Webtipp: Wurde Ihre Mailadresse schon geklaut?

Online-Kriminelle konnten sich via Sicherheitslücken oder über Phishing in den letzten Jahren in hunderte Datenbanken einschleichen. Betroffen waren und sind weiterhin viele Online-Shops, manche Foren und sonstige Onlinedienste, bei denen sich viele Kunden- oder Nutzerlogins versammeln. Schafft ein Krimineller den Zugriff auf diese Datenbanken, greift er alles ab, was er finden kann: E-Mail-Adressen, verschlüsselte und unverschlüsselte Passwörter, teils sogar Postadressen, Geburtsdaten, Kreditkartendaten und mehr.

Die Datenbanken werden von ihm und anderen Gaunern für Verschiedenes missbraucht, so etwa das Senden von Spam, Verbreiten von Schädlingen, Phishing-Mails, Identitätsdiebstahl für Onlinebetrug und sonstiges. Ausserdem werden solche Datenbanken teils im Darknet an andere Kriminelle verkauft.

Es gibt inzwischen mehrere Gratis-Dienste, die es sich zur Aufgabe gemacht haben, solche Datenbanken zu suchen und die Nutzer zu warnen, sobald ihre Mailadresse in einem Hack auftaucht. Sie können bei diesen Diensten direkt abfragen, ob und wann Ihre Mailadresse einem der bisher bekannten Onlineraubzüge zum Opfer gefallen ist. Wir schauen uns ein paar dieser Dienste an und testen diese stichprobenartig anhand von neun privaten und geschäftlichen Mailadressen.

Wichtig zu wissen: Die Dienste haben gemeinsam, dass sie nur mitteilen, ob die Mailadresse bei einem Hack geklaut wurde – und wenn ja – in welchem. Die Dienste geben keine sonstigen Daten preis, die mit dem Hack im Zusammenhang standen, also keine Passwörter, Kreditkartendaten oder ähnliches. Die einen zeigen das Resultat direkt an, die anderen schicken per E-Mail einen Report an die abgefragte Mailadresse.

Wer liefert die meisten Resultate? Welche zwei Dienste ergänzen sich unter Umständen am besten?

Der Firefox Monitor nutzt primär die Daten des Dienstes «Have I been pwned?», der vom australischen Microsoft-Mitarbeiter Troy Hunt ins Leben gerufen wurde. Das «pwned» ist eine ironische Hacker-Verballhornung von «owned», was etwa «vereinnahmt» oder «eingesackt» bedeutet. Die Abfrage in https://monitor.firefox.com/ und https://haveibeenpwned.com/ dürfte also auch in Ihrem Fall weitgehend identische Resultate liefern. Eine von uns getestete GMX-Adresse wurde in beiden mit dem gleichen Databreach gefunden. Eine andere steckte in zwei so genannten «pastes», zu Deutsch etwa «Einfügungen». Das sind meist anonym auf Datentauschportalen wie «pastebin.org» hochgeladene Listen mit Mailadressen und sonstigen Daten. Bei diesen ist meist nicht klar, ob sie tatsächlich aus Hacks stammen, ob es wild zusammengesammelte Adressen sind oder ob es sogar erfundene Daten mit zufälligen Übereinstimmungen sind. Laut «Have I been pwned?» können solche Pastes aber durchaus Hinweise darauf sein, dass wieder Daten aus einem Onlinedienst geklaut wurden.

Bei beiden Diensten geben Sie die Mailadresse ein und klicken auf den Button Auf Datenlecks überprüfen bzw. «pwned?». Das Resultat wird sofort angezeigt. Aufgepasst: Bei «Pastes» zeigt sich ein kleiner, aber wichtiger Unterschied zwischen der Original-HIBP-Webseite und dem Firefox-Monitor. Letzterer berücksichtigt keine Pastes, weshalb HIBP etwas mehr Infos liefert.

