Sind alte Leak-Daten ein Problem für meinen Account?

Warum ältere Leakdaten ein Sicherheitsrisiko sind, was vergessene Accounts für Gefahren bergen und warum Sicherheit im Umgang mit alten Leakdaten wichtig ist.

Lesezeit:
6 min
Sind alte Leak-Daten ein Problem für meinen Account?

“Ach, das ist doch Schnee von gestern, diese alten Daten interessieren doch niemanden mehr.” ist eine Aussage, die man nicht selten von IT-Fachleuten hört. Das ist aber ein Fehlschluss. Auch ältere Leakdaten sind nicht irrelevant, sondern im Gegenteil, irre relevant! In diesem Blogbeitrag möchten wir daher auf die Bedeutung alter Leakdaten eingehen.

Die Relevanz des Historischen

Wir werden häufig gefragt, wie aktuell unsere Leakdaten sind, verbunden mit dem Kommentar, dass ältere Daten ja nicht so relevant seien. Unsere Daten sind natürlich hochaktuell, nichtsdestoweniger geben wir auch immer Auskunft über alte Leakdaten. In diesem Artikel wollen wir einmal kurz erklären, warum wir das eigentlich tun und warum wir das für sinnvoll halten.

Auch alte Daten sind noch aktuell

Nur weil alte geleakte Zugangsdaten bisher noch nicht von Kriminellen genutzt wurden, heißt das nicht, dass das nicht heute oder morgen geschehen kann. Das ist so wahr wie banal: Wenn ich meine E-Mail-Adresse schon immer mit dem gleichen Passwort verwendet habe, diese Daten aber leider vor längerer Zeit schon geleakt worden sind, kann ich bisher einfach Glück gehabt haben. Grundsätzlich ist es aber keine Frage, ob mein Account bedroht ist, sondern eigentlich nur eine Frage, wann dieser aktiv angegriffen werden wird. Eine einmal geleakte Kombination von Nutzername und Passwort kann, wie fast alles im Internet, nicht mehr “eingefangen” werden und wird unkontrolliert kopiert und geteilt. Die Anzahl der kriminellen Aktivitäten im Internet, wozu auch das Teilen solcher Leakdaten gehört, nimmt fortlaufend zu und insbesondere an einem E-Mailaccount hängt meist eine komplette digitale Identität. Das wissen auch Angreifer und nutzen solch eine einfache Möglichkeit gerne aus. Somit kann sich die trügerische Sicherheit schon morgen in eine sehr unangenehme Realität verwandeln.

1000 Plattformen - 1000 Accounts - 1000 Passwörter?

Natürlich ist man als Endnutzer meistens nicht wirklich bei 1000 Plattformen angemeldet. Aber deutlich über 100 Accounts auf unterschiedlichen Plattformen können schnell mal zusammen kommen. Schnell hat man sich mit E-Mail und Passwort bei einer Zeitung angemeldet, um dort ein Probeabo abzuschließen. Um einen neuen Account anzulegen, muss man aber häufig gar nicht mal unbedingt Zuhause am Schreibtisch sitzen: Ich habe mir mal kurz vor Weihnachten in einem Fachgeschäft für Pfannen und Töpfe einen Kundenaccount erstellt, nur um bei meinem Einkauf 10% zu sparen. Wenn man sich für sowas breitschlagen lässt, sucht man spätestens in solchen Situationen nicht seinen Passwortmanager raus. Dieser hätte mir auch nicht geholfen, da die Anmeldung über das Tablet des Ladens läuft. Wer tippt dann schon gerne ein 16-stelliges Passwort ab?

In dieser Menge von Accounts und Anmeldemöglichkeiten kann es schnell schwerfallen, den Überblick zu behalten, geschweige denn für jeden Account ein neues Passwort zu setzen. Es ist daher nur allzu menschlich, dass Passwörter wiederverwendet werden und dass man Accounts vergisst.

Die Gefahr der Wiederverwendung von Passwörtern

Bei der Menge von Accounts, die man allzu leicht ansammelt, werden Passwörter häufig einfach wieder verwertet. So ist es kein seltenes Phänomen, dass alte Passwörter auch im beruflichen Kontext wieder auf den Schreibtisch kommen. Häufig wird dasselbe Passwort nicht nur auf verschiedenen Diensten verwendet, sondern auch im Laufe der Zeit immer wieder, wenn man zu einer Passwortänderung gezwungen wird.

Wie kommt das zustande? Viele Firmen haben Passwortrichtlinien, nach denen alle drei oder sechs Monate das Firmenpasswort geändert werden muss und man ein Passwort erst nach 6 Änderungen (also in ca. 3 Jahren) wieder verwenden darf. Solche Regelungen können aber dazu führen, dass Passwörter durchroullieren und ein Passwort von vor 3 Jahren wieder auf dem Tisch liegt und Verwendung findet. In so einem Fall ist natürlich ein Leak, der 3 Jahre alt ist, genau so viel wert wie ein ganz frischer Leak.

Aber solche Passwortregeln sind nicht nur im Arbeitskontext gängige Praxis. Es gibt mittlerweile auch einige Portale für Kundenaccounts, auf denen bei einer Passwortneusetzung die Wiederverwertung der letzten Passwörter verboten ist. Je nachdem wie streng die Passwortrichtlinien auf diesen Seiten sind, kann dem bisher verwendeten Passwort einfach eine Zahl, meist die 1, oder ein Sonderzeichen, meist ein “!”, angehängt werden. In solchen Fällen ist es in jedem Fall sehr leicht, das neue Passwort auf der Basis eines alten Passworts zu erraten.

Sind vergessene und externe Accounts ein Problem?

