Im Internet ist ein gewaltiger Datensatz mit gestohlenen Anmelde-Informationen aufgetaucht. Darin enthalten sind knapp 773 Millionen verschiedene E-Mail-Adressen und über 21 Millionen im Klartext lesbare, also nicht verschlüsselte, Passwörter. Diese können nun von Betrügern genutzt werden, um sich bei Nutzerkonten von Online-Shops oder sozialen Netzwerken anzumelden.

Dies berichtete der australische IT-Sicherheitsexperte Troy Hunt. Insgesamt umfasse die Sammlung mit dem Namen «Collection #1» mehr als eine Milliarde Kombinationen aus Benutzernamen und Passwörtern. Alle diese Login-Informationen gelten als unsicher und sollten daher auf keinen Fall weiter genutzt werden.

Der 87 Gigabyte grosse Datensatz bündele Informationen «aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen», schrieb Hunt in einem Blogeintrag. Der in der Szene sehr geschätzte Security-Experte erklärte weiter, es handle sich um den grössten einzelnen Datensatz dieser Art, mit dem er bislang zu tun gehabt habe. Betroffen sind Internetnutzer weltweit.

So prüfen Sie, ob Sie betroffen sind:

Wer überprüfen will, ob seine E-Mail-Adresse in der Sammlung auftaucht, kann Hunts Dienst haveibeenpwned.com nutzen. In der Datenbank wird die Adresse mit Abermillionen Informationen aus Datenlecks abgeglichen. Mit seinem Dienst lässt sich auch prüfen, ob das eigene Passwort in einem Datenleck aufgetaucht ist. Er habe auch die jüngsten Daten dort eingepflegt, erklärte der Microsoft-Mitarbeiter Hunt. 

So sieht das im Fall der Fälle dann aus:

Auch den watson-Redaktor hat's getroffen: Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text «Oh nein».

Auch den watson-Redaktor hat's getroffen: Ist eine E-Mail-Adresse betroffen, leuchtet die Website rot auf, darunter erscheint der Text «Oh nein».

Das sollten Sie nun tun:

  • Spätestens wenn die eigene Mail auf haveibeenpwned.com auftauche, solle man über ein neues Passwort und wenn möglich über eine Zwei-Faktor-Authentifizierung nachdenken, rät Linus Neumann vom Chaos Computer Club. Bei der Zwei-Faktor-Authentifizierung entriegeln Nutzer den Zugang zu ihrem Onlinekonto oder Social-Media-Profil zusätzlich zum Passwort durch eine weitere Abfrage auf einem anderen Weg. Das kann beispielsweise eine SMS oder eine Code-Abfrage mittels Authenticator-App sein. 
  • Neumann rät, bei allen Online-Diensten ein jeweils anderes und zufälliges Passwort mit maximaler Länge zu nutzen. Diese sollen dann über einen Passwort-Manager verwaltet werden. Ein Passwort-Manager kann sich für jede einzelne Website oder App einen unaussprechlichen und wirklich sicheren Code ausdenken und merken. Als Nutzer muss man sich so nur noch ein Passwort merken, das Master-Passwort für den Passwort-Manager. Da der Passwort-Manager die zufälligen generierten Passwörter verschlüsselt speichert, erreicht man eine hohe Sicherheit. Denn: Selbst wenn der Passwort-Manager gehackt würde, hätten die Angreifer nicht direkt Zugriff auf die eigenen Online-Konten.

Wer sich nicht ständig neue Passwörter ausdenken will, nutzt am besten einen Passwort-Manager.

Den Passwort-Manager LastPass gibt es für alle gängigen Betriebssysteme und Browser. Eine populäre Alternativen ist 1Password.

Den Passwort-Manager LastPass gibt es für alle gängigen Betriebssysteme und Browser. Eine populäre Alternativen ist 1Password.

Das kann passieren, wenn Sie nichts unternehmen:

Laut IT-Experte Hunt können die Datensätze besonders für das sogenannte «Credential Stuffing» missbraucht werden. Bei dieser Methode nutzen die Angreifer die Kombination aus E-Mail und Passwort, um sich auch bei anderen Diensten - beispielsweise bei sozialen Netzwerken oder Shopping-Plattformen einzuloggen. Die Hacker gleichen dabei lange Listen mit Log-in-Daten automatisch mit den Zugangssystemen ab.

In den vergangenen Jahren hatte es diverse Hacker-Attacken gegeben, bei denen zum Teil Hunderte Millionen Kombinationen aus E-Mail-Adressen und Passwörtern erbeutet worden waren. Die Passwörter waren dabei aber grösstenteils kryptografisch verschlüsselt gewesen. Die nun im Netz verfügbaren Anmelde-Informationen können von Betrügern direkt für Angriffe missbraucht werden.

«Das Jahr ist gerade mal zwei Wochen alt und es ist bereits das zweite Mal, dass wir alarmierende Nachrichten haben», sagte Neumann auch mit Blick auf den massiven Online-Angriff auf knapp 1000 deutsche Politiker und Prominente, der Anfang Januar publik geworden war.

(oli/jb/sda/awp/dpa)