Datenschutz-Akademie » Datenschutz-News » Collection #1 Hack – Das müssen Sie jetzt unternehmen
Collection #1 Hack – Das müssen Sie jetzt unternehmen
In Untergrundforen im Darknet tauchten dieser Tage 773 Mio. E-Mailadressen und 21 Mio. unterschiedliche Passwörter zu weltweit genutzten Onlinediensten auf. Die Liste der gestohlenen Nutzerinformationen ist laut Experten so aufgebaut, dass sie ideal für die Umsetzung des Hackerangriffs „Credential Stuffing“ (Anmeldedaten ausfüllen) geeignet sind.
In diesem Beitrag erfahren Sie, was Sie jetzt unternehmen müssen.
Hintergrund
Bei Credential Stuffing versucht der Angreifer über einen automatisierten Prozess Zugang zu einem Webdienst zu erlangen. Dazu füttert er per Softwareprogramm den Login-Mechanismus unterschiedlicher Webdienstes mit E-Mail- und Passwort-Kombinationen aus einer großen Nutzernamen-Passwort-Liste.
Collection #1 ist eine Datenquelle, die viele solcher Listen enthält. Sie beinhaltet fast 2,7 Milliarden Nutzernamen-Passwort-Kombinationen. Angreifer könnten sie nutzen, um massenweise Konten von Online-Webservices zu übernehmen und zu kontrollieren.
Dies ist vor allem deshalb so erfolgreich, weil viele Benutzer die gleichen Kombinationen von Mailadressen und Passwörtern für verschiedene Dienste wiederverwenden. Sie können daher Opfer von Zufallstreffern des Credential Stuffing-Angriffs werden.
Um sicher zu gehen, dass Ihre Konten nicht betroffen bzw. geschützt sind unternehmen Sie folgende Schritte:
1. Prüfen ob Sie von Collection #1 betroffen sind
Prüfen Sie auf dem Online-Dienst „Pwnd-Passwords“ ob Sie betroffen sind. Geben Sie dazu ihre als Nutzernamen genutzten E-Mailadresse in den Webdienst ein. Dann erhalten eine Information darüber, ob diese E-Mailadresse in Collection #1 oder ähnlicher Listen enthalten ist.
Keine Angst: dieser Dienst wird von Sicherheitsforschern betrieben und ist sicher!
2. Das Passwort ändern
Ändern Sie die Passwörter aller betroffenen Onlinedienste, in denen Sie eine korrumpierte Mailadresse als Anmeldenamen nutzen. Ändern Sie am Besten auch die Passwörter aller anderen Dienste, die Sie regelmäßig nutzen bzw. die sensible Daten beinhalten.
Zum ändern der Passwörter melden Sie sich in der Regel in dem jeweiligen Onlinedienst an. Dort ändern Sie in Kontoeinstellungen ihr Passwort.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
3. Sichere Passwörter verwenden
Verwenden Sie hierzu und ab jetzt sichere Passwörter. Ein sicheres Passwort ist möglichst lang. Sicherheitsforscher empfehlen eine Länge von mindestens 12 Stellen.
Zeichenketten innerhalb des Passwortes sollten nicht in Wörterbüchern vorkommen. Idealerweise besteht ihr Passwort aus großen und kleinen Buchstaben und Zahlen sowie ggf. 1-2 Sonderzeichen.
Ein sicheres Passwort erstellen Sie über die sogenannte Merksatzregel. Hierzu überlegen Sie sich einen Satz und erstellen durch die Kombination von Buchstaben innerhalb dieses Satzes das Passwort.
Ein Beispiel für einen Merksatz könnte wie folgt aussehen:
Ich möchte meine Onlinekonten demnächst sicherer machen und verwende dazu je Konto ein eigenes sicheres Passwort!
Verwendet man den jeweils ersten Buchstaben eines Wortes zur Erstellung des 16-stelligen Passwortes so würde dieses wie folgt lauten:
ImmOdsmuvdjKeesP!
Dieses Passwort ist nach heutigem Stand der Technik sicher und basiert auf den Empfehlungen der Sicherheitsexperten der NIST (National Institute für Standardisation, USA), die solche Empfehlungen mit weltweiter Gültigkeit erarbeiten.
4. Passwörter einfacher erzeugen und merken – digitale Tools nutzen
Es ist klar, dass die Merksatzregel zwar eingängig, aber für die Vielzahl heute genutzter Onlinedienste sehr aufwendig anzuwenden ist. Aus diesem Grund empfiehlt es sich, digitale Tools zur Verwaltung von Passwörtern zu nutzen.
Herauszuheben ist hier das kostenlose und vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlene Tool Keepass. Keepass ist für Windows, Mac OS, Linux, iOS und Android verfügbar.
Keepass kann für Sie sichere Passwörter generieren. Diese können Sie dann zusammen mit dem Nutzernamen eines Onlinedienstes in einem sicheren Passworttresor in Keepass speichern.
Loggen Sie sich in Zukunft in einem Webdienst ein, kopieren Sie einfach Nutzername und Passwort aus Keepass und verwenden diese Daten zum Login.
Zur Absicherung des Passworttresors benötigen Sie dann ein sehr sichereres Passwort. Erzeugen Sie dieses mit einem langen Satz auf Basis der obigen Merksatzregel. Notieren Sie sich dieses Passwort – und ggf. auch andere sehr wichtige Passwörter – auf einem Zettel und verwahren Sie diesen sicher, zum Beispiel in einem Tresor.
Tipp: sie können in Keepass auch PIN-Nummern Ihrer Bankkarten und andere schützenswerte Informationen speichern. Nutzen Sie diese Möglichkeit, um ihre sensiblen Daten zu schützen!
Was lernen wir aus dem Collection #1 Hack?
Es ist erneut bestätigt worden, dass absolute Sicherheit nicht existiert. Hacker sind aktiv wie eh und je und jeder Onlinedienst ist potenziell gefährdet, gehackt zu werden.
Dennoch liegt es auch an uns, die eigenen Konten und Daten so gut wie möglich vor Angriffen zu schützen. Folgende Punkte können uns dabei leiten:
- Wählen Sie genutzte Onlinedienste sorgfältig aus. Nutzen Sie zum Testen eines Dienstes zum Beispiel Wegwerf-E-Mail-Adressen die sie nur einmal verwenden.
- Nutzen Sie für jeden Onlinedienst idealerweise eine eigenständige Kombination aus Benutzername und Passwort
- Ändern Sie regelmäßig ihre Passwörter. Nutzen Sie zum Management der Vielzahl sicherer Passwörter einen Passwort-Tresor wie Keepass
- Nutzen Sie wenn möglich die 2-Faktor-Authentifizierung zum Schutz ihres Onlinekontos
- Schützen Sie Ihre Kinder im Internet indem sie ihnen eine E-Mail-Adresse erstellen, die nicht auf die Identität des Kindes schließen lässt.
Auch Anbieter von Onlinediensten stehen in Zukunft vor enormen Herausforderungen, die Sicherheit von Kundendaten zu gewährleisten.
Grundlegende Sicherheitsmängel wie im Fall Knuddels.de müssen vermieden werden. Es bedarf weiterer Standards, die die Sicherheit von Onlinediensten zukünftig branchenübergreifend verbindlich regeln.
- Compliance Management im Unternehmen - 13. März 2023
- Das Lieferkettengesetz (LkSG) - 2. Januar 2023
- Hamburg verhängt Datenschutz-Bußgeld gegen Facebook - 18. Februar 2020