Tool-Tipp

Wurde mein Account gehackt? Mit diesen Websites findest du es heraus

Login-Feld. (Foto: Shutterstock)

Immer wieder entwenden Kriminelle Zugangsdaten von Websites und stellen sie ins Web. Wir stellen euch drei Websites vor, mit denen ihr prüfen könnt, ob einer eurer Accounts davon betroffen ist.

Immer wieder können kriminelle Hacker Login-Informationen wie E-Mail-Adressen und Passwörter erbeuten. Diese Daten werden dann bisweilen auch ins Netz gestellt. Für andere Kriminelle sind diese Informationen äußerst hilfreich, da leider nach wie vor viele Nutzerinnen und Nutzer dieselben Passwörter für verschiedene Plattformen nutzen. Das zeigte sich beispielsweise nach dem massiven Passwortdiebstahl bei Yahoo aus dem Jahre 2013. Damals verglich der Sicherheitsexperte Troy Hunt die Login-Daten mit denen aus einem Datenleak bei Sony aus dem Jahr 2011. Das Ergebnis: 60 Prozent von denen, die bei Yahoo und Sony ein Konto hatten, nutzten für beide Dienste dasselbe Passwort.

Bin ich betroffen von dem Hack? Diese Websites helfen dabei, die Frage zu beantworten

Have i been pwned?

Diese Seite zeigt euch, ob euer Account beispielsweise vom Adobe-Hack betroffen ist. (Screenshot: Have i been pwned?)

Damit Nutzer sich vielleicht etwas mehr Gedanken über ihre Passwörter machen und natürlich, um auf einfache Weise festzustellen, ob vielleicht sogar einer der eigenen Accounts gehackt wurde, hat Hunt die Website Have i been pwned? (HIBP) ins Leben gerufen. Hier geben Nutzer ihre E-Mail-Adresse ein, die dann mit den Adressen in den veröffentlichten Listen verglichen wird. Anschließend zeigt euch die Website, bei welchen Datenleaks die Adresse betroffen war und welche Art von Daten jeweils entwendet wurde. Außerdem könnt ihr auch gezielt nach Passwörtern suchen. Aktuell verfügt die Datenbank über die Login-Daten von mehr als 5 Millionen Nutzern.

An der Stelle muss erwähnt werden, dass Dienste wie HIBP zumindest theoretisch dafür genutzt werden könnten, um tatsächlich genutzte E-Mail-Adressen aus den Datenbanken zu ermitteln. So könnte ein Hacker die notwendige Rechenkraft zum Entschlüsseln eines Passwortes gezielter einsetzen. Von unbekannten Diensten, die eine ähnliche Funktion wie HIBP anbieten, solltet ihr daher im Zweifel die Finger lassen. Hunt ist allerdings ein angesehener Sicherheitsexperte und sein Dienst wird mittlerweile beispielsweise von Mozilla und dem Passwortmanager 1Password genutzt, um User zu warnen, wenn ihre Login-Daten kompromittiert wurden.

So könnt ihr eure E-Mail-Adresse bei Have i been pwned sperren:

HIBP bietet euch die Möglichkeit, Abfragen eurer E-Mail-Adresse grundsätzlich zu unterbinden. Dazu müsst ihr dieses Opt-out-Formular nutzen. Dann kann über HIBP oder per API angeschlossene Dienste nicht mehr nach eurer Adresse gesucht werden. Aber Achtung: Kriminelle Hacker hält das natürlich nicht davon ab, gestohlene Login-Daten von euch zu verwenden. Der Dienst erteilt nur keine Auskunft mehr darüber, von welchen Datenleaks eure Adresse betroffen ist.

Identity Leak Checker

Deutschsprachiger Dienst: Der Identity Leak Checker wird vom Hasso-Plattner-Institut betrieben. (Screenshot: sec.hpi.uni-potsdam.de)
Deutschsprachiger Dienst: Der Identity Leak Checker wird vom Hasso-Plattner-Institut betrieben. (Screenshot: sec.hpi.uni-potsdam.de)

Eine Alternative zum US-Dienst HIBP stellt der Identity Leak Checker des Hasso-Plattner-Instituts dar. Die private Fakultät gehört zur Universität Potsdam und wird von der gemeinnützigen Stiftung des namengebenden SAP-Gründers finanziert. Zum jetzigen Zeitpunkt ist der Datenbestand des Identity Leak Checkers ein wenig umfangreicher als der von HIBP.

