Ein Dienst, bei dem Du vor Jahren ein Konto angelegt hast, wird gehackt. Die Betreiber merken es spät, melden es noch später, und irgendwann liegt Deine E-Mail-Adresse mit Passwort in einer Datei, die durch einschlägige Foren wandert. Das Unangenehme daran ist, dass Du davon zunächst gar nichts mitbekommst.
Für Selbständige und kleine Unternehmen ist das ein reales Risiko, weil dieselben Zugangsdaten oft für mehrere Konten dienen. Erfreulicherweise findest Du in wenigen Minuten heraus, ob Du betroffen bist, und kannst dann gezielt handeln.
Was ein Datenleck ist und wie es entsteht
Ein Datenleck bedeutet, dass die Nutzerdaten eines Online-Dienstes nach außen gelangen. Betroffen sind meist E-Mail-Adressen und Passwörter, manchmal auch Namen, Telefonnummern oder Zahlungsdaten. Die Quelle ist fast immer der Anbieter selbst, nicht Dein eigener Rechner.
Typische Auslöser sind eine Sicherheitslücke in der Server-Software, ein schlecht geschützter Datenbank-Zugang oder ein Mitarbeiterkonto, das durch eine Phishing-Mail übernommen wurde. Wie Du solche Mails früh erkennst, liest Du im Beitrag zu Phishing-Mails erkennen.
Die erbeuteten Datensätze werden gesammelt, gehandelt und in großen Listen zusammengeführt. Kriminelle setzen diese Listen dann automatisiert ein und probieren bekannte Kombinationen aus E-Mail und Passwort bei Hunderten anderen Diensten durch. Dieses Vorgehen heißt Credential Stuffing und funktioniert immer dann, wenn Du dasselbe Passwort mehrfach benutzt. Wie diese automatisierten Anmeldeversuche im Detail ablaufen und wie Du sie abwehrst, liest Du im Beitrag zu Credential Stuffing. Genau deshalb wird aus einem einzelnen Leck schnell ein Problem für viele Deiner Konten.
Prüfen, ob Du betroffen bist
Du musst nicht raten, ob Deine Daten irgendwo aufgetaucht sind. Es gibt seriöse Dienste, die geleakte Datenbanken sammeln und durchsuchbar machen, ohne dass Du dafür etwas installierst oder bezahlst.
Der bekannteste ist Have I Been Pwned, betrieben vom Sicherheitsforscher Troy Hunt. Du gibst dort Deine E-Mail-Adresse ein und bekommst eine Liste der Datenlecks, in denen sie auftaucht, samt Jahr und Art der betroffenen Daten. Eine deutschsprachige Alternative ist der Leak-Checker des Hasso-Plattner-Instituts, der das Ergebnis per E-Mail an die geprüfte Adresse schickt.
So gehst Du dabei vor:
- Adressen sammeln: Notiere alle E-Mail-Adressen, die Du je für Logins genutzt hast, auch alte und private.
- Einzeln prüfen: Gib jede Adresse nacheinander in einen der Dienste ein.
- Treffer lesen: Achte darauf, welcher Dienst und welches Jahr betroffen sind und ob Passwörter im Spiel waren.
- Benachrichtigung aktivieren: Trag Dich für die kostenlose Warnung ein, damit Du bei neuen Leaks automatisch eine Mail bekommst.
Ein guter Passwort-Manager nimmt Dir diese Kontrolle teilweise ab und meldet von selbst, wenn eines Deiner gespeicherten Passwörter in einem bekannten Leak auftaucht. Das ist eine der praktischsten Funktionen, die in sicheren Passwörtern ohnehin steckt.
Was tun bei Betroffenheit
Ein Treffer ist ein Signal zum Handeln, kein Anlass für Panik. Wichtig ist die Reihenfolge, damit Du nicht hektisch das Falsche zuerst angehst und dabei den entscheidenden Schritt vergisst.
Beginne beim betroffenen Dienst und ändere dort sofort das Passwort. Falls Du dieselbe Kombination noch bei anderen Konten verwendest, ändere sie auch dort, denn genau auf diese Mehrfachnutzung zielen die Angreifer. Vergib jedes Mal ein eigenes, langes Passwort und verzichte auf ein abgewandeltes Schema, das ein Angreifer leicht durchschaut.
Danach kontrollierst Du das Konto auf Spuren fremder Aktivität. Konkret prüfst Du diese Punkte:
- Login-Verlauf: Gibt es Anmeldungen von unbekannten Geräten oder Orten?
- Hinterlegte E-Mail: Wurde die Adresse für die Passwort-Wiederherstellung heimlich geändert?
- Weiterleitungen: Leitet das Postfach plötzlich Nachrichten an eine fremde Adresse weiter?
- Verknüpfte Dienste: Hängen unbekannte Apps oder Logins am Konto?
Liegt das Leck bei einem Konto mit Kundendaten, kommt der Datenschutz ins Spiel. Wann eine Meldung an die Behörde nötig wird und welche Fristen gelten, klärt der Beitrag zur Meldepflicht bei einer Datenpanne.
Vorbeugen für die Zukunft
Du kannst nicht verhindern, dass ein fremder Anbieter gehackt wird. Du kannst aber dafür sorgen, dass ein einzelnes Leck nicht gleich Deine ganze digitale Existenz aufschließt. Drei Maßnahmen tragen dabei den größten Teil der Last.
Der erste Hebel ist ein Passwort-Manager, der für jeden Dienst ein eigenes, zufälliges Passwort erzeugt und speichert. Damit bleibt ein Leck auf genau ein Konto begrenzt und springt nicht weiter, weil keine zwei Konten dasselbe Passwort teilen. Du musst Dir nur noch ein einziges starkes Hauptpasswort merken.
Der zweite Hebel ist die Zwei-Faktor-Authentifizierung. Selbst wenn ein Passwort in einem Leck landet, fehlt dem Angreifer der zweite Faktor von Deinem Smartphone, und die Anmeldung scheitert. Wie Du das einrichtest, zeigt der Beitrag zur Zwei-Faktor-Authentifizierung.
Der dritte Hebel ist die Gewohnheit, regelmäßig zu prüfen und alte Konten zu schließen. Jedes Konto, das Du nicht mehr brauchst, ist eine offene Tür weniger. Trag Deine Hauptadressen bei einem Leak-Warndienst ein, damit Du bei neuen Vorfällen sofort erfährst, statt es zufällig zu entdecken.
Fazit
Datenlecks gehören zum Online-Alltag, und Du hast keinen Einfluss darauf, wann ein Anbieter getroffen wird. Worauf Du Einfluss hast, ist die Vorbereitung. Wer einmalige Passwörter, einen Manager und einen zweiten Faktor nutzt, übersteht ein Leck mit einem kurzen Passwortwechsel statt mit einem echten Schadensfall.
Prüf Deine wichtigsten Adressen noch heute bei einem der genannten Dienste. Die fünf Minuten geben Dir Klarheit, und der Rest ist Routine, die Dich künftig ruhig schlafen lässt.