Sicherheit im Netz 21.05.2014, 11:47 Uhr

Kostenloses Online-Tool des Hasso-Plattner-Instituts warnt bei Datenklau

Mit einem neuen kostenlosen Online-Tool des Potsdamer Hasso-Plattner-Instituts kann jeder Nutzer sehr schnell überprüfen lassen, ob und auch welche seiner personenbezogenen Daten von Cyber-Kriminellen bereits gehackt worden sind. Das Tool gibt im Falle eines Befundes auch Tipps im Umgang mit dem Datendiebstahl.

„Achtung: Ihre E-Mail Adresse taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf.“ Wenn Sie eine E-Mail mit diesem Text erhalten, haben Sie grundsätzlich ein Problem. Denn dann sind persönliche Identitätsdaten, die Ihrer E-Mail-Adresse zugeordnet sind, von Online-Piraten erbeutet worden und frei im Netz zugänglich. Es handelt sich dabei nicht um Peanuts: Es geht um so sensible persönliche Daten wie das Passwort, den Vor- und Zunamen, die Kreditkarte, die Bankkontodaten, Telefonnummer, Anschrift, das Geburtsdatum und die Sozialversicherungsnummer.

Tool überprüft die E-Mail-Adresse und die zugehörenden Daten

Diese Benachrichtigung ist das Ergebnis einer Überprüfung der eigenen E-Mail-Adresse, die Forscher des Potsdamer Hasso-Plattner-Instituts (HPI) in Potsdam als kostenloses Online-Tool anbieten. Der HPI Identity Leak Checker überprüft die in eine Maske eingegebene E-Mail-Adresse in Sekundenschnelle. In einer Datenbank am HPI befinden sich rund 170 Millionen Datensätze, die aus von Hackern frequentierten Foren, sozialen Netzwerken, Leak-Ankündigungsseiten und Ähnlichem stammen. „Der von uns entwickelte Dienst sendet dem Nutzer einen Hinweis, welche Arten seiner Identitätsdaten, also zum Beispiel Passwörter, Vor- und Zunamen, Anschriften oder Geburtstage, gegebenenfalls offenliegen und somit missbraucht werden können“, sagt HPI-Direktor Prof. Christoph Meinel.

