„Datenpanne“, „Datenleck“, „Ihr Passwort wurde kompromittiert“. Bei diesen Worten spielen sich nicht nur albtraumhafte Szenarien im Kopf ab, sondern man fragt sich auch unweigerlich: wie verhalte ich mich jetzt richtig. In diesem Beitrag erfährst du, wie du herausfinden kannst, ob deine Passwörter kompromittiert wurden und falls ja – wie du dich dann am besten verhältst.

Zum World Password Day am 6. Mai haben wir hier auf dem Blog die drei schlimmsten Hackerangriffe der letzten Jahre vorgestellt. Falls du sie nachlesen möchtest, findest du ganzen Beitrag hier. Durch den Blogartikel wird erschreckend deutlich, wie viele Passwörter in den letzten Jahren kompromittiert wurden. Kurz zur Erklärung: Ein System oder ein Datensatz kann als kompromittiert betrachtet werden, wenn der Eigentümer des Systems, einer Datenbank oder eines Datensatzes keine Kontrolle mehr über die korrekte Funktionsweise und deren Sicherheit hat. Mit anderen Worten: Hundert Millionen gehackte Informationen schwirren im Netz herum. Darunter nicht nur persönliche Informationen wie Name, E-Mail-Adresse und Telefonnummer, sondern auch unverschlüsselte Passwörter, Kreditkarteninformationen und Passnummern.

Komfort gefährdet Sicherheit

Was besonders schlimm daran ist: Jeder dritte Nutzer verwendet das gleiche Passwort für mehrere Dienste und fast 70 % ändern ihre Passwörter nicht in regelmäßigen Abständen. Und wenn ein Passwort und die dazugehörige E-Mail-Adresse erst einmal gehackt wurden, haben Hacker auch leicht Zugang zu anderen Accounts, wenn dort die gleichen Anmeldedaten hinterlegt sind. Die Gründe für die leichten und gleichen Passwörter sind fehlende Motivation und Bereitschaft, sich schwere und komplexe Passwörter zu merken. Das ist bei „jd:9_L!(heP*BhI“ irgendwie auch verständlich. In der heutigen Zeit und der Vielzahl an gehackten Accounts darf Komfort jedoch nicht mehr die Ausrede sein, seine kostbaren persönlichen Daten mit „Passw0rd1!“ zu schützen. Denn die Realität ist erschreckend: Allein im Jahr 2020 wurden 172 Datenlecks mit rund 2 Milliarden Identitäten im Internet veröffentlicht.

Unwissenheit schützt auch im Internet nicht

Starke Passwörter sind wichtig und du solltest ab jetzt für jede Anwendung ein einzigartiges und komplexes Passwort auswählen. Aber was ist, wenn bereits eins oder mehrere deiner Passwörter kompromittiert wurden? Werden User benachrichtigt, wenn ihre Accounts gehackt wurde? Die kurze Antwort lautet: Ja, sollten sie. Oftmals werden Nutzer über einen entsprechenden Hinweis auf der Landingpage benachrichtigt, oder es wird ein Newsletter, eine Pressemitteilung an alle User versendet. Aber wer von uns liest schon Pressemitteilungen. Wer von uns meldet sich schon über die Landingpage des E-Mail-Providers in Zeiten von Mailing-Apps und Outlook an. Eine solche Nachricht kann in der Flut an Informationen, die wir täglich zu uns nehmen, schnell untergehen.

Cyberangriff, Hackerangriff, Komprommitiertes Passwort, Cybersecurity
Ihr Passwort wurde kompromittiert: Was jetzt?

Und dann?

