Sicherheit im Netz 21.05.2014, 11:47 Uhr

Kostenloses Online-Tool des Hasso-Plattner-Instituts warnt bei Datenklau

Mit einem neuen kostenlosen Online-Tool des Potsdamer Hasso-Plattner-Instituts kann jeder Nutzer sehr schnell überprüfen lassen, ob und auch welche seiner personenbezogenen Daten von Cyber-Kriminellen bereits gehackt worden sind. Das Tool gibt im Falle eines Befundes auch Tipps im Umgang mit dem Datendiebstahl.

„Achtung: Ihre E-Mail Adresse taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf.“ Wenn Sie eine E-Mail mit diesem Text erhalten, haben Sie grundsätzlich ein Problem. Denn dann sind persönliche Identitätsdaten, die Ihrer E-Mail-Adresse zugeordnet sind, von Online-Piraten erbeutet worden und frei im Netz zugänglich. Es handelt sich dabei nicht um Peanuts: Es geht um so sensible persönliche Daten wie das Passwort, den Vor- und Zunamen, die Kreditkarte, die Bankkontodaten, Telefonnummer, Anschrift, das Geburtsdatum und die Sozialversicherungsnummer.

Tool überprüft die E-Mail-Adresse und die zugehörenden Daten

Diese Benachrichtigung ist das Ergebnis einer Überprüfung der eigenen E-Mail-Adresse, die Forscher des Potsdamer Hasso-Plattner-Instituts (HPI) in Potsdam als kostenloses Online-Tool anbieten. Der HPI Identity Leak Checker überprüft die in eine Maske eingegebene E-Mail-Adresse in Sekundenschnelle. In einer Datenbank am HPI befinden sich rund 170 Millionen Datensätze, die aus von Hackern frequentierten Foren, sozialen Netzwerken, Leak-Ankündigungsseiten und Ähnlichem stammen. „Der von uns entwickelte Dienst sendet dem Nutzer einen Hinweis, welche Arten seiner Identitätsdaten, also zum Beispiel Passwörter, Vor- und Zunamen, Anschriften oder Geburtstage, gegebenenfalls offenliegen und somit missbraucht werden können“, sagt HPI-Direktor Prof. Christoph Meinel.

Farbige Übersicht-Matrix zeigt den Umfang des Datenklaus

Die Daten sind nicht öffentlich abrufbar. Für den persönlichen und kostenlosen Check müssen die Anwender stattdessen ihre E-Mail-Adresse angeben und ein sogenanntes Captcha-Feld mit diesen seltsam verrutschten Buchstabenkombinationen ausfüllen. Sollte die eingegebene E-Mail-Adresse in den Datensätzen enthalten sein, bekommt der Anfragende per E-Mail die oben zitierte Nachricht. Es sind in einer Übersicht-Matrix die persönlichen Daten angekreuzt, die in den Datensätzen beim HPI gefunden wurden. Die Felder mit einer Fundstelle sind für die bessere Sichtbarkeit der digitalen Verletzlichkeit rot unterlegt, Felder ohne Fundstelle schimmern im Sicherheit verheißenden Grün.

Das HPI-Tool soll ein Warnsystem sein und sensibilisieren

Die Benachrichtigungs-E-Mail führt die Daten nicht im Detail auf, sondern zeigt nur an, welche Art von Nutzerdaten gefährdet sein könnte, erklärt HPI-Direktor Meinel. Der HPI Identity Leak Checker soll eine Art Warnsystem für gestohlene und im Internet kursierende Identitätsdaten sein, um „die Internetnutzer darauf aufmerksam zu machen, dass im Umgang mit persönlichen Daten dringend mehr Achtsamkeit geboten ist“, so Christoph Meinel.

In der Benachrichtigungs-E-Mail gibt das HPI auch Empfehlungen, wie der Betroffene mit dem Datendiebstahl umgehen sollte. Wird beispielsweise das Passwort zur E-Mail-Adresse in der Datenbank gefunden, so schlägt das Institut vor, das Passwort für sämtliche Accounts dieser E-Mail-Adresse zu ändern. Gleichzeitig versichert das HPI, dass die in das Online-Tool eingegebenen E-Mail-Adressen „verschleiert“ und nicht gespeichert werden, damit eine eventuelle Cyber-Attacke auf die HPI-Datenbank erfolglos bleibt. Auf diesem Wege macht sich das Institut selber unattraktiver für Cyberangriffe.

Ein weiterer Dienst checkt den Computer auf Schwachstellen

Zusätzlich zum HPI Identity Leak Checker hat das Institut einen weiteren Dienst online gestellt. Mit diesem können Nutzer ihren Rechner kostenlos auf erkennbare Schwachstellen überprüfen. Die Selbstdiagnose-Seite der HPI-Datenbank erkennt welche Browser-Version genutzt wird, einschließlich der gängigen Plug-ins sowie weiterer auf dem Computer verwendeten Software. Das Tool sucht dann nach bekannten Schwachstellen. Der Nutzer erhält als Ergebnis eine Liste mit dem Gefährlichkeitsgrad der gefundenen Sicherheitslücken.

Screenshot des HPI Identity Leak Checker. Einfach die zu prüfende E-Mail-Adresse eingeben und den angezeigten Code abtippen. Bei Fundstellen in der HPI-Datenbank bekommt man eine E-Mail an die eingegebene Adresse mit Hinweisen zum Umgang mit den Leaks.

Screenshot des HPI Identity Leak Checker. Einfach die zu prüfende E-Mail-Adresse eingeben und den angezeigten Code abtippen. Bei Fundstellen in der HPI-Datenbank bekommt man eine E-Mail an die eingegebene Adresse mit Hinweisen zum Umgang mit den Leaks.

Foto: Screenshot ingenieur.de/HPI

Die Datenbank umfasst momentan rund 61.000 Informationen zu Sicherheitslücken in knapp 158.000 Programmen. Sie aktualisiert sich dreimal am Tag. „Dadurch wird unsere Datenbasis täglich um 200 bis 300 Verwundbarkeits-Informationen angereichert. Ziel ist eine zentrale und möglichst vollständige Zusammenstellung aller verfügbarer Informationen und Schwachstellen“, erklärt Christoph Meinel vom HPI.

Erst vor wenigen Wochen 18 Millionen gestohlene Datensätze sichergestellt

Es geschieht immer häufiger, dass E-Mail-Adressen, dazugehörige Passwörter und andere persönlichen Daten, sei es durch Sicherheitslücken bei den Internetdiensten oder Sorglosigkeit gepaart mit Unwissenheit bei den Nutzern in die Fänge von Online-Kriminellen geraten. Erst vor wenigen Wochen ist die Staatsanwaltschaft in Verden auf einen riesigen Datensatz im Internet gestoßen. Man habe einen „Bestand von rund 18 Millionen E-Mail-Adressen mit zugehörigen Passwörtern“ sichergestellt, bestätigte die Staatsanwaltschaft Verden. Weitere Informationen wolle man aus „ermittlungstechnischen Gründen“ nicht mitteilen. Es war der bislang größte bekannte Fall von Datendiebstahl in Deutschland. Alle großen deutschen E-Mail-Provider und mehrere internationale Anbieter waren vom Datenklau betroffen.

Und das war beileibe nicht der erste Fall dieser Art. Bereits im vergangenen Jahr entdeckten vier auf Cyberkriminalität spezialisierte Staatsanwälte aus Verden an der Aller eine Datenbank mit 16 Millionen E-Mail-Adressen und den dazugehörenden Passwörtern. Es war allerdings ein Zufallsfund, der monatelange Ermittlungen nach sich zog.

Für aktuelle gehackte Zugangsdaten gibt es einen florierenden Schwarzmarkt, etwa zur Versendung von Spam-Mails. Je nach Umfang der gehackten Datenpakete können die Angreifer jedoch noch wesentlich mehr damit anfangen. Sie können zum Beispiel in soziale Netze eindringen, auf Kosten ihrer Opfer im Internet einkaufen und sogar Online geführte Bankkonten plündern.

Top Stellenangebote

Landeshauptstadt München-Firmenlogo
Landeshauptstadt München Mitarbeiter/innen für Energiemanagement und Anlagenoptimierung in städtischen Gebäuden München
Peek & Cloppenburg KG-Firmenlogo
Peek & Cloppenburg KG Projektleiter (M/W) Facility Management Baubereich Düsseldorf
Schweizer Electronic AG-Firmenlogo
Schweizer Electronic AG Qualitätsingenieur (m/w) Schwerpunkt Messtechnik-Leistungselektronik Schramberg
Exxon Mobil Chemical Central Europe GmbH-Firmenlogo
Exxon Mobil Chemical Central Europe GmbH Technischer Vertriebsingenieur (m/w) Köln
Donaldson Filtration Deutschland GmbH-Firmenlogo
Donaldson Filtration Deutschland GmbH Fertigungsingenieur (m/w) Haan
WEITMANN & KONRAD GMBH & CO. KG-Firmenlogo
WEITMANN & KONRAD GMBH & CO. KG Ingenieur (m/w) Elektrotechnik / Softwareentwickler Leinfelden-Echterdingen
üstra Hannoversche Verkehrsbetriebe AG-Firmenlogo
üstra Hannoversche Verkehrsbetriebe AG Fachkraft (m/w) Bauplanung und Projektsteuerung für elektrische Anlagen Hannover
Staatliches Bauamt Freising-Firmenlogo
Staatliches Bauamt Freising Diplom-Ingenieur (m/w) der Fachrichtung Architektur / Bauingenieurwesen Freising
Staatliches Bauamt Freising-Firmenlogo
Staatliches Bauamt Freising Ingenieur Fachrichtung Verkehrstechnik / Bauingenieur Fachrichtung Umwelttechnik (m/w) München
Staatliches Bauamt Freising-Firmenlogo
Staatliches Bauamt Freising Bauingenieur (m/w) Fachrichtung Brückenbau München