Auch beim Identity Leak Checker müsst ihr eure E-Mail-Adresse angeben, um darüber informiert zu werden, ob eure Login-Daten von einem Datenleck betroffen sind. Im Gegensatz zu HIBP wird das Ergebnis der Abfrage allerdings nicht auf der Website angezeigt, sondern euch per Mail zugeschickt. So soll sichergestellt werden, dass nur die eigentlichen Besitzer der Adressen Auskunft erhalten. In der Mail erfahrt ihr dann auch, welche Daten betroffen sind und könnt sehen, ob neben Passwort auch beispielsweise Name, Anschrift, Telefonnummer, Bankdaten oder andere persönliche Informationen von euch entwendet wurden.

Firefox Monitor

Kooperation mit Have i been pwned: Firefox Monitor überprüft, ob ihr von einem Datenleck betroffen seid. (Screenshot: Mozilla)
Kooperation mit Have i been pwned: Firefox Monitor überprüft, ob ihr von einem Datenleck betroffen seid. (Screenshot: Mozilla)

Firefox Monitor greift auf den Datenfundus von HIBP zurück. Die Ergebnisse sind dementsprechend identisch. Auch hier könnt ihr durch die Angabe eurer E-Mail-Adresse prüfen, ob eure Login-Daten gestohlen und veröffentlicht wurden. Außerdem könnt ihr eure E-Mail-Adresse hinterlassen, um über zukünftige Datenleaks informiert zu werden.

Da Mozilla und dem HIBP-Betreiber Hunt klar ist, dass auch die Angabe der eigenen E-Mail-Adresse an sich ein Datenschutzproblem darstellt, wird sie nicht direkt zur Abfrage verwendet. Stattdessen generiert der Firefox Monitor per JavaScript einen Hashwert aus der Adresse und sendet davon nur die ersten sechs Zeichen an die HIBP-API. Anschließend sendet die API alle Datensätze zurück, die mit demselben Wert beginnen. Erst in eurem Browser werden diese dann mit dem vollständigen Hashwert abgeglichen und ihr bekommt das Ergebnis präsentiert.

Auch wenn ihr nicht von Datenlecks betroffen seid, solltet ihr einen Blick auf die folgenden zwei Artikel werfen:

Veröffentlichungsdatum des Original-Artikels: 5. Dezember 2013

Bitte beachte unsere Community-Richtlinien

8 Reaktionen
borisch

Hat nicht Heise.de genau die gleiche Liste veröffentlicht, die am Tag vorher vom BSI veröffentlicht wurde? Die haben den BSI wenigstens noch erwähnt und verlinkt, ihr habt einfach nur die Liste mit euren Texten geposted. So kann man es natürlich auch machen, ist halt nur peinlich wenn es jemanden auffällt.

Antworten
Samuel

Eine Online-Abfrage, ob die eigenen Daten vielleicht gehackt wurden, erübrigt sich, wenn man einen möglichst fantasievollen Benutzernamen und ein, von ein von einem Passwortmanager generiertes Kennwort wählt (15 - 20 Zeichen).
Es gibt immer noch User, die für Ihr Passwort den eigenen Namen oder Namensteile verwenden. Solche sind natürlich für jeden Hacker ein gefundenes Fressen.

Antworten
vmoench

Sind wir jetzt alle paranoid? Dann nehmen sie meine Adresse eben für Spam. Was soll's. Keinen Spam in der Inbox zu haben, ist doch wohl heutzutage keine Hexenwerk mehr. Aber wenn der Service funktioniert, finde ich da eine gute Sache. Meine Adresse können sie haben.

Antworten
HDH

Genau,
hier kann ich mich schnell und einfach für alle Newsletter und Spam-Mails eintragen.
TOLL!!!!

Antworten
nk

Und die sind schon ein Teil eines Authentifizierungsdatensatzes @Lug. Vom Spam-Problem ganz zu schweigen.

Antworten
Lug

Was habt ihr alle? Man gibt doch gar keine Passwörter preis. Lediglich seine E-Mail Adresse.

Antworten
Doni

Lol ... damit sammelt man dann wohl die noch fehlenden Passwörter ein

Antworten
Benny Lava

"Wurde dein Bankkonto gehackt?
Finde es heraus. Tippe einfach dein Banklogin, dein Passwort und 10 TANs hier ein."

Aber mal im Ernst. Ich würde meine Daten nicht auf so einer Webseite eingeben. Schneller kommt man ja nicht an einen Haufen funktionierender E-Mailadressen kommen.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung