„Schon wieder eine Datenpanne in den Schlagzeilen“ – das könnten Sie fast jede Woche sagen. Und plötzlich stellen Sie fest, dass es sich um einen Online-Dienst handelt, den Sie privat oder beruflich nutzen. Doch wie können Sie herausfinden, ob Sie selbst betroffen sind und beispielsweise ein Passwort ändern sollten?

Datenbanken über Datenlecks

Auch ohne direkte Information vom Betreiber des betroffenen Dienstes könnten Ihre Daten Teil des bekannt gewordenen Datenlecks sein. Was also tun? Im Internet gibt es verschiedene Dienste, mit denen geprüft werden kann, ob persönliche Daten von Datenausspähung oder Datenmissbrauch betroffen sind.
Nach neuen Berichten über Datenpannen mit mehr als 1,3 Milliarden erbeuteten Passwörtern hat der Landesdaten-schutzbeauftragte von Mecklenburg-Vorpommern etwa auf die Datenbank „Have I Been Pwned“ (HIBP) hingewiesen. Dort lässt sich abfragen, ob die eigene E-Mail-Adresse und das damit verbundene Passwort in einem bekannten Sicherheitsvorfall auftauchen.
„Solche Daten werden in sogenannten Credential-Stuffing-Listen gesammelt. Diese ermöglichen es Angreifenden, automatisiert und in Millisekunden Log-in-Versuche bei verschiedenen Diensten wie Online-Shops oder sozialen Netz-werken durchzuführen“, erklärt der Landesdatenschutzbeauftragte. „Gerade deshalb ist es gefährlich, wenn Nutzende gleiche oder sehr ähnliche Passwörter für unterschiedliche Dienste verwenden.
Finden sich bei HIBP Treffer, sollten die Passwörter der betroffenen E-Mail-Adressen umgehend geändert werden. Zudem lohnt es sich, über die Aktivierung einer Zwei-Faktor-Authentifizierung nachzudenken.

Vorsicht vor angeblichen Warnmeldungen

Nicht jeder vermeintlich hilfreiche Dienst zur Prüfung gefährdeter E-Mail-Adressen ist tatsächlich seriös – manche sind sogar gefährlich. Nach einer Meldung über ein Datenleck sollte man daher nicht wahllos im Internet nach Datenbanken suchen, sondern ausschließlich vertrauenswürdige Quellen nutzen, die etwa die Datenschutzaufsicht oder das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfehlen.
Besondere Vorsicht ist geboten, wenn eine E-Mail eintrifft, die über eine angebliche Datenpanne informiert. Enthält sie einen Link zur Prüfung, könnte es sich um einen Phishing-Versuch handeln, der E-Mail-Adresse und Passwort abgreifen soll.
Man wird dann nicht nur selbst Teil eines Datenlecks, sondern erhält durch die Kriminellen oft sogar eine Rückmeldung, dass alles in Ordnung sei und kein Passwortwechsel nötig wäre. In Wahrheit ist man bereits Opfer des Angriffs geworden.

Warndienste oder Phishing-Mail?

Es gibt jedoch seriöse Warndienste, die tatsächlich darüber informieren, dass man von einer Datenpanne betroffen ist. Diese durchsuchen hinterlegte E-Mail-Adressen und melden sich, wenn sie beispielsweise im Darknet auftauchen – allerdings nur, wenn man sich zuvor für diesen Dienst registriert hat.
Wenn Sie einen solchen Warndienst nutzen oder nutzen möchten, seien Sie aufmerksam, um nicht auf Phishing hereinzufallen. Ein seriöser Dienst fragt niemals nach einem Passwort oder fordert über einen Link zum Passwortwechsel auf.
Seien Sie besonders misstrauisch gegenüber Warnungen, die nach Ihrem Passwort verlangen – so verhindern Sie, selbst Teil der nächsten Datenpanne zu werden.