Unerwünschte Nachrichten im Postfach gibt es beinahe so lange, wie Computer miteinander vernetzt sind. Die erste Quasi-Spam-Mail wird zum Beispiel schon 1978 an ein paar Hundert Adressen verschickt. Und das nur neun Jahre, nachdem ausgewählte Rechner über den Internet-Vorläufer Arpanet verknüpft worden waren. Eine allgemeingültige Lösung für das Spam-Problem gibt es bis heute nicht.

Dabei ist das Empfangen von Werbe-Mails, die man nicht bestellt hat, noch eines der harmloseren Beispiele für Cyberkriminalität. Denn mit persönlichen Daten wie Mail- oder Postadressen, Namen oder Geburtsdaten lassen sich weitaus mehr Schaden anrichten. Selbst wenn man über die verschiedenen Arten des Phishing Bescheid weiß, komplexe Passwörter in einem Passwortmanager sichert und sein Antivirusprogramm immer auf dem neuesten Stand hält, kann man durch Hacks Opfer von Identitätsbetrug werden.

Aber wie kann man überhaupt herausfinden, ob Hacker:innen persönliche Daten abgegriffen und an den Meistbietenden verkauft haben? Wir stellen die wichtigsten Tools vor.

Die erste Anlaufstelle für eine Leak-Recherche ist in vielen Fällen Haveibeenpwnd. Die Internetseite, die seit 2013 vom Sicherheitsforscher Troy Hunt betrieben wird, sammelt größtenteils verifizierte Datenlecks und Hacks und legt die dazugehörigen Mailadressen und den jeweils betroffenen Dienst auf einem Azure-Server ab. Mittlerweile führt die Seite eigenen Angaben zufolge etwa 15 Milliarden Datensätze von rund 900 betroffenen Seiten.

Ist die eingegebene Mailadresse betroffen, zeigt die Seite nicht nur Details zum jeweiligen Hack an, sondern auch die betroffenen Datentypen. Das macht es leichter, Gegenmaßnahmen zu ergreifen. Sind beispielsweise Mailadresse und Passwort betroffen, sollte man letzteres schnellstmöglich ändern.

Laut Datenschutzrichtlinie speichert Haveibeenpwnd keine eingespeisten Nutzer:innendaten, außer, man registriert sich als Firma für einen kostenpflichtigen automatisierten Domain-Check. Wer nicht möchte, dass die eigene Mailadresse gesucht werden kann, hat die Möglichkeit zum Opt-out. Und wem das Ansurfen der Seite zu anstrengend ist, kann seine Mailadresse beispielsweise bei Mozilla Monitor hinterlegen. Der Dienst des Browseranbieters nutzt die Haveibeenpwnd-Datenbank zum Abgleich.

Hunts Seite gilt seit Jahren als sichere Anlaufstelle. Wer ein noch ruhigeres Gewissen möchte, kann auch zwei von deutschen Universitäten entwickelte Tools nutzen. Der Identity Leak Checker des Hasso-Plattner-Instituts, einer mit der Uni Potsdam verknüpften gemeinnützigen GmbH, verschickt bei einer Anfrage eine Mail an das entsprechende Postfach, die ähnliche Details enthält wie die Ergebnisseite von Haveibeenpwnd. Die Mailadressen werden sowohl in der Datenbank als auch in der Anfrage per Hash verschlüsselt.

Ein weiteres Angebot ist der Leak Checker der Uni Bonn, der ähnlich wie das Angebot des Hasso-Plattner-Instituts funktioniert. Heißt: Man erhält das Resultat nicht auf einer Ergebnisseite, sondern per Mail. Da nicht alle Dienste dieselben Datenbanken nutzen, kann es hilfreich sein, seine Mailadresse bei mehreren Seiten überprüfen zu lassen.

