Datensicherheit

Was Sie tun können, wenn Ihr Passwort geklaut wurde

18.2.2022 von Stefan Schasche

Immer wieder werden bei Leaks Kundendaten gestohlen. Wie Sie herausfinden, ob auch Sie betroffen sind, und was Sie im Notfall tun können, lesen Sie hier.

ca. 6:20 Min
Ratgeber
VG Wort Pixel
Passwort-Manager Test 2021
So schützen Sie sich und Ihre Daten von Hackerangriffen.
© Song_about_summer / shutterstock.com

Immer wieder liest man von erfolgreichen Hackerangriffen, bei denen riesige Datenmengen entwendet wurden. Die Liste der weltweit größten Leaks ist lang: Ob Adobe, Dropbox, LinkedIn, eBay, Yahoo, Foodora oder Marriott – häufig fielen dabei meist gleich etliche Millionen E-Mail-Adressen, Passwörter und andere Nutzerdaten in kriminelle Hände. Welche Folgen kann das für Sie haben, und wie finden Sie überhaupt heraus, ob Ihre Daten eventuell bereits im Internet kursieren?

Nehmen wir als Beispiel das Datenleck des Lieferdienstes Foodora im April 2016, bei dem die Daten von knapp 700.000 Nutzern gestohlen wurden: neben Passwörtern und E-Mail-Adressen auch Vor-und Nachnamen sowie die Telefonnummern der Kunden. Bei derartigen Datenlecks entwendete Dateien werden in aller Regel im Darknet zum Verkauf angeboten. Phishing-Mails basieren oft auf im Internet kursierende Datensätze.

Problematischer wird es allerdings dann, wenn die entwendeten Passwörter in Kombination mit der jeweiligen E-Mail-Adresse eben nicht nur bei Foodora, sondern auch an anderer Stelle im Web eingesetzt worden sind. Dann wird die Angelegenheit für die Nutzer sehr schnell sehr gefährlich und möglicherweise auch sehr teuer.

HPI-Web-1-
Auf der Seite des Hasso-Plattner-Instituts können Sie gezielt nach Leaks suchen, die Ihre E-Mail-Adresse(n) betreffen.
© Screenshot und Montage: PC Magazin

Wurden meine Daten gestohlen? Es gibt zwei Webseiten, die Ihre erste Anlaufstelle sein sollten, wenn Sie befürchten, dass Ihre Daten möglicherweise gestohlen worden sind. Dabei handelt es sich zum Einen um den Identiy Leak Checker des renommierten Hasso-Plattner-Instituts, den Sie unter sec.hpi.de/lic aufrufen können. Dort geben Sie einfach die E-Mail-Adresse ein, die Sie überprüfen möchten.

Anschließend erhalten Sie in wenigen Sekunden einen detaillierten Report direkt an eben diese Adresse, die darüber Auskunft gibt, von welchen Leaks die Adresse betroffen war und welche Daten genau entwendet wurden. Wie ein solcher Report genau aussieht, zeigen die Bilder weiter unten im Artikels. Zugleich erhalten Sie kurze Vorschläge zu den Maßnahmen, die Sie nun ergreifen sollten, um die Folgen dieses Diebstahls zu minimieren.

Eine englischsprachige Alternative zur Webseite des Hasso-Plattner-Instituts ist die Webseite haveibeenpwned.com Hier kommt das Ergebnis nicht per Mail ins Postfach, sondern die Leaks werden direkt auf der Webseite angezeigt und detailliert erläutert. Die Reports sind sehr ausführlich und liefern auch Hintergründe zu den diversen Datenleaks. Wir empfehlen an dieser Stelle ausdrücklich, Ihre gesamten E-Mail-Adressen nacheinander zu überprüfen.

haveIBeenPwned-1-
Über die Website Have I been pwned finden Sie heraus, ob Ihre E-Mail-Adresse(n) oder Telefonnummer(n) Opfer eines Datendiebstahls geworden sind.
© Screenshot und Montage: PC Magazin

Oftmals werden Sie nämlich nicht einmal wissen, dass Ihre Adressen und möglicherweise auch andere Ihrer Daten im Netz kursieren. Schauen Sie also lieber einmal zu oft als einmal zu wenig auf einer dieser beiden Seiten nach, und tun Sie das am besten regelmäßig. Sind Sie Google-Nutzer, und das dürfte sehr wahrscheinlich sein, können Sie sich von Google übrigens automatisch informieren lassen, wenn von Ihnen gespeicherte Passwörter im Netz gefunden worden sind.

Dazu loggen Sie sich im Chrome-Browser in Ihr Google-Konto ein und gehen auf den Menüpunkt Sicherheit in der linken Leiste. Klicken Sie auf den Eintrag Passwortmanager und dann auf das kleine Zahnrad rechts oben. Aktivieren Sie hier den Menüpunkt Passwort-Warnungen, und Sie erhalten künftig automatische Benachrichtigungen bei einem Diebstahl eines Ihrer Passwörter. Das Ganze funktioniert natürlich nur, wenn Sie Ihre Passwörter auch mit Google verwalten.

