Ein knappes Vierteljahrhundert an Daten, die im Internet von mir kursieren, freiwillig und weniger freiwillig. Wie lange bist du schon online? Wie viele Daten wurden von dir schon gesammelt und veröffentlicht?
Mein Passwortmanager zählt ein paar hundert Einträge. Wobei ich kontinuierlich Benutzerkonten schließe und löschen lasse. Aber immer noch genug Konten, in denen – auch viele personenbezogen – Daten, über mich gesammelt und verarbeitet werden.
Dass bei dieser Anzahl an Konten Daten durch eine Datenpanne eines Diensteanbieters (ich winke zu Facebook, WhatsApp, Adobe, Dropbox, …) oder eines Cyberangriffs veröffentlicht werden, ist leider sehr wahrscheinlich.
In diesem Artikel beschreibe ich zwei Plattformen, die dir helfen festzustellen, ob deine Daten auf digitalen Schwarzmärkten veröffentlicht wurden. Außerdem teile ich mit dir meine Empfehlungen, wie du auf die Veröffentlichung deiner Daten reagieren kannst.
Daten werden gestohlen und von den verantwortlichen Hackern auf digitalen Schwarzmärkten, z.B. innerhalb des Darknets, angeboten. Nicht nur gestohlene Firmengeheimnisse, auch personenbezogene Daten, Zugangsdaten zu Diensteanbietern, Bankverbindungen werden gehandelt. Alleine schon deine E-Mail-Adresse und Passwort helfen Hackern, dich weiter auszutricksen und somit auszunehmen.
Auf den zwei folgenden Plattformen kannst du deine E-Mail-Adresse eingeben und erhältst Informationen, ob deine E-Mail-Adresse mit weiteren personenbezogene Daten veröffentlicht wurden.
2 Plattformen, mit denen du testen kannst, ob deine Daten veröffentlicht wurden
Plattform #1: Have I Been Pwned?
Auf Have I Been Pwned? kannst du mithilfe deiner E-Mail-Adresse oder deiner Telefonnummer feststellen, ob Daten von dir durch eine Datenpanne veröffentlicht wurden.
Dazu gibst du deine E-Mail-Adresse oder deine Telefonnummer in das Eingabefeld ein und klickst auf pwned?.
Ein Beispiel für mehrere Datenpannen könnte so aussehen:
In diesem Beispiel wurden personenbezogene Daten, wie E-Mail-Adressen, Passwörter, IP-Adressen, Benutzernamen, Telefonnummern, Geburtsdatum, Adresse veröffentlicht.
Und das von großen Diensteanbietern, wie Dropbox, Gravatar, Canva, bitly, tumblr, DISQUS, Adobe.
Ein Auszug der größten und letzten Datenpannen, die deine Abfrage auf Have I Been Pwned? durchsucht, siehst du im folgenden Bild.
Du hattest früher ein Passwort, dass du für mehrere Dienste parallel verwendet hast?
Kleiner Tipp mit großer Wirkung: niemals das gleiche Passwort für mehrere Dienste verwenden! Früher waren wir noch naiv. Heute gilt diese Ausrede nicht mehr.
Mach dir den Spaß und gebe dein altes (kein aktuelles!) Passwort, dass du nicht mehr verwendest, in Pwned Passwords ein. Mein Uralt-Passwort wurde 3.242 mal in unterschiedlichen Beständen gefunden…
Plattform #2: HPI Identity Leak Checker
Der HP Identity Leak Checker kann ähnliches, wie der Have I Been Pwned?-Check. Die Datenbanken können sich voneinander unterscheiden. Daher lohnt es sich, auch den HPI Check mit deiner E-Mail-Adresse abzufragen.
Das geht ganz ähnlich wie bei Have I Been Pwned?. Du gibst deine E-Mail-Adresse ein, wartest ein paar Minuten und erhältst dann das Ergebnis, nicht auf dem Bildschirm, sondern per E-Mail zugesendet.
Das Ergebnis wird gefühlt ausführlicher dargestellt als bei Have I Been Pwned?. Das liegt u.a. an der Tabelle, die hilft, die personenbezogenen Daten, welche genau veröffentlicht wurden, auf einen Blick zu erfassen.
Wichtig finde ich auch den Punkt: Ob die Datenpanne verifiziert ist. Es kann vorkommen, dass der Diensteanbieter die Datenpanne nicht offiziell bestätigt. Aber es einige Hinweise darauf gibt.
Wissenswertes über diese Plattformen
Die Plattformen haben dir keine Datenpannen angezeigt? Das muss nicht bedeuten, dass es keine Datenpanne mit einer deiner E-Mail-Adressen gibt.
Diese Daten werden automatisch gesammelt. Es werden dazu die im Internet verfügbaren (also veröffentlichten) Quellen ausgewertet.
Have I Been Pwned? listet die Websites und Diensteanbieter auf, deren Daten die Abfrage-Datenbank füllen.
Meine 6 Empfehlungen, wenn deine Daten veröffentlicht wurden
Empfehlung 1: Ändere dein Passwort in ein starkes & sicheres Passwort.
Empfehlung 2: Nutze für jedes Benutzerkonto ein anderes Passwort. Verwende ein Passwort niemals zweimal. Mit einem Passwortmanager kannst du deine Passwörter verwalten.
Empfehlung 3: Lösche Benutzerkonten, die du nicht mehr verwendest, beim Diensteanbieter.
Empfehlung 4: Sind Bankverbindungen, Kreditkartennummern betroffen? Wende dich direkt an deine Bank und lass sie sperren. Beobachte verdächtige Transaktionen.
Empfehlung 5: Wenn deine Telefonnummer betroffen ist, und eine Änderung deiner Nummer nicht in Betracht kommt, sei dir bewusst, dass dich Betrüger, um z.B. weitere Informationen von dir zu erhalten, anrufen können.
Empfehlung 6: Bleibe auf dem Laufenden, was im Internet passiert. Heise online oder das Bundesamt für Sicherheit in der Informationstechnik informieren.