Ein anderes Abfragetool heisst HPI Identity Leak Checker und steht beim deutschen Hasso Plattner Institut (HPI) zur Verfügung: https://sec.hpi.de/ilc/. Es basiert auf anderen Daten als das Tool von Troy Hunt.

Das vierte im Bunde der Abfragetools ist der Identity Theft Checker der finnischen Antiviren-Experten F-Secure. Auch hier tippen Sie die Mailadresse ein und klicken auf Auf Datendiebstahl prüfen. Wenn die Adresse in keiner Datenbank gefunden wurde, meldet der Checker dies sofort und verzichtet auf den Versand eines E-Mail-Berichts. Falls die Mailadresse gefunden wird, stellt der Dienst an diese einen «Datenpannenbericht» zu. Sie finden diesen Dienst hier in Deutsch: https://www.f-secure.com/de/home/free-tools/identity-theft-checker

Nicht zuletzt bietet auch MELANI (Melde- und Analysestelle Informationssicherung der Schweiz) zusammen mit dem Schweizer GovCERT (Computer Emergency Response Team) ein Onlinewerkzeug, über das Sie abfragen können, welche Ihrer Mailadressen als Login-Bestandteil gefährdet sein könnten. Das funktioniert laut MELANI etwas anders als die obigen Dienste. Das Checktool erhält von verschiedenen Quellen Hinweise darüber, mit welchen Mailadressen sich jemand bei anderen Diensten einzuloggen versucht. Hier das Tool: https://www.checktool.ch/ und hier der Link zur zugehörigen FAQ.

Welchen nehmen? Wir haben im Sinne einer Stichprobe neun unserer Mailadressen geprüft. Fünf davon wurden offenbar noch in keinem Hack an Land gezogen. Vier davon wurden von mindestens einem der Prüfdienste in einer Datenbank aufgestöbert. Interessant: Wenn eine der Adressen in einem Dienst gefunden wurde, gehörte immer auch «Have I been pwned?» zu den Trefferlieferanten. Die zweitmeisten Daten hat der Firefox Monitor gefunden, der (mit Ausnahme der Pastes) auf denselben Daten wie HIBP basiert. Der HPI Identity Leak Checker wurde einmal mehr fündig als der bei unserer Stichprobe viertplatzierte Dienst von F-Secure. Nur das MELANI Check Tool fand bei keiner Mailadresse ein Problem.

Unsere Empfehlung: Prüfen Sie Ihre Mailadresse primär anhand von «Have I been pwned?». Holen Sie allenfalls noch via HPI Identity Theft Checker eine zweite Meinung ein. Beim Firefox Monitor können Sie sich zudem registrieren, um sich später automatisch informieren zu lassen, falls Ihre Adresse in einem neuen Hack, Paste oder Databreach auftaucht.

Was tun, wenn die Adresse gefunden wurde? Bloss keine Panik. Es bedeutet normalerweise nicht, dass Ihr «Mailkonto gehackt» wurde oder ähnliches. Es bedeutet nur, dass Sie die besagte Mailadresse irgendwann einmal benutzt haben, um sich in einem Dienst oder Shop zu registrieren. Diesem Dienst oder Shop wurden danach durch Angreifer Daten geklaut, zu denen auch Ihre Mailadresse und vielleicht noch weitere Daten gehören, die mit Ihrem dortigen Kunden- oder Nutzerkonto zusammenhängen. Ändern Sie sicherheitshalber beim betroffenen Shop oder Dienst Ihr Passwort. Ändern Sie es auch auf anderen Websites, Shops oder Diensten, bei denen Sie dasselbe Passwort verwendet haben. Der wichtigste Tipp: Verwenden Sie dasselbe Passwort niemals für mehr als einen Dienst/Shop.

Tipps zum sicheren Umgang mit Passwörtern sowie Links zu Passwortverwaltungs-Tools finden Sie in «Sicheres Passwort – die fünf Gebote».