Datenleak: Mein Instagram-Passwort im Netz

Im Juni dieses Jahres meldete die Internetplattform Cybernews, dass mehr als 16 Milliarden Zugangsdaten von einem Datenleak betroffen sind. Es wäre der größte Leak seiner Art gewesen, doch schnell stellte sich jedoch heraus, dass es sich bei dabei um keinen neuen Einbruch handelt, sondern um eine Sammlung an bisherigen Datenleaks – was jedoch nicht weniger kritisch betrachtet werden sollte.

• Mehr für dich: Juhu, wir sind nicht so korrupt wie letztes Jahr!

Denn die Daten selbst lassen sich auch für Menschen mit wenig Erfahrung beispielsweise auf Cloud-basierten Messaging-Diensten aufspüren. Wenn man weiß, wo, findet sich der Zugang zu fremden Instagram-, TikTok- oder Netflix-Accounts schnell.

Auch der WZ gelang es nach kurzer Recherche auf die geleakten Daten zuzugreifen und exemplarisch neun Millionen davon auszuwerten. Das Fazit: Unter diesen neun Millionen Passwörtern befanden sich unter anderem 138.800 Instagram- sowie 13.000 TikTok-Accounts. Zusätzlich finden sich die Zugänge zu Onlinebanking und -Shops, einschlägigen Foren sowie Porno-Websites – teilweise mit Klarnamen einsehbar. Die Passwörter selbst sind oft nach hohen Sicherheitsstandards gewählt: vierzehn Zeichen und eine Kombination an Groß- und Kleinbuchstaben sowie Sonderzeichen.

Zugänge: Auch Österreich betroffen

Knapp 6.500 der analysierten Einträge enthielten die Domain „.at“ in der geleakten E-Mail oder auf der Website. Hochgerechnet auf den gesamten Datensatz dürften somit rund 11,5 Millionen österreichische Accounts betroffen sein.

Im Leak finden sich nicht nur private Finanzonline-, Handysignatur- oder A-Trust-Accounts, sondern auch die Zugangsdaten von Landesbediensteten. Hierbei sei erwähnt, dass die meisten Zugänge mittlerweile eine Multifaktor-Authentifizierung verlangen – also eine zusätzliche Bestätigung per Mobiltelefon, welche den Zugriff nochmal erschwert.

Die WZ konnte bestätigen, dass es sich bei dem Leak um „echte“ Passwörter handelt. Um die Verifizierung mittels illegalen Logins über ein gestohlenes Passwort zu vermeiden, kontaktierte die WZ betroffenen Personen per Mail und wies auf den Passwort-Leak hin.

Ein User antwortete sehr freundlich, dass er sich des Leaks seines Passworts bewusst ist, ihm dieser aber persönlich „egal“ sei. Das Passwort sei veraltet und viel mehr noch, er schütze die wichtigen Accounts zusätzlich mit der bereits erwähnten Zwei- oder Drei-Faktor-Authentifizierung. Wie es zu dem Leak kam? Der User vermutet, dass ein Virus schuld sei, welchen er vor mehreren Jahren über ein Arbeitsdokument erhielt.

CCC: Schadsoftware belauscht User

Auch Jochim Selzer vom Chaos Computer Club (CCC) ist der Meinung, dass es sich hierbei um einen Angriff mittels Schadsoftware handelt. Denn die geleakten Passwörter sind im Klartext lesbar. Das heißt, dass die Nutzer:innen vermutlich beim Eingeben ihrer Passwortdaten belauscht wurden. Möglich ist das über Trojaner oder wenn sich jemand in die Leitung hackt und den Datenverkehr mitschneidet.

Selzer empfiehlt deshalb, für jeden Zugang ein eigenes Passwort zu wählen. Zu groß ist anderenfalls das Risiko, dass die gesamte Online-Identität auf einmal auffliegt. Hier kann auch ein Passwortmanager helfen – laut Selzer ein guter Kompromiss zwischen Benutzbarkeit und Sicherheit.

„Ist ein Passwort erstmals erbeutet, probieren Hacker dieses bei verschiedenen Online-Diensten durch und schauen, wie weit sie kommen“, sagt Selzer. Die Erfolgsquote zwischen einem Promille und einem Prozent hört sich zwar erst mal wenig an, jedoch summiert sich die Anzahl bei rund 1.000 geknackten Konten pro Tag rapide.

Ebenfalls empfiehlt Selzer die regelmäßige Überprüfung, ob das eigene Passwort nicht bereits im Internet kursiert. Möglich ist dies über die englischsprachige Website haveibeenpwned, oder auch über den Identity Leak Checker vom Potsdamer Hasso-Plattner-Institut.

Digitaler Identitäten-Diebstahl

Den von Selzer erwähnten Sicherheitsvorkehrungen kann Nikolaus Forgó, Institutsleiter für Innovation und Digitalisierung im Recht an der Universität Wien, nur zustimmen. Er sieht das Problem auch bei der Einfachheit der Verbreitung von illegalen Inhalten wie Passwörtern.

„Die Zugangsdaten von User:innen finden sich mittlerweile an vielen Stellen im Netz. Denn von den betreibenden Plattformen wird aufgrund des Digital Services Act derzeit nicht verlangt, dass sie ihre Inhalte im Vorhinein prüfen“, sagt Forgó.

Erst wenn Plattformen wissen, dass Inhalte rechtswidrig sind, werden diese entfernt oder der Zugang gesperrt. „Durch unidentifizierte und authentifizierte Nachrichten können Angreifer eine politische oder ökonomische Destabilisierung einer Wirtschaft, eines Staates, oder eines Unternehmens hervorrufen“, warnt Forgó.

Dabei gehe es nicht nur um Erpressungen durch die hohe Anzahl an Passwörtern, sondern auch um komplexere Strategien, wie etwa die Manipulation von Wahlen oder Finanzmärkten. „Es geht mittlerweile um die Identität von Menschen und nicht mehr nur um den Zugang zum Online-Banking“, sagt Forgó.

Ein großer Teil des heutigen Lebens spielt sich online ab. Im Zentrum von Passwort-Leaks steht mittlerweile nicht mehr der bloße Zugriff auf einen Account, sondern der Kern der Persönlichkeit.