Selbst aktiv werden mit dem Identity Leak Prüfer

Mit dem Identity-Leak Prüfer, dem Online-Sicherheitsprüfer des Hasso-Plattner-Institutes, lässt sich einfach und schnell herausfinden, ob man selbst Opfer eines Datendiebstahls geworden ist. Dabei muss der Nutzer nur seine E-Mail-Adresse eingeben und kann so überprüfen, ob persönliche Informationen frei im Internet kursieren und somit auch von Unbefugten missbraucht werden können. Diese Möglichkeit, seine E-Mail-Adresse mit mehr als 12 Milliarden gestohlener Identitäten abzugleichen, ist nicht in jedem Land möglich. Zuerst sollte man also regelmäßig überprüfen, ob Zugänge bereits kompromittiert wurden. Und das nicht nur privat. Auch vor geschäftlichen Zugängen machen Hacker nicht halt. Deshalb sollten Mitarbeitende neben privaten Zugängen auch geschäftlichen E-Mail-Adressen mit dem Identity-Leak Prüfer kontrollieren.

Unter diesem Link findet ihr den Identity-Leak Prüfer und ihr könnt direkt herausfinden, ob und welche eurer personenbezogenen Daten bereits kompromittiert wurden:

https://sec.hpi.de/ilc

„Achtung: Ihre E-Mail-Adresse taucht mindestens in einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank auf“

Was bedeutet das überhaupt? Viele Hacker verkaufen die gestohlenen Daten im Darknet, Hacker machen jährlich Milliardengewinne damit. Der Internet-Schwarzmarkt ist international organisiert und gilt schon seit einiger Zeit lukrativer als der Drogenhandel. Wenn zudem noch Bankdaten gestohlen werden, können die Kriminellen im Namen der Opfer sogar online einkaufen gehen.

Deshalb solltest du zuerst einen Passwortwechsel durchführen!

Erster Schritt: Passwortwechsel

 Sowohl im privaten als auch im geschäftlichen Kontext. Im geschäftlichen Kontext ist dieser Schritt nicht nur dringend ratsam, sondern das Bundesamt für Sicherheit in der Informationstechnik besagt: „Ein Passwort MUSS gewechselt werden, wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht. Passwörter MÜSSEN geheim gehalten werden.“

Dabei sollte das neue Passwort einigen Richtlinien entsprechen:

  1. Pro Zugang sollte nur ein einzigartiges Passwort verwendet werden
  2. Je komplexer und länger das Passwort ist, desto besser
  3. Das Passwort sollte keine Wörter aus einem Wörterbuch oder Tastenabfolgen enthalten
  4. Das Passwort sollte durch Zahlen und Sonderzeichen verstärkt werden
  5. Das Passwort sollte durch regelmäßige Änderungsintervalle aktualisiert werden

Ganz schön viele Anforderungen für dein neues Passwort, oder?

Durch einen Password Manager zu mehr Sicherheit und Komfort

Vor allem im geschäftlichen Kontext kann hier schnell Abhilfe geleistet werden. Bei durchschnittlich über 16 genutzten Zugängen pro Mitarbeitenden können Passwort-Richtlinien schnell zu Überforderung und Angst bei den Mitarbeitenden führen, das neu erstellte und komplexe Passwort zu vergessen. Ein Password Manager wie Password Safe kann Sicherheit und Komfort vereinen. Der integrierte Passwort-Generator erstellt sichere, einzigartige und komplexe Passwörter auf Knopfdruck. Diese Passwörter müssen sich die Mitarbeitende glücklicherweise nicht merken, das übernimmt die Software für sie. Mit nur einem einzigen Master-Passwort kann man sich im System anmelden, alle weiteren Zugangsdaten erkennt die Software automatisch und fügt sie in die Anmeldemaske ein. Durch die Kombination aus dem Password Safe Webzugriff und der App können sich Nutzer von überall problemlos anmelden, also auch aus dem Homeoffice heraus oder von der Geschäftsreise.

Das bedeutet: es gibt hier keine Ausreden mehr, sich „jd:9_L!(heP*BhI“ nicht merken zu können. Mit Password Safe brauchst du dir nur noch ein einziges sicheres und komplexes Passwort merken. Wenn du bei der Erstellung des Master-Passwortes Probleme hast, lies unseren Blogbeitrag: 5 Tipps für ein sicheres Master-Passwort, darin geben wir Tipps und Tricks, wie man sich einfach schwere Passwörter merken kann: