Der Leak Checker der Uni Bonn: eine deutsche Alternative zu "Have I been pwned?"

Wir werden oft gefragt, wie Verbraucher Daten-Leaks erkennen können. Dabei wird oft der Dienst "Have I been pwned?" erwähnt, was die Frage nach europäischen oder deutschen Alternativen aufwirft. In diesem Blogbeitrag möchten wir diese Fragen klären: Was ist ein Leak Checker, was bietet "Have I been pwned?", welche deutschen Alternativen gibt es und was bietet der Leak Checker der Universität Bonn?

Lesezeit:
9 min
Der Leak Checker der Uni Bonn: eine deutsche Alternative zu "Have I been pwned?"

Wir werden häufig gefragt, wie Endverbraucher ihre Betroffenheit von Daten-Leaks ermitteln können. Häufig fällt in diesen Zusammenhang der Name des australisch/amerikanischen Dienstes “Have I been pwned?” und ähnlich häufig stellt sich dann die Frage nach einer europäischen oder gar einer deutschen Alternative dazu. In diesem Blogeintrag wollen wir den folgenden Fragen nachgehen: Was ist ein Leak Checker, was ist “Have I been pwned?”, was sind deutsche Alternativen dazu, und insbesondere, was ist der Leak Checker der Uni Bonn?

Was ist ein Leak Checker?

Ein Leak Checker ist ein Dienst, mit dem festgestellt werden kann, ob eigene Daten in einen Datenleak enthalten sind. Ein Datenleak besteht dabei vor allem aus unzähligen Kombinationen von E-Mail-Adressen und zugehörigen Passwörtern, die in den meisten Fällen von Kriminellen über Cyberangriffe erbeutet wurden. Das können Angriffe auf Privatpersonen sein (über Phishing oder Schadsoftware - mehr dazu in unserem Blogbeitrag) oder Angriffe auf ganze Online-Plattformen, wo mitunter Millionen Zugangsdaten auf einmal erbeutet werden. Ein Leak Checker basiert dabei auf der Menge der ihm zur Verfügung stehenden Leak-Daten. Das heißt, um die eigene Betroffenheit zu ermitteln, gleicht der Leak Checker die bereitgestellten Daten, meist die E-Mail-Adresse, gegen die vorhandene Datenbasis ab. Das heißt insbesondere, dass die Qualität eines Leak Checkers maßgeblich von der Qualität der vorliegenden Daten abhängt.

Warum braucht man Leak Checker?

Wenn die eigenen Daten geleakt wurden, können persönliche Informationen wie E-Mail-Adresse, Passwörter, Telefonnummer oder sogar Kreditkarteninformationen kompromittiert, also nicht mehr vertrauenswürdig, sein. Das kann schnell zu Identitätsdiebstahl führen, bei dem Kriminelle die eigene Identität verwenden, um betrügerische Aktivitäten durchzuführen. Daher sollten Verbraucher regelmäßig überprüfen, ob die eigenen Daten in einem Datenleak enthalten sind und frühzeitig Maßnahmen ergreifen, um sich vor Missbrauch zu schützen, etwa durch Ändern von geleakten Passwörtern. Und die einfachste Möglichkeit, die eigene Betroffenheit von Datenleaks zu überprüfen, ist die Verwendung eines Leak Checkers.

Was ist “Have I been pwned”?

“Have I been Pawned?” ist ein von dem australischen Sicherheitsfachmann Troy Hunt betriebener Leak Checker, mit dem die Betroffenheit im Hinblick auf Datenleaks geprüft werden kann. Dazu gibt man die E-Mail-Adresse, die man prüfen möchte, in eine Eingabemaske ein und erhält daraufhin die Information, ob welche Datenleaks dem Dienst vorliegen, wo diese E-Mailadresse vorkommt.

Was bedeutet “Have I been pwned?” auf Deutsch?