Mit reinen Mailadressen, die nicht über Phishing-Angriffe ergattert werden, können Hacker:innen heutzutage in vielen Fällen nichts anfangen. Selbst viele Newsletteranbieter setzen mittlerweile auf Bestätigungsmails, um Anmeldungen zu verifizieren. Ohne Zugriff auf den Mailaccount laufen also selbst böswillige Newsletter-Abos ins Leere.

Anders sieht es aus, wenn über Techniken wie credential stuffing Mailadressen mit anderen Daten wie Postadressen, Geburtsdaten und Namen angereichert werden. Der schlimmste Fall: ein erfolgreicher Abgleich zwischen geleakten Passwörtern und Mailkonten. Aber auch hier gibt es Möglichkeiten, zu überprüfen, ob das verwendete Passwort schon mal in einem Leak aufgetaucht ist.

Haveibeenpwnd bietet derzeit auch die Option, seine Leak-Datenbank nach Passwörtern zu durchsuchen. Die Seite verschlüsselt sowohl die Einträge in der Datenbank als auch die Eingabe im Formular von Pwnd Passwords per Hash. Das Tool gleicht also nur ab, ob die erstellte Prüfsumme identisch zu einer aus dem Datensatz ist und benachrichtigt die Nutzer:innen, in wie vielen Hacks ihr Passwort auftaucht.

Eine ähnliche Funktion bieten auch zahlreiche Passwortmanager an. 1Password ist beispielsweise offizieller Partner von Haveibeenpwnd, aber auch Dienste wie Bitwarden oder Nordpass haben dieses Feature in ihren kostenpflichtigen Abos im Gepäck. Die hauseigenen Passwortmanager beliebter Browser wie Edge, Chrome, Firefox und Safari bieten diese Funktion ebenfalls ab Werk und ohne zusätzliche Plugins.

Besonders kritisch ist es, wenn nicht nur Anmeldedaten für Social-Media- oder Mailaccounts geleakt werden, sondern auch Zugänge zu hochsensiblen Diensten wie Onlinebanking. Hier liegen die Hürden für Hacker:innen zwar besonders hoch, sind aber nicht unüberwindbar.

Neben der regelmäßigen Überprüfung der eigenen Kontobewegungen kann es auch hilfreich sein, seine Bonität im Auge zu behalten. Dafür gibt es etwa die Möglichkeit, einmal im Jahr bei der Schufa eine Datenkopie anzufragen. Diese enthält Infos über Kredite, Bankkonten oder Mobilfunkverträge, kommt per Post und ist für Nutzer:innen kostenlos.

Wer regelmäßigere Updates zu seinen relevanten Bonitäts- und Finanzdaten will, kann sich auch bei der Schufa-Tochter Bonify registrieren und hinterlegte Informationen tagesaktuell abrufen. Der Service ist ebenfalls gratis, aber nur auf den ersten Blick. Laut Datenschutzbestimmungen soll Bonify in Zukunft Geld mit der „Vermittlung von Produkten wie Kredite, Versicherungen oder Mobilfunkverträge“ verdienen.

Weniger kriminell, aber oft ebenso undurchsichtig ist die Welt der Databroker. Dabei handelt es sich um Firmen, die Datensätze entweder selbst, beispielsweise über Tracking-Cookies, sammeln oder auf Datenmarktplätzen kaufen. Damit lassen sich zwar keine Accounts hacken, aber Nutzer:innenprofile bilden. Das kann besonders brenzlig werden, wenn es sich um Standortdaten handelt, die in zahlreichen Handy-Apps abgefragt und mit der jeweiligen Werbe-ID des Geräts verknüpft werden.

Wie gefährlich diese Sammelwut sein kann, zeigt die Recherchereihe Databroker Files der Kolleg:innen von netzpolitik.org und dem Bayerischen Rundfunk. Ein gesonderter Artikel liefert eine Anleitung, wie man überprüfen kann, ob die eigenen Standortdaten im Datensatz der US-Firma Datastream Group zu finden sind.