Stand: 04.08.2017 15:48 Uhr | AutorIn: Eva Köhler

"Have I Been Pwned": Der Sammler der verlorenen Daten

Sein Hobby sind geleakte Datensätze. Troy Hunt sammelt sie, analysiert sie und lädt sie im Netz hoch, um uns zu helfen. Uns hat der Macher der Seite "HaveIBeenPwned.com" ("Wurde ich gehackt?") erzählt, wie er an die Datensätze kommt.

Auf der Webseite "HaveIbeenPwned" tippen täglich rund 50.000 Menschen ihre E-Mail-Adressen ein, um sicher zu gehen, dass ihr Passwort nicht irgendwo im Netz kursiert.

Knapp vier Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern liegen in der Datenbank der Webseite - von bekannten Diensten wie Yahoo, DropBox, LastFm und Adobe, aber auch von längst vergessenen Diensten wie Trillian. Der Mann, der sie sammelt, ist Australier, hört auf den Namen Troy Hunt und arbeitet als Sicherheitsexperte bei Microsoft - wenn er nicht gerade versucht, die Internet-Gemeinde über seine eigene Website vor gehackten Accounts zu bewahren.

Weitere Informationen

Gehackt? So findet ihr es heraus!

Adobe, LastFm, LinkedIn, Dropbox: Die Liste der Dienste, die bereits gehackt wurden, ist lang. Die gute Nachricht: Eine Webseite verrät euch, ob eure Zugangsdaten auch gehackt wurden. mehr

Als Hunt die Seite 2013 zum Leben erweckt hat, war sie für ihn ein Hobby. Mittlerweile ist "HaveiBeenPwend.com" für Nutzer auf der ganzen Welt eine der besten Möglichkeiten herauszufinden, ob sie gehackt wurden oder nicht.

Die gehackten Daten kommen zu ihm

Oft schicken Hacker, die ihre Taten bereuen, dem IT-Experten die gestohlenen Nutzer-Datensätze zu. Auch Journalisten bitten den Australier, Datensätze auf ihre Echtheit zu überprüfen, erzählt Hunt im Gespräch mit N-JOY. Doch viele der Datensätze kommen von Fremden:

Manchmal schreiben mir Menschen, weil sie Datensätze im Netz gefunden haben. Troy Hunt, Gründer HaveIbeenPwned.com

Dann muss der IT-Experte herausfinden, ob die Daten echt oder erfunden sind. Vergangenes Jahr, erzählt er, hätten Hacker im Netz Gerüchte verbreitet, die bis heute kursieren: "Hier sind 32 Millionen Twitter-Daten", hieß es. Im ersten Moment ein Schock. "Aber jetzt weiß ich, es ist ein Fake", sagt Hunt.

Kreditkartendaten oder Telefonnummern stellt er nicht ins Netz

Mit jedem Datensatz, den er analysiert, trägt der IT-Sicherheitsexperte mehr Verantwortung: "E-Mail-Adressen, Passwörter, Telefonnummern, Kreditkartendaten - das sind sehr sensible und persönliche Daten." Deswegen lädt er die Datensätze niemals komplett in seine Online-Datenbank.

Nachdem er sie analysiert hat, löscht er alles - bis auf die E-Mail-Adresse. "Ich kann das Risiko nicht eingehen, alle Daten hochzuladen". Würde er sämtliche Daten ins Netz stellen, würde wohl auch er schnell zu einem Angriffsziel für Hacker werden. Seit kurzem hat Hunts Webseite eine neue Funktion: Er hat alle gehackten Passwörter, die in seiner Datenbank stehen und solche, die sehr leicht zu knacken sind, in einer Liste gesammelt und sie hochgeladen. Die Passwörter - insgesamt 306 Millionen - sind dabei völlig getrennt von den Mail-Adressen und können nicht zugeordnet werden. Seine Absicht: Wir, die Nutzer, sollen ein Gefühl für sichere und unsichere Passwörter bekommen. Aktuelle Passwörter, die wir verwenden, sollten wir in die Suche nicht eintragen, so der Rat des IT-Experten. Stattdessen bietet er die Passwort-Liste zum Download an - zum offline Checken.

Weitere Informationen

Das solltest du machen, wenn du gehackt wurdest

Deine E-Mail-Adresse taucht in einem geklauten Datensatz auf? Das solltest du tun:
1. Ändere das Passwort bei dem Dienst, der gehackt wurde.
2. Ändere das Passwort auch bei allen anderen Diensten, bei denen du das Passwort verwendest.
3. Aktiviere bei wichtigen Accounts die Zwei-Faktor-Authentifizierung. Immer wenn ihr euch anmeldet, sendet der Dienst euch einen Code per SMS zu. Nur mit Passwort und Code könnt ihr euch einloggen. PayPal, Google, Facebook, Twitter und Apple bieten diese Sicherheitsfunkion beispielsweise an.