Top Stellenangebote

Zur Jobbörse
infraSignal GmbH-Firmenlogo
Projektleiter Steuerkabel (m/w/d) infraSignal GmbH
Die Autobahn GmbH des Bundes-Firmenlogo
Projektingenieur im Brückenbau für Neubau-, Ausbau- und Erhaltungsmaßnahmen (w/m/d) Die Autobahn GmbH des Bundes
Regensburg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur (w/m/d) für die Projektleitung von Brücken und Ingenieurbauwerke Die Autobahn GmbH des Bundes
Nürnberg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Abteilungsleiter (w/m/d) Konstruktiver Ingenieurbau, Lärmschutzbauwerke Die Autobahn GmbH des Bundes
Nürnberg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur als Projektleiter (w/m/d) Planung Die Autobahn GmbH des Bundes
PFINDER KG-Firmenlogo
Produktentwickler (m/w/d) Zerstörungsfreie Werkstoffprüfung PFINDER KG
Böblingen Zum Job 
Hitzler Ingenieur e.K.-Firmenlogo
Projektleiter im Bau-Projektmanagement (m/w/d) Hitzler Ingenieur e.K.
Düsseldorf Zum Job 
WTM ENGINEERS GMBH-Firmenlogo
BIM-Modeler (m/w/d) für den Bereich Ingenieurwasserbau WTM ENGINEERS GMBH
Hamburg, Kiel, Rostock Zum Job 
Hamamatsu Photonics Deutschland GmbH-Firmenlogo
Master / Diplom in Physik oder Elektrotechnik als Vertriebsingenieur/in für Bereich Analytical (m/w/d) Hamamatsu Photonics Deutschland GmbH
Herrsching am Ammersee Zum Job 
Ministerium für Wirtschaft, Verkehr, Arbeit, Technologie und Tourismus-Firmenlogo
Referentin/Referent (m/w/d) im Referat "Straßenbau" Ministerium für Wirtschaft, Verkehr, Arbeit, Technologie und Tourismus
Mercer Stendal GmbH-Firmenlogo
Betriebsingenieur Mechanik (m/w/d) Mercer Stendal GmbH
Arneburg Zum Job 
Hamburger Hochbahn AG-Firmenlogo
Techniker / Ingenieur Elektrotechnik Wartung / Instandhaltung (w/m/d) Hamburger Hochbahn AG
Hamburg Zum Job 
Städtisches Klinikum Dresden-Firmenlogo
Ingenieur (m/w/d) Technische Gebäudeausrüstung (TGA) Städtisches Klinikum Dresden
Dresden Zum Job 
Rohde & Schwarz Österreich GesmbH-Firmenlogo
Softwareentwickler (m/w/d) Embedded Systems Rohde & Schwarz Österreich GesmbH
Singapur, Stuttgart, Berlin, München Zum Job 
Carl Zeiss Meditec AG-Firmenlogo
Applikationsingenieur (m/w/x) Carl Zeiss Meditec AG
Carl Zeiss Meditec AG-Firmenlogo
Process Engineer (m/w/x) Carl Zeiss Meditec AG
Carl ZEISS MultiSEM-Firmenlogo
Entwicklungsingenieur Elektronik (m/w/x) Carl ZEISS MultiSEM
Oberkochen Zum Job 
Bundesamt für Bauwesen und Raumordnung (BBR)-Firmenlogo
Ingenieurinnen und Ingenieure (w/m/d) in den Fachrichtungen Versorgungstechnik und Gebäudeautomation Bundesamt für Bauwesen und Raumordnung (BBR)
Bundesamt für Bauwesen und Raumordnung (BBR)-Firmenlogo
Ingenieurinnen und Ingenieure (w/m/d) in den Fachrichtungen Elektro- bzw. Nachrichtentechnik Bundesamt für Bauwesen und Raumordnung (BBR)
GEBHARDT Fördertechnik GmbH-Firmenlogo
Entwicklungsprojektleitung Robotik & Lagerfahrzeuge (m/w/d) GEBHARDT Fördertechnik GmbH
Sinsheim Zum Job 

Farbige Übersicht-Matrix zeigt den Umfang des Datenklaus

Die Daten sind nicht öffentlich abrufbar. Für den persönlichen und kostenlosen Check müssen die Anwender stattdessen ihre E-Mail-Adresse angeben und ein sogenanntes Captcha-Feld mit diesen seltsam verrutschten Buchstabenkombinationen ausfüllen. Sollte die eingegebene E-Mail-Adresse in den Datensätzen enthalten sein, bekommt der Anfragende per E-Mail die oben zitierte Nachricht. Es sind in einer Übersicht-Matrix die persönlichen Daten angekreuzt, die in den Datensätzen beim HPI gefunden wurden. Die Felder mit einer Fundstelle sind für die bessere Sichtbarkeit der digitalen Verletzlichkeit rot unterlegt, Felder ohne Fundstelle schimmern im Sicherheit verheißenden Grün.

Das HPI-Tool soll ein Warnsystem sein und sensibilisieren

Die Benachrichtigungs-E-Mail führt die Daten nicht im Detail auf, sondern zeigt nur an, welche Art von Nutzerdaten gefährdet sein könnte, erklärt HPI-Direktor Meinel. Der HPI Identity Leak Checker soll eine Art Warnsystem für gestohlene und im Internet kursierende Identitätsdaten sein, um „die Internetnutzer darauf aufmerksam zu machen, dass im Umgang mit persönlichen Daten dringend mehr Achtsamkeit geboten ist“, so Christoph Meinel.

In der Benachrichtigungs-E-Mail gibt das HPI auch Empfehlungen, wie der Betroffene mit dem Datendiebstahl umgehen sollte. Wird beispielsweise das Passwort zur E-Mail-Adresse in der Datenbank gefunden, so schlägt das Institut vor, das Passwort für sämtliche Accounts dieser E-Mail-Adresse zu ändern. Gleichzeitig versichert das HPI, dass die in das Online-Tool eingegebenen E-Mail-Adressen „verschleiert“ und nicht gespeichert werden, damit eine eventuelle Cyber-Attacke auf die HPI-Datenbank erfolglos bleibt. Auf diesem Wege macht sich das Institut selber unattraktiver für Cyberangriffe.

Ein weiterer Dienst checkt den Computer auf Schwachstellen

Zusätzlich zum HPI Identity Leak Checker hat das Institut einen weiteren Dienst online gestellt. Mit diesem können Nutzer ihren Rechner kostenlos auf erkennbare Schwachstellen überprüfen. Die Selbstdiagnose-Seite der HPI-Datenbank erkennt welche Browser-Version genutzt wird, einschließlich der gängigen Plug-ins sowie weiterer auf dem Computer verwendeten Software. Das Tool sucht dann nach bekannten Schwachstellen. Der Nutzer erhält als Ergebnis eine Liste mit dem Gefährlichkeitsgrad der gefundenen Sicherheitslücken.

Die Datenbank umfasst momentan rund 61.000 Informationen zu Sicherheitslücken in knapp 158.000 Programmen. Sie aktualisiert sich dreimal am Tag. „Dadurch wird unsere Datenbasis täglich um 200 bis 300 Verwundbarkeits-Informationen angereichert. Ziel ist eine zentrale und möglichst vollständige Zusammenstellung aller verfügbarer Informationen und Schwachstellen“, erklärt Christoph Meinel vom HPI.

Erst vor wenigen Wochen 18 Millionen gestohlene Datensätze sichergestellt

Es geschieht immer häufiger, dass E-Mail-Adressen, dazugehörige Passwörter und andere persönlichen Daten, sei es durch Sicherheitslücken bei den Internetdiensten oder Sorglosigkeit gepaart mit Unwissenheit bei den Nutzern in die Fänge von Online-Kriminellen geraten. Erst vor wenigen Wochen ist die Staatsanwaltschaft in Verden auf einen riesigen Datensatz im Internet gestoßen. Man habe einen „Bestand von rund 18 Millionen E-Mail-Adressen mit zugehörigen Passwörtern“ sichergestellt, bestätigte die Staatsanwaltschaft Verden. Weitere Informationen wolle man aus „ermittlungstechnischen Gründen“ nicht mitteilen. Es war der bislang größte bekannte Fall von Datendiebstahl in Deutschland. Alle großen deutschen E-Mail-Provider und mehrere internationale Anbieter waren vom Datenklau betroffen.

Und das war beileibe nicht der erste Fall dieser Art. Bereits im vergangenen Jahr entdeckten vier auf Cyberkriminalität spezialisierte Staatsanwälte aus Verden an der Aller eine Datenbank mit 16 Millionen E-Mail-Adressen und den dazugehörenden Passwörtern. Es war allerdings ein Zufallsfund, der monatelange Ermittlungen nach sich zog.

Für aktuelle gehackte Zugangsdaten gibt es einen florierenden Schwarzmarkt, etwa zur Versendung von Spam-Mails. Je nach Umfang der gehackten Datenpakete können die Angreifer jedoch noch wesentlich mehr damit anfangen. Sie können zum Beispiel in soziale Netze eindringen, auf Kosten ihrer Opfer im Internet einkaufen und sogar Online geführte Bankkonten plündern.

 

Ein Beitrag von:

  • Detlef Stoller

    Detlef Stoller ist Diplom-Photoingenieur. Er ist Fachjournalist für Umweltfragen und schreibt für verschiedene Printmagazine, Online-Medien und TV-Formate.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.