innenministerium gehört.
- URL: https://www.sicherheitstest.bsi.de/
- Ist das seriös? Ja.*
- Was ist zu tun: Einfach E-Mail-Adresse angeben, es folgt nach einiger Zeit eine Mail an diese E-Mail-Adresse – oder keine, wenn kein Problem bekannt ist.
- Abo möglich: nein.
- Sicherheitscode: Ja.
- Signiert? Ja, PGP.
- Verständlich? Ich warte noch auf die Antwort… allerdings auch bei einem Konto, dass definitiv Leaks ausgesetzt war.
Wenn keine Antwort kommt, gibts auch kein Problem (von dem dieser Test wüsste). Kommt eine Antwort, dann alle Passwörter bei allen Diensten ändern, die mit dieser E-Mail-Adresse genutzt werden.
Alternative aus Australien: Have I Been Pwned? (HIBP)
Der Dienst Have I Been Pwned? (HIBP) ist eine australische Website, die letztlich das gleiche macht wie der HPI Identity Leak Checker der Uni Potsdam oder der Sicherheitstest des BSI.
- URL: https://haveibeenpwned.com/
- Ist das seriös? Ja.*
- Was ist zu tun: Einfach E-Mail-Adresse angeben, Have I Been Pwned? zeigt sofort und unübersehbar, ob ein Problem bekannt ist oder nicht.
- Abo möglich: ja. In diesem Fall meldet sich die Site, wenn die Zugangsdaten geleakt wurden. Auch sehr schön, aber man gibt halt seine E-Mail preis.
- Sicherheitscode: nein.
- Signiert? nein.
- Verständlich? Ja. Prima Auflistung der Hacks und der Dienste… Ehrlich gesagt: überlegen.
Sicherheitshinweis
Es ist nur eine Frage der Zeit, bis entsprechende Phisher auch hier unterwegs sind…
[wc_box color=“info“ text_align=“left“ margin_top=““ margin_bottom=““ class=““]
Wichtig: „Gute“ Dienste fragen zwar nach Ihrer E-Mail-Adresse, aber *natürlich* NIEMALS nach Ihrem Passwort.
[/wc_box]
Wenn Sie also …
- von diesen oder „ähnlichen“ Diensten lesen,
- etwa per Werbemail oder Social-Media-Link,
- und diese dann benutzen,
- und wenn dieser Dienst sowohl E-Mail-Adresse als auch Passwort von Ihnen will,
- dann handelt es sich wahrscheinlich um Datendiebe,
- die sich die jeweils aktuelle Panik (zuletzt 2017: die BKA-Warnung) zunutze machen
- auf nur auf diese Weise Ihre Zugangsdaten abschöpfen wollen!
*Sind Identity Leak Checker seriös?
Naja, was heisst schon seriös? Typische Einwände, die ich höre:
„Diese Dienste sind nicht zuverlässig.“ –– Definitiv. Nur, weil Ihre Daten da irgendwo auftauchen, sind Sie noch lange nicht in Gefahr. Und nur, weil Sie nirgendwo auftauchen, sind Sie noch lange nicht sicher. Ist halt so: das ist nur eine Hilfe, ein 1-Trick-Pony.
„Dahinter stecken Konzerne / Geheimdienste / Illuminaten, die eure Daten erfassen und euch irgendwie verfolgen.“ –– Keine Sorge, zwei Lagen ja!-Aluminiumfolie (nur diese!) um den Kopf zu wickeln schützt davor, solange keine Chemtrails am Himmel zu sehen sind.
„Diese Dienste können E-Mail-Adressen sammeln.“ –– Ja. Na und? Alle E-Mail-Dienste haben sie. Teils werden sie generisch erzeugt: vorname+nachname@dienst und en masse gespamt.
„Diese Dienste können E-Mail-Adressen sammeln, und diese könnten gehackt werden und in Umlauf geraten.“ –– Ja. Ich könnte nun einwenden, dass jeder andere Dienst auch gehackt werden könnte, so dass dort gespeicherte E-Mail-Adresse in Umlauf geraten … aber es ist wahr: Seine Adresse einem weiteren Dienst zu verfüttern hebt das allgemeine Risiko um einige Promille, etwa so, wie eine E-Mail an einen Unbekannten. Dass muß jeder User gegen den Nutzen aufwiegen und sich entscheiden, was ihm wichtiger ist.
„Ich habe von einem System namens pwndlist.com gehört, das gehackt wurde.“ –– Ja. pwndlist.com bot aber einen speziellen, kommerziellen Dienst an: Man konnte ganze Firmen anmelden, und ganze Domains auf Hacks checken lassen. Super Idee, doch eine schlampige Umsetzung sorgten dafür, dass man den Dienst dafür nutzen konnte, sich sozusagen frisch gehackte Accounts fremder Firmen-Domains zuschicken zu lassen. Hat aber nichts mit den Diensten oben zu tun – Interessierte finden Details auf How the Pwnedlist Got Pwned.
Wollen Sie mehr wissen?
- Sichere Passwörter: 10 Tipps (kurz)
- Sicheres Passwort erstellen und sich merken können (lang)
- Identitätsdiebstahl und Identitätsbetrug im Internet