Aber nicht nur die Wiederverwertung von Passwörtern ist relevant. Alte Leakdaten können auch die Zugänge zu Accounts enthalten, die man selbst schon vergessen hat. Vermutlich haben die wenigsten Internetnutzer einen Überblick über alle Dienste, die man jemals genutzt hat. Wenn die eigene Mailadresse in Zusammenhang mit einem Passwort vorkommt, das man nicht sofort wiedererkennt, kann das durchaus ein Hinweis auf einen alten vergessenen Account sein, bei dem man das entsprechende Passwort verwendet hat.

Egal, ob Passwörter auf mehreren Plattformen verwendet werden, im Laufe der Jahre immer wieder verwendet werden oder zu vergessenen Accounts gehören: Kriminelle können sich mit diesen Daten in Accounts einloggen und einen Account übernehmen. Häufig ist nicht nur der eigentliche Besitzer des Accounts der Leidtragende, sondern die ganze Plattform leidet unter Vertrauensverlust der Kunden und Benutzer. Ein alter Account hat wahrscheinlich eine höhere Reputation als ein frisch erstellter und kann so für Betrüger besonders interessant sein, um Opfer anzusprechen. Für einen Spammer kann ein alter Account mit vielen Verknüpfungen auf einer Communityplattform die beste Grundlage für eine Spam-Kampagne sein. Nicht zuletzt verfügt ein alter Account weiterhin über persönliche Daten, die ein Angreifer zur Übernahme weiterer Accounts oder Phishingangriffe gegen den eigentlichen Besitzer verwenden kann.

Security Awareness

Neben den oben beschriebenen technischen Aspekten gibt es noch Awareness-Aspekte, die in Zusammenhang mit geleakten Daten interessant sind. Allen voran das Phishing und das Social Engineering.

Phishing-Angriffe

Unter Phishing versteht man gemeinhin das Versenden von betrügerischen Mails, um Verbraucher unlautere Links anklicken zu lassen oder Werbematerial zu verschicken. Wenn eine Mailadresse in einem Datenleck vorkommt, ist die Wahrscheinlichkeit sehr hoch, dass diese Mailadresse vermehrt für Phishingkampagnen genutzt wird, einfach aus dem Grund, weil diese Mailadresse schon unkompliziert in Listen vorhanden und verifiziert ist. Das heißt, dass, auch wenn alle Passwörter bereits geändert worden sind, die Nutzer der geleakten Daten besondere Vorsicht in der Bearbeitung ihrer Mails walten lassen sollten.

Social Engineering

Social Engineering ist Sammelbegriff für verschiedene Techniken, sich das Vertrauen einer Zielperson zu erschleichen, um diese zu beispielsweise unsicheren Handlungen zu verleiten. Meist geschieht dies mit Informationen über die Zielperson, die vorher vom Angreifer eingeholt werden. Auch Zugangsdaten, die nicht mehr aktuell sind, erlauben Rückschlüsse auf persönliche Vorlieben, Hobbys oder die eigene Vergangenheit. Wenn man beispielsweise über ein Datenleck herausfindet, dass sich ein potenzielles Opfer bei einem Börsen-Forum angemeldet hat, kann ein Krimineller diese Daten nutzen, um schnell eine Vertrauensbasis aufzubauen. Ähnlich wie bei Phishing-Angriffen sind Betroffene von Datenlecks auch für solche Angriffe besonders prädestiniert und sollten in ihrer Kommunikation besonders aufpassen.

Fazit

Ältere Daten pauschal als irrelevant abzutun, ist meistens nicht förderlich für die persönliche Sicherheit, aber auch nicht für die IT-Sicherheit eines Unternehmens. Identeco liefert bei seinen Produkten alle uns bekannten Leakdaten an - insbesondere auch ältere. Denn auch wenn Leakdaten schon älter sind, haben sie aus unterschiedlichen Gründen immer noch eine gewisse Relevanz, und das, selbst wenn man alle seine bekannten Passwörter schon mal geändert hat. Sei es aufgrund von Passwortwiederverwertung oder weil man ältere Accounts vergessen hat. So oder so, wenn eigene Daten in kriminellen Kreisen kursieren, sollte man sich dessen bewusst sein und seinen Umgang mit seiner Außenkommunikation vorsichtiger gestalten.

Die Abbildung zeigt eine Kiste, welche die mit 'Leakliste' untertitelt ist und eine solche symbolisieren soll. Von dieser Kiste gehen nach rechts und links Pfeile ab. Der nach links zeigende Pfeil deutet auf ein Recycle Symbol und einen danebenstehenden Schlüssel. Da drunter steht der Text 'Passwörter werden meist accountübergreifend benutzt'. Der nach rechts zeigende Pfeil, deutet auf zwei übereinander positionierte Briefumschläge. Neben dem oberen Briefumschlag ist ein Verbrecher-Icon zu sehen sowie der Text 'Für Social-Engineering'. Neben dem unteren Briefumschlag ist ein 'Achtung'-Schild zu sehen, sowie der Text 'Für Phishing-Angriffe'. Von dem Recycle-Icon sowie von den Briefumschlägen zeigen jeweils Pfeile nach schräg unten in die untere Mitte des Bildes und deuten auf ein 'Achtung'-Schild, unter dem der Text 'Attacke mit alten Zugangsdaten, dadurch auch Jahre später möglich' zu lesen ist.

Experten kontaktieren

Sie haben weitere Fragen zum Thema oder benötigen konkrete Hilfe? Schreiben Sie uns eine Nachricht oder vereinbaren Sie direkt einen Termin für ein Gespräch.

Weiterlesen

Zum Blog