FAQ Leak Checker

Warum habe ich eine E-Mail erhalten?

Um die Sicherheit Ihres Unternehmens und seiner Infrastruktur zur gewährleisten wurde anhand der Domain des Unternehmens eine Bedrohungsanalyse durchgeführt. Als Ergebnis dieser Analyse wurden die jeweilige E-Mailadresse und ggf. weitere Daten (z.B. Benutzername und Passwort) gefunden. Diese Daten wurden aus unterschiedlichen Quellen im sogenannten Darknet gesammelt und stehen somit auch Angreifern zur Verfügung. Vollständige Logindaten stellen ein reales Sicherheitsrisiko dar, da diese für unberechtigte Zugriffe auf Unternehmensressourcen (E-Mails, Dateien, usw.) oder externe Portale kooperierender Partnerunternehmen genutzt werden können.

Was muss ich jetzt tun?

Bewahren Sie Ruhe. Kontrollieren Sie sorgfältig die Details in der empfangen E-Mail wie folgt.

Für jeden Eintrag in der E-Mail: Versuchen Sie sich anhand des bereitgestellten ersten und letzten Zeichens an das vollständige Passwort zu erinnern. Nutzen Sie den genannten Dienstnamen nur als Gedächtnisstütze, das Passwort kann auch zu einem anderen Dienst gehören. Nur wenn Sie eins ihrer aktuell verwendeten Passwörter wiedererkennen liegt eine akute Bedrohungssituation vor.

Eine Bedrohung liegt vor und Sie haben ein aktuell verwendetes Passwort wiedererkannt:

1. Nutzen Sie Details aus den bereitgestellten Daten und ihrem Gedächtnis, um alle Dienste und Accounts zu identifizieren, bei denen Sie das erkannte Passwort verwenden. Fertigen Sie bestenfalls eine Liste an.
2. Stellen Sie sicher, dass das Passwort bei allen diesen Diensten nicht mehr verwendet wird und ändern Sie es so, dass es sich deutlich von dem bisherigen Passwort unterscheidet. Wir empfehlen die Verwendung eines eigenen Passworts für jeden Dienst und den Einsatz eines Passwortmanagers zum Generieren und Speichern des neuen Passworts.
3. Merken Sie sich, dass das erkannte Passwort keinen Schutz mehr bietet und auch in Zukunft bei keinem Dienst mehr verwendet wird.

Sie haben ein früher verwendetes Passwort wiedererkannt:

1. Nutzen Sie Details aus den bereitgestellten Daten und ihrem Gedächtnis, um weitere Dienste und Accounts zu identifizieren, bei denen Sie das wiedererkannte Passwort möglicherweise verwenden, jedoch noch nicht geändert haben. Fertigen Sie bestenfalls eine Liste an.
2. Stellen Sie sicher, dass das Passwort bei allen identifizierten Dienst nicht mehr verwendet wird und ändern Sie es so, dass es sich deutlich von dem bisherigen Passwort unterscheidet. Wir empfehlen die Verwendung eines eigenen Passworts für jeden Dienst und den Einsatz eines Passwortmanagers zum Generieren und Speichern des neuen Passworts.
3. Merken Sie sich, dass das erkannte Passwort keinen Schutz mehr bietet und auch in Zukunft nicht mehr verwendet wird.

Sollten Sie kein jemals verwendetes Passwort aus den gegebenen Hinweisen wiedererkennen können liegt keine Bedrohung vor.

Was ist ein gutes Passwort?

Ein „gutes“ Passwort sollte zwei Kriterien erfüllen: Es sollte lang und schwer zu erraten sein. Häufig wird behauptet, dass ein Passwort zwingend Sonderzeichen und Zahlen enthalten solle. Zwar erhöhen Sonderzeichen und Zahlen die Anzahl an Möglichkeiten für ein Passwort, allerdings wird die Anzahl an Möglichkeiten durch weitere Stellen des Passworts deutlich mehr erhöht. Wichtig ist auch, dass keine Wörter aus einem Wörterbuch verwendet werden, da bei Angriffen häufig die in Wörterbüchern vorkommenden Wörter in unterschiedlichen Kombinationen ausprobiert werden. Weitere Informationen zur Wahl eines sicheren Passworts finden Sie hier und zur Änderung eines Passworts hier.

Wie lang muss ein Passwort sein?

Je länger ein Passwort ist, desto besser schützt es das Konto vor speziellen Angriffen. Auch wenn manche Dienste noch 4- bis 8-stellige Passwörter erlauben, sind diese aus Sicherheitsperspektive viel zu kurz. 12 Stellen sollte ein Passwort mindestens haben. Optimal ist es, wenn ein Passwort aber 16 oder mehr Stellen hat. Weitere wichtige Informationen zu den Eigenschaften eines Passwortes finden Sie hier.

Woher stammen die Daten aus denen eine Warnmeldung abgeleitet wird?

Die Identitätsdaten-Leaks erhalten wir, indem wir verschiedene Teile des Internets mit unseren Methoden durchsuchen. Teilweise werden diese Daten durch unsere Systeme automatisiert gesammelt, andere laden wir manuell herunter. Wichtig: Wir kaufen keine Daten! Wir nutzen nur öffentlich und frei zugängliche Daten! Jedoch ist der Großteil der Identitätsdaten-Leaks auch frei zugänglich und muss somit nicht käuflich erworben werden.

In der Benachrichtigung sehe ich Passwörter die ich nie verwendet habe. Wie kann das sein?

In unseren Ergebnis-Mails zeigen wir das erste und letzte Zeichen des Passworts an, dass in den Leak-Daten enthalten ist. Wenn Sie diese Zeichen zu keinem der Passwörter, die verwendet werden, zuordnen können, dann kann das verschiedene Gründe haben:

1. Dieses Passwort wurde vor langer Zeit verwendet und Sie haben vergessen, dass Sie es früher benutzt haben.
2. In unserem Datensatz ist ein falsches Passwort enthalten, z.B. eins das ein Angreifer willkürlich der Emailadresse zugeordnet hat. Kriminelle füllen Lücken in ihren Datensätzen manchmal mit erfundenen Daten, sodass es bei unseren Ergebnis-E-Mails zu diesen Angaben kommen kann.

Es ist nicht möglich die Echtheit der Daten in unseren Datenbanken verifizieren. Ob die Daten korrekt sind und auch heute noch gültig, kann nur durch den Betroffenen entschieden werden.

In der Benachrichtigung sehe ich Accounts die ich nie verwendet habe. Wie kann das sein?

In unseren Ergebnis-Mails zeigen wir Details, welche wir aus den gesammelten Leak-Daten extrahiert haben. Einzelne Einträge tragen Hinweise auf spezifische Dienste (z.B. Twitter, Facebook, LinkedIn, usw.). Die Zuordnung von geleakten Daten zu einem betroffenen Dienst ist aber nie mit absoluter Sicherheit möglich, liefert jedoch einen initialen Ansatzpunkt um betroffene und damit bedrohte Accounts zu identifizieren.

Eine klare Zuordnung von Leaks zu betroffenen Diensten ist aus verschiedene Gründen nicht exakt:

1. Indikatoren zur Zuordnung sind nicht vorhanden. Häufig werden Leaks in einzelnen Dateien geteilt. Solche Dateien können Bezeichnungen haben z.B. „twitter.txt“ oder aber auch nur „1000_newest_logins.csv“. Im ersten Fall kann der Dateiname also einen Indikator für einen spezifischen Dienst liefern, im zweiten jedoch nicht.
2. Hacker teilen Daten über unterschiedlichste Plattformen. Im vorherigen 1. Beispiel ist es ebenfalls vorstellbar, dass ein Hacker Leakdaten auf der Twitter-Plattform getauscht oder gehandelt hat und zu diesem Zweck die Datei „twitter.txt“ genannt hat. Dies bedeutet aber dann nicht, dass sich innerhalb dieser Datei Accountdaten für Twitteraccounts befinden.
3. Es ist häufig der Fall, dass Hacker Accountdaten aus vielen unterschiedlichen Leaks zusammenführen. Diese Logindaten entstammen dann unterschiedlichen Quellen und eine Zuordnung zu einen einzelnen Dienst ist grundsätzlich nicht mehr möglich. Solche Sammlungen werden häufig „Collection“ genannt.

Unabhängig von diesen Details aus dem Darknet sind weitere Erklärungen möglich:

1. Der jeweilige Dienst wurde vor lange Zeit genutzt und dies wurde vergessen.
2. Ein Dienst hat seinen Namen geändert.
3. In seltenen Fällen nutzen Hacker gestohlene Identitätsdaten, wie beispielweise Accountnamen, Emailadressen und Ähnliches, um betrügerische Handlungen vorzubereiten oder durchzuführen. Als Artefakte solcher Handlungen können Accounts bei Diensten angelegt wurden sein, die die real Person nicht nutzt.

Es ist nicht möglich die Echtheit der Daten in unseren Datenbanken verifizieren. Ob die Daten korrekt sind und auch heute noch gültig, kann nur durch den Betroffenen entschieden werden.

Wieso sind meine Daten gestohlen worden, was habe ich falsch gemacht?

Es ist möglich, dass Sie ein Angreifer mit einem Phishing-Angriff überlistet hat und Sie auf einer manipulierten Webseite Logininformationen preisgegeben haben. Daher ist es wichtig im Umgang mit Logininformationen besonders achtsam zu sein. Insbesondere sollte man komplexe und einzigartige Passwörter für jeden Dienst individuell wählen und sie nicht mit anderen teilen. Phishing-Angriffe zu erkennen ist nicht immer einfach, unterschiedlichste Methoden der Angreifer und zum erkennen dieser werden hier vorgestellt.