Sichere Passwörter verwalten

Relativ entspannt können Sie bei einem Datenleck sein, wenn Sie für jeden Zugang und für jedes Internetkonto unterschiedliche Passwörter nutzen. Das dürfte dann der Fall sein, wenn Sie einen Passwortmanager nutzen, auf die wir gleich noch genauer eingehen werden. In diesem Fall müssen Sie lediglich das Passwort bei dem Dienst ändern, bei dem das Leak aufgetreten ist.

Viele Anwender nutzen Passwörter, die je nach Internetzugang nur leicht variieren. Ein Beispiel dafür wäre folgendes: Für Amazon gilt das Passwort Spinatwachtel4Ama, für Ebay Spinatwachtel4Eba und für Apple Spinatwachtel4App. Der Vorteil dieses Systems ist, dass man sich im Grunde nur ein einziges Passwort merken muss und dennoch verschiedene Passwörter einsetzt.

Allerdings raten wir dringend von dieser Methode ab, denn gute Hacker sind selten doof und durchschauen dieses primitive System sehr schnell. Es ist ein Leichtes, die Kombination aus E-Mail-Adresse und angepasstem Passwort auf etlichen Websites auszuprobieren. Sichere Passwörter sehen ganz anders aus. Möchten Sie kein Passwortprogramm nutzen, gibt es die bewährte Buch-Methode, mit der Sie garantiert sichere Passwörter generieren.

Wählen Sie dazu ein beliebiges Buch, und nehmen Sie die Anfangsbuchstaben der Wörter einer belieben Zeile. Das ist Ihr Passwort. Notieren Sie am Rand neben der Zeile, für welches Konto beziehungsweise für welche Webseite das Passwort gilt. Wählen Sie für die anderen Passwörter andere Zeilen, und Sie haben ein absolut sicheres Passwortsystem. Das Buch müssen Sie natürlich an einem sicheren Ort aufbewahren.

Das Hauptproblem ist natürlich: ohne Buch kein Zugang. Besonders für mobile Anwender ist das also ebenso wenig eine praktikable Lösung wie irgendwelche Heftchen, in denen die Passwörter handschriftlich notiert werden. Weit besser ist da die Verwendung eines der zahlreich angebotenen Passwortmanagers, die ihrerseits über einen Passwortgenerator verfügen.

Dieser erzeugt auf Knopfdruck willkürliche Passwörter von gewünschter Länge, mit oder ohne Zahlen und Sonderzeichen. Merken kann sich diese Passwörter niemand; aber dafür gibt es ja den Passwortmanager, der seinerseits über ein möglichst schwieriges und langes Passwort vor Zugriffen Dritter geschützt sein muss. Einige Passwortmanager lassen es zu, dieses immens wichtige Masterpasswort per 2-Faktor-Authentisierung besonders zu schützen.

Wenn sich ein neues und bislang unbekanntes Gerät beim Manager anmeldet, wird ein zweiter Faktor zusätzlich zum Masterpasswort abgefragt. Das kann beispielsweise ein Einmalcode sein, der per SMS aufs Smartphone geschickt wird, oder es wird ein Hardware-Token wie der YubiKey verwendet. In der letzten Ausgabe der PCgo haben wir eine ganze Reihe dieser Programme getestet, und Sie können dort nachlesen, welche besonders empfehlenswert sind und von welchen wir eher abraten.

img-products-YK5-family-1-
Das YubiKey-Portfolio umfasst mehrere Devices mit diversen Ports und Funktionen.
© Yubico

Wenn Sie das Heft nicht zur Hand haben: Ganz vorn landeten Lastpass Premium sowie Bitwarden Premium, doch auch 1Password, KeepassXC sowie NordPass schnitten mit guten Testurteilen ab. Eine 2-Faktor-Authentisierung per YubiKey erlauben beispielsweise Bitwarden, 1Password sowie KeepassXC.

Auch die Passwortmanager von Google, Apple oder das Plug-in Lockwise für den Firefox sind sichere und komfortable Helfer, wenngleich sie es vom Leistungsumfang nicht mit den Spezialprogrammen aufnehmen können. Zudem möchte nicht jeder seine gesammelten Passwörter bei einem der Datenriesen ablegen. Passwortgeneratoren haben die Manager von Google oder Apple übrigens ebenfalls an Bord.

HPI-Leaks-1-
Über die Webseite des Hasso-Plattner-Instituts können Sie nach Leaks suchen, die Ihre Mail-Adresse betreffen. Das Ergebnis landet in Ihrem E-Mail-Postfach.
© Screenshot und Montage: PC Magazin

2-Faktor-Authentisierung

Absolut beruhigt können Sie bei einem Passwortverlust aufgrund eines Datenlecks sein, wenn der betreffende Zugang mithilfe eines zweiten Faktors geschützt worden ist. Ein Beispiel für eine alltägliche 2-Faktor-Authentisierung ist das Abheben von Bargeld am Bankautomaten: Der Kunde muss hier als ersten Faktor die Karte einschieben und andererseits unabhängig davon als zweiten Faktor eine PIN-Nummer eingeben.