Das Wort ‘pwned’ selbst ist ein Kunstwort aus dem Leetspeak. “pwn” leitet sich dabei von “own” ab, indem der erste Buchstabe durch das auf der Tastatur naheliegende “P” ersetzt wird und bedeutet so viel wie “jemanden besiegen” oder “dominieren”. Es kann sich auf andere Spieler in einem Computerspiel beziehen oder aber auf ein Computersystem, das man gehackt, also “besiegt” hat. “Have I been pwned?” bedeutet dementsprechend so viel wie “Wurde ich gehackt?”.

Ist “Have I been pwned?” seriös?

Grundsätzlich ist “Have I been pwned?” ein seriöser Dienst, allerdings genügt es nicht den gängigen europäischen Ansprüchen an den Datenschutz. Das beginnt damit, dass jeder Nutzer Informationen zu jeder beliebigen E-Mailadresse abfragen kann und unmittelbar Zugriff auf das Ergebnis erhält. So kann man beispielsweise die E-Mailadresse eines Kollegen checken und erfährt sofort, in welchen Leaks diese Mailadresse enthalten ist. Handelt es sich dabei um unseriöse oder verfängliche Webdienste oder solche mit Erwachseneninhalten, vielleicht auch um eine Datingplattform, dann weiß man schon mehr über den Kollegen, als man wissen sollte. “Have I Been pwned?” prüft die Legitimität der Anfrage also nicht.

Alternativen zu “Have I been pwned?”

Das führt zu der Frage nach datenschutzfreundlichen Alternativen zu ‘Have I been pwned’, oder vielleicht sogar nach deutschen Alternativen. Tatsächlich gibt es deutsche Alternativen, nämlich den Leak Checker der Uni Bonn und den Leak Checker des Hasso-Plattner-Instituts in Potsdam. Worin unterscheiden sich also diese beiden Leak Checker?

Datenbasis

Ein wesentliches Qualitätsmerkmal eines Leak Checkers ist, wie oben erwähnt, die Datenbasis, auf die der Leak Checker zurückgreifen kann. “Have I been pwned?” und das Hasso-Plattner-Institut greift laut eigenen Angaben auf eine Datenmenge von knapp 13 bis 14 Milliarden Identitäten zurück. Der Leak Checker der Uni Bonn hingegen kann auf eine Datenmenge von mittlerweile über 30 Milliarden Identitäten zurückgreifen.

Aktualität der Daten

“Have I been pwned?” und das Hasso-Plattner-Institut setzen vor allem darauf, dass Ihnen Daten angeliefert werden. Die Wissenschaftler der Uni Bonn hingegen suchen aktiv das Deep- und Darkweb nach Leakdaten ab und finden jeden Monat ca. 300 Millionen neue Datensätze, sodass der Leak Checker der Uni Bonn nicht nur über viele Daten, sondern auch auf sehr viele neue Daten verfügt.

DSGVO-Konformität

Wie bereits erwähnt, genügt “Have I been pwned?” im Grunde nicht den europäischen Datenschutzrichtlinien. Das liegt vor allem daran, dass man bei “Have I been pwned?” beliebige E-Mailadressen prüfen kann. Das HPI und der Leak Checker der Uni Bonn lösen dieses Problem, indem nach der Abfrage eine E-Mail an die eingegebene E-Mailadresse gesendet wird, sodass man unmittelbar keine Informationen über fremde E-Mail-Adressen einholen kann. Zusätzlich sind alle Daten, auf die der Leak Checker der Uni Bonn zurückgreift, vollständig anonymisiert und verschlüsselt und Informationen über eine E-Mailadresse können nur ausgelesen werden, wenn eine Anfrage mit durch eine konkrete Mailadresse gestellt wurde.

Passwörter wiedererkennen?

Sowohl das Hasso-Plattner-Institut als auch die Uni Bonn verschicken nach einer Anfrage eine E-Mail an die E-Mailadresse, für die eine Auskunft angefragt wurde. Ähnlich wie bei “Have I been pwned?” verschicken auch das HPI und die Uni Bonn Informationen über die Namen der Leaks, in denen die persönlichen Daten gefunden wurden. Bei der Uni Bonn erhält man zusätzlich Informationen über das erste und letzte Zeichen des geleakten Passworts. Einerseits erlaubt diese Information die Wiedererkennung des geleakten Passworts, sodass man unmittelbar sieht, ob das entsprechende Passwort überhaupt noch aktuell ist, also irgendwo genutzt wird. Andererseits ist diese Information durch die Beschränkung der Zeichen so limitiert, dass niemand anderes mit ihr was anfangen kann, falls die E-Mail abgefangen werden sollte oder jemand unbefugtes Zugriff auf das E-Mailkonto hat.

Gibt es noch weitere Informationen?

Einige Datenleaks enthalten auch noch andere Informationen, wie Telefonnummer, Adresse oder Geburtsdatum. Die Uni Bonn legt an dieser Stelle aber explizit den Fokus auf E-Mail-Adresse und Passwörter, da diese Daten für Anmeldungen im Internet meistens die relevantesten sind. Insbesondere liefern auch die anderen hier aufgeführten Dienste nur Informationen darüber, dass ein Datum in einem Leak enthalten ist, das vielleicht so aussieht wie eine Telefonnummer. Darüber hinaus erhält man aber keine Informationen über den tatsächlichen Eintrag, wie beispielsweise das erste und letzte Zeichen oder die ersten zwei Ziffern, o.Ä. Das führt im Zweifelsfall zu einer größeren Verunsicherung, ohne eine wirkliche Handlungsoption zu erhalten. Die Fokussierung auf E-Mailadresse und Passwort steht daher beim Leak Checker der Uni Bonn im Vordergrund und verzichtet auf zusätzliche Verunsicherungen.

Welche Leaks gehören zu welchem Dienst?

Eine naheliegende Frage ist, von welchem Datenleak eine Person eigentlich betroffen ist. Bei “Have I been pwned?” und beim Leak Checker des Hasso-Plattner-Instituts findet man eigentlich immer Attribuierungen zu bestimmten Diensten. Tatsächlich ist das aber mit Vorsicht zu genießen: Alle Leak Checker greifen auf ähnliche Datenquellen zurück. Das sind vor allem Informationen von Hackern, die geleakte Daten im Netz tauschen. Die Benennung von Dateien folgt dabei keinem einheitlichen oder sinnvollen Schema. Wenn eine gefundene Datei beispielsweise “hr.txt” heißt, kann man so frei sein und diese Datei dem Hessischen Rundfunk attribuieren. Tatsächlich hat die Datei hr.txt aber vielleicht eher was mit Human Resources oder Ungarn zu tun oder folgt gar keinem Schema in der deutschen Sprache und wurde vielleicht automatisiert benannt. Und selbst wenn ein einheitliches Namensvergabeschema verwendet werden würde: als Betreiber eines Leak Checkers kann man diesem Schema und den Kriminellen dahingehend nicht vertrauen. Die Uni Bonn informiert daher zwar über die Namen der Leakdateien, in denen eigene Daten enthalten sind, nimmt aber keine Attribuierung zu bestimmten Diensten oder Breaches vor. Insbesondere, da eine falsche Attribuierung zum Einen zu Verunsicherungen bei den Betroffenen führen kann aber zum Anderen auch Auswirkungen auf die Plattform selbst haben.

Zwischenfazit

Wir haben bisher drei Leak Checker kennengelernt: “Have I been pwned?”, den Leak Checker des Hasso-Plattner-Instituts und den Leak Checker der Uni Bonn. “Have I been pwned?” genügt dabei den europäischen Datenschutzrichtlinien nicht. Der Leak Checker des Hasso-Plattner-Instituts und der Leak Checker der Uni Bonn erfüllen diese Datenschutzkriterien, allerdings greift der Leak Checker der Uni Bonn auf eine deutlich größere Datenbasis zurück und gibt eine Möglichkeit zur Wiedererkennung von verwendeten Passwörtern mit. So kann der Empfänger mit der Meldung auch tatsächlich die eigene Sicherheit steigern. Außerdem nimmt der Leak Checker der Uni Bonn keine Attribuierung zu bestimmten Daten-Leaks vor, einerseits weil Kriminelle keine vertrauenswürdige Quelle sind, andererseits weil dadurch zusätzliche Verunsicherungen vermieden werden können.