Aber auch die Veröffentlichung von E-Mail-Adressen hat Nachteile, denn auch der Partner oder die Partnerin kann die E-Mail-Adresse des Anderen in das Suchfeld der Website eingeben - zum Beispiel, um zu prüfen, ob er oder sie einen Account bei einer Seitensprung-Webseite hat. Selbst diese Information ist etwas sehr Persönliches - doch diesen Kompromiss muss Hunt eingehen.

"Hilfe, wie lautet mein Passwort?"

Es gibt aber einen Kompromiss, den Hunt nicht eingeht: Immer wieder landen E-Mails in seinem Postfach, in denen Nutzer nach ihrem eigenen Passwort fragen. Diese Frage beantwortet er grundsätzlich nicht:

Es geht ja nicht um irgendein Passwort, das jemand anderes erstellt hat. Das ist das Passwort, das er selbst erstellt hat. Die Menschen, die mich nach ihrem Passwort fragen, wollen nicht wissen, wie ihr Passwort lautet - sie wollen wissen, was andere Menschen über sie wissen. Troy Hunt, IT-Sicherheitsexperte

Manchmal erstellen Fremde Accounts in eurem Namen

Manchmal geben Nutzer ihre E-Mail-Adresse bei "HaveIbeenpwned" ein und finden darüber Dienste, die in Deutschland völlig unbekannt sind oder bei denen sie sich mit dieser E-Mail-Adresse nie angemeldet haben. Das ist auch N-JOY Hörern schon aufgefallen. Hunt selbst ist das auch schon passiert: Unter seiner E-Mail-Adresse exisitiert ein Account für eine Dating-Seite. Den hat er aber nie erstellt, versichert er.

"Es gibt keine Möglichkeit, einen Fremden davon abzuhalten, einen Account mit deinem Namen und deiner E-Mail-Adresse zu erstellen", erklärt Hunt. Aber es gibt noch andere Möglichkeiten, wie das passieren kann: "Manchmal werden Webseiten aufgekauft, manchmal ändert sich die Marke, manchmal kaufen Unternehmen Adresslisten fürs Marketing ein und manchmal hast du den Account vor mehr als einem Jahrzehnt erstellt und einfach vergessen, dass du ihn hast."

 

Weitere Informationen

9 Tipps, wie ihr euer Smartphone schnell sicher macht

02.01.2017 14:20 Uhr

Einmal zwei Stunden investieren, dann ist das Handy fit fürs neue Jahr! Wir verraten euch die wichtigsten Kniffe, um euer Smartphone sicher zu machen! mehr

Online-Shopping: So sicher sind die Bezahl-Angebote

07.06.2017 14:20 Uhr

So funktionieren Sofort Überweisung und Co.: Wir erklären euch, welche Bezahldienste im Internet sicher sind und welche Vor- und Nachteile sie haben. mehr

Die zehn dümmsten Passwörter

09.12.2016 14:20 Uhr

Passwort? Hab ich - mehr aber auch nicht. Eine Studie hat Passwörter ausgewertet und dabei auch die dümmsten Passwörter gefunden. Die Top 10. mehr

 

Dieses Thema im Programm:

N-JOY | Der Graf | 04.08.2017 | 13:50 Uhr

Multimedia - Neues aus der digitalen Welt

Welches Video ist angesagt? Was gibt's Neues von Facebook? Auf welche Technik-Highlights können wir uns freuen? In der Netzwelt gibt's topaktuell News und Hintergrundwissen aus der digitalen Welt. mehr

WLAN-Tuning: So surft ihr schneller

28.03.2017 08:10 Uhr

Im Zeitalter von Streaming und totaler Vernetzung ist es wichtig, den WLAN-Router korrekt einzustellen, um einen schnellen Datendurchsatz zu ermöglichen. Tipps fürs WLAN-Tuning. mehr

Die lustigsten 404-Seiten im Netz

24.04.2015 13:05 Uhr

Hillary Clinton beweist Humor und Kreativität - mit der "404"-Fehlerseite auf ihrer Website. Wir haben euch noch mehr kreative und lustige Fehlerseiten aus dem WWW gesucht. mehr

N-JOY
#

Lieblingssong? Teilen!
Achtung. Beim Klick auf das Facebook-Icon wird eine Verbindung zu Facebook hergestellt. Dabei werden bereits Daten an Facebook übertragen.
Songtitel posten: Facebook
12:00 - 15:00 Uhr  [Webcam]