Im Web besteht der erste Faktor in aller Regel aus der Eingabe eines Nutzernamens sowie eines Passwortes. Anders als Banken bieten die meisten normalen Websites keine Möglichkeit, den Zugang durch einen weiteren Faktor abzusichern. Allerdings gehen immer mehr, vor allem große Dienste mit vielen Kunden, dazu über, eine 2-Faktor-Autorisierung anzubieten.

Zu diesen Diensten gehören beispielsweise Amazon, Google, eBay, Apple, Microsoft, Slack, Reddit, WhatsApp, Instagram, Dashlane, Twitter, PayPal, Dropbox, LinkedIn, Snapchat oder Facebook. Je nach Anbieter und Vorliebe des Anwenders kann der zweite Faktor neben dem Passwort als Faktor eins aus einem Hardware-Token, einem biometrischen Faktor wie einem Fingerabdruck- oder Iris-Scan oder aus einem zeitlich begrenzten Einmalcode bestehen, der per E-Mail oder SMS an den Kunden versendet wird.

Google-Passwortmanager-1-
Der Google Password-Manager schickt Ihnen auf Wunsch eine Warnung, wenn eines Ihrer Passwörter geleakt wurde.
© Screenshot und Montage: PC Magazin

Dieser Code wird dann nach dem Passwort in ein zweites Feld eingegeben. Eine weitere Möglichkeit ist die Nutzung einer App wie Authy, Duo Mobile, Lastpass Authenticator, oder 2FA Authenticator. Diese App wird zuvor beim Dienst registriert. Anschließend erscheint in der App bei jedem Log-in auf der betreffenden Website ein Code, der wenige Sekunden Gültigkeit hat und auf der Webseite des Dienstes eingegeben werden muss.

Geschieht das nicht rechtzeitig, oder ist der Code falsch, ist ein Log-in nicht möglich. Wie oben bereits gesagt, bieten die diversen Anbieter unterschiedliche Methoden zur 2-Faktor-Authentisierung an. Google erlaubt die Nutzung des YubiKey. Dieser wird in den USB-Port Ihres Rechners eingesteckt und dann in den Google-Konto-Einstellungen registriert.

Künftig können Sie sich mit diesem zweiten Faktor in Ihr Google-Konto einloggen, wenn der Stick eingesteckt ist. Er funktioniert also quasi wie ein Fingerprint-Sensor an einem Notebook, der nach der Eingabe des Passwortes als zweiter Faktor zum Tragen kommt. Amazon hingegen arbeitet nicht mit Hardware-Tokens sondern mit Codes, die per App an das Smartphone geschickt oder in einer Authentisierungs-App erzeugt werden.

Zudem lassen sich vertrauenswürdige Geräte anlegen, in denen keine Codeeingabe erforderlich ist. Auch wenn die Methoden sich unterscheiden, so empfehlen wir dringend, die 2-Faktor-Authentisierung vor allem dort anzuwenden, wo sensible Daten von Ihnen gespeichert sind. Dazu gehören auf jeden Fall Händler wie Amazon und Bezahldienste wie PayPal.

Google Konto aufräumen: Großputz im Google-Konto

Praxis-Tipps

Google-Konto aufräumen & effizienter nutzen

Ein Konto bei Google: Fast jeder hat eins, aber kaum jemand macht sich die Mühe, genauer hinzusehen, was damit machbar und möglich ist. Dabei bietet…

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

Passwort vergessen - Knack-Tools

Datenschutz

Sichere Passwörter: Das müssen Sie wissen!

Ein sicheres Passwort ist komplex und auch ein bisschen lästig – aber letztendlich unverzichtbar. Lesen Sie, wo Sie welche Passwörter einsetzen…

Der beste Virenscanner - laut unserer Kundenumfrage

Kundenzufriedenheit

Der beste Virenscanner - laut unserer Kundenumfrage

Viren, Malware oder Würmer bedrohen unsere Rechner seit Jahr und Tag. Welches Antivirus-Tool seine Aufgabe am besten erledigt, verrät unsere…

Ransomware-shutterstock_1377441611-1-

Desktop & Software

Ransomware - so kommen Sie wieder an Ihre Daten

Kein Dokument lässt sich öffnen und kein Bild betrachten; stattdessen finden Sie Erpresserbriefe vor. Ransomware – so kommen Sie wieder an Ihre Daten!

PrivadoVPN-macOS

Anzeige Internetsicherheit

PrivadoVPN - Ihr Bodyguard im Netz

Den VPN-Anbieter PrivadoVPN können Sie jetzt auch mit Krypto-Währung bezahlen und so absolut anonym im Netz surfen. Wir stellen den Anbieter vor.

Passwort-Manager Test 2021

Online-Sicherheit

Apple, Google und Microsoft fördern Login ohne Passwort

Große Unternehmen wie Apple, Google und Microsoft wollen zukünftig den Login ohne Passwort fördern. Als Alternative soll der erweiterte FIDO-Standard…