Und wieder schafft es ein Sicherheitsvorfall in die Presse (u.a. Hier oder Hier): In den sogenannten Collection #1 bis #5 haben Cyber-Kriminelle insgesamt 2.2 Milliarden E-Mail-Adressen und Kennwörter, teilweise mit weiteren Daten wie Kreditkartennummer, Vorname, Nachname und Geburtstag zusammengetragen.
Dann hört man „Die Internetseiten sind doch eh per https verschlüsselt“ oder „aber das betrifft uns in der Firma doch nicht. Wir haben für den Zugang von zu Hause oder unterwegs unsere zwei-Faktor-Authentifikation mit RSA … ” oder ähnliches.Das ist nur zum Teil korrekt. Richtig ist, dass sich niemand nur mit einem Kennwort von Außen in ein entsprechend abgesichertes Firmennetzwerk einloggen kann.Allerdings verwendet man an vielen Stellen eine Anmeldung mit Benutzername und Passwort – und insbesondere im privaten Umfeld ist diese Art der Anmeldung der Standard:
- Firmenportale bei VMWare, Cisco, Checkpoint, etc.
- Social Network Facebook, etc.
- Amazon & Co.
- privates E-Mail Konto bei GMX, web.de, google, etc.
- Cloudspeicher Dropbox, etc.
Ob die eigene Identität von dem Leck betroffen ist, kann man mit dem “Identity Leak Checker” des Hasso-Plattner-Institus unter https://sec.hpi.de/ilc/search prüfen. Dort einfach dienstlichen und/oder private E-Mail-Adresse eingeben und prüfen lassen. Der Checker durchsucht darauf seine Datenbank und sendet an die angegebene E-Mail-Adresse einen Report über die gefundenen Daten (natürlich ohne Passwörter).
Und wenn diesen Beitrag so weit gelesen hat, möchte ich euch noch zwei Tipps mit auf den Weg geben:
1. In den (fast) unendlichen Weiten des Internets gibt es sicherlich auch “Identity Leak Checker”, die neben der E-Mail-Adresse auch die Eingabe des Passworts verlangen. Deren Nutzung ist natürlich keine gute Idee!
2.Man kann es den Bösen Buben deutlich schwerer machen, wenn man für jedes Konto bei einem Anbieter ein anderes Kennwort vergebt. Da man sich dutzende von Passwörtern nicht merken kann, empfiehlt sich die Nutzung eines Passwort-Managers, wie er z.B. im Firefox oder in Chrome eingebaut ist. Aber bitte unbedingt den Passwort-Manager mit einem guten Passwort schützen!
3. Zusätzlich hierzu kann man auch privat mit Zweifaktor Authentifizierung arbeiten wie z.B. mit der App basierten Lösung Authy oder einem Hardwarebasierten Yubikey.
Wer darüberhinaus noch wissen möchte wie man unseriöse Websites erkennt kann meinen anderen Beitrag zu dem Thema (nochmal) durchlesen.