Eine Tabelle vergleicht den Leak Checker der Uni Bonn mit dem des Hasso-Plattner-Instituts und mit "Have I Been pwned?". In der ersten Zeile werden folgende Eigenschaften aufgelistet: Datenmenge, Datenschutzkonform, Eigene Datensuche, Passwortwiedererkennung. In der Spalte ganz links steht ganz oben "Leak Checker der Uni Bonn", da drunter steht "Hasso-Plattner-Institut" und in der dritten Zeile "Have I been pwned?" (HPI). Unter "Datenmenge" wird angegeben, dass die Uni Bonn über 30 Milliarden Einträge hat, das Hasso-Plattner-Institut und "Have I been pwned?" aber nur 13 Milliarden. Bei Datenschutzkonformität ist bei der Uni Bonn sowie beim HPI ein grünes Check-Mark und bei "Have I been pwned?" ein rotes Kreuz. In der Spalte für "Eigene Datensuche" stehen bei der Uni Bonn ein grünes Check-Mark mit dem Vermerk "1000 Quellen", beim HPI und bei "Have I been pwned?" aber rote Kreuze. In der Spalte für "Passwort-Wiedererkennung" stehen bei der Uni Bonn ein grünes Check-Mark, beim HPI und bei "Have I been pwned?" stehen aber ebenfalls rote Kreuze.

Was tun, wenn ich von einem Leak betroffen bin?

Wenn Sie konkrete Hinweise haben oder auch nur vermuten, dass Ihre Daten in einem Datenleck enthalten sind, empfiehlt es sich, Ruhe zu bewahren und - sofern noch nicht erfolgt - Ihre E-Mails beim Leak Checker der Uni Bonn zu prüfen. Damit bringen Sie in Erfahrung, ob und wenn ja, welche Passwörter in den Daten-Leaks hinterlegt sind. Wenn Sie die Passwörter wieder erkennen, lohnt sich eine Bestandsaufnahme: haben Sie das Passwort nur einmal oder mehrfach verwendet und wenn ja, bei welchen Diensten? Anschließend ist es dringend zu empfehlen, bei allen Diensten, zu denen das Passwort passt oder infrage kommt, dieses zu ändern, und im Idealfall, keines der neuen Passwörter wiederzuverwenden. Um in der Fülle der Accounts nicht den Überblick zu verlieren wird der Einsatz eines Passwortmanagers empfohlen.

Leak-Monitoring für Plattform-Betreiber

Bisher haben wir vor allem die Möglichkeiten des Endverbrauchers, Betroffenheit von einem Datenleck zu ermitteln, diskutiert. Allerdings haben auch Plattformen, Onlineshops und Unternehmen die Möglichkeit, Ihre Kunden und Mitarbeiter auf Ihrer Plattform zu schützen und über mögliche Datenleaks zu informieren. Mit den Identeco Produkten können automatisiert Mitarbeiteraccounts und Kundenaccounts von Plattformen auf Kompromittierung des dort gültigen Passworts überprüft werden. Denn nicht jeder Endverbraucher ist technisch versiert und verwendet Regelmäßig einen Leak Checker. An dieser Stelle können Plattformen und Unternehmen mit den Identeco-Produkten Ihre Kunden und Mitarbeiter entlasten und diese sowie die Plattform selbst vor kriminellen Accountübernahmen schützen.

Der Leak Checker der Uni Bonn ist ein kooperatives Projekt der Abteilung für IT-Sicherheit der Universität Bonn und des Universitäts-Spin-Offs Identeco. Insbesondere verwenden Identeco und der Leak Checker der Uni Bonn dieselbe Datenbasis.

Teste deine Accounts!

Experten kontaktieren

Sie haben weitere Fragen zum Thema oder benötigen konkrete Hilfe? Schreiben Sie uns eine Nachricht oder vereinbaren Sie direkt einen Termin für ein Gespräch.

Kontakt Gespräch vereinbaren

Weiterlesen

Zum Blog