Nicht unwahrscheinlich ist auch, dass Sie selber nichts falsch gemacht haben. Wie konnte es also dazu kommen? Häufig sind Angriffe oder Verwundbarkeiten bei Webshops oder Diensten die Quelle geleakter Daten. Grundlage ist daher die Anmeldung in der Vergangenheit bei einem Dienst oder Webshop. Bei der Anmeldung wurden Ihre Daten in der Benutzerdatenbank des Dienstes gespeichert. Durch einen Sicherheitsvorfall, wie einem Hackerangriff oder einer unsicheren Konfiguration der Datenbank, sind dann Teile der Benutzerdatenbank gestohlen oder zumindest öffentlich zugänglich gemacht geworden. Auch mit einem anderen von Ihnen gewählten Passwort wäre solch ein Angriff nicht verhindert worden.

Darf man ein Passwort mehrmals verwenden?

Das ist eine Frage, die pauschal nicht direkt klar beantwortet werden kann. Generell ist es natürlich deutlich sicherer überall ein anderes Passwort zu benutzen - und wir und die meisten Forscher und Kollegen raten auch jedem dringend dazu.

Allerdings ist es nachvollziehbar, wenn jemand der Meinung ist, dass er oder sie sich die große Menge an Passwörtern nicht merken kann und deshalb Passwörter mehrfach verwendet. Was bedeutet es denn aus der Sicherheitsperspektive, wenn man ein Passwort bei mehreren Diensten benutzt? Jeder dieser Dienste hat in diesem Fall potenziell die Möglichkeit, sich auch bei den anderen Diensten mit diesem Passwort anzumelden. Wird Ihr Passwort bei einem Dienst gestohlen, dann sind sofort alle anderen Dienste bedroht, bei denen Sie das Passwort auch verwenden. Deswegen überlegen Sie sich genau, für welche Konten Sie die gleichen Passwörter verwenden wollen.

Wenn Ihr Passwort, das Sie für mehrere Online-Dienste verwenden, dennoch geleakt geworden ist, sollten Sie es umgehend ändern. Nicht nur für den geleakten Account, sondern für alle, die dieses Passwort verwenden. Am besten verwenden Sie dazu einen Passwortmanager, der Ihre Passwörter generiert und verwaltet. Um sicherzustellen, dass kein unbefugter Zugriff versucht wird, wird die Verwendung der Zwei-Faktor-Authentifizierung empfohlen.

Kritische Accounts, wie ein E-Mail-Postfach, sollten auf jeden Fall mit einem einzigartigen Passwort schützen, da sich über das E-Mail-Konto die Passwörter bei den meisten Diensten zurücksetzten lassen. Im Beschäftigungsverhältnis gibt es zudem meist Vorschriften die einzigartige Passwörter fordern. Details hierzu finden sich meist im Intranet oder sind über den IT-Sicherheitsbeauftragten oder Vorgesetzten zu erfragen.

Was kann ich tun, wenn ich keinen Zugriff mehr auf mein Account oder meine E-Mail habe?

Leider können wir in solchen Fällen nicht eingreifen. Sie haben jedoch die Möglichkeit, sich an den Online-Dienst oder E-Mail-Provider zu wenden, um solche Vorfälle zu melden. Außerdem sollten Sie sich an die Polizei wenden und Anzeige erstatten. Wenn möglich, sollten Sie sofort alle Passwörter für wichtige Dienste wie Online-Banking, Zahlungsdienste oder Online-Shops ändern und ein individuelles Passwort festlegen.

Sollten Sie nach der Nutzung des Leak Checkers feststellen, dass Sie keinen Zugriff mehr auf Ihr E-Mail-Konto haben, ist es uns aus Datenschutzgründen leider nicht möglich, Ihnen die Ergebnisse an eine andere E-Mail-Adresse zu senden.

Was ist der Unterschied zwischen dem Angebot von Identeco und anderen Leak Checker Diensten oder „Darknet Spy“ Diensten?

Mittels des Angebots von Identeco, wird die Möglichkeit geboten Mitarbeiterkonten automatisiert und, wenn gewünscht, vollständig integriert gegen die Bedrohung durch geleakte Logindaten aus dem Darknet zu schützen. Bereits existierende Lösungen am Markt sind keine Frühwarnsysteme im eigentlichen Sinne. Vielmehr erhält man im besten Falle rohe Datensätze die manuell weiterverarbeitet werden müssen.

Identecos Ansatz ist anders: Durch die Möglichkeit der Integration in existierende Prozesse der Accountverwaltung (beispielsweise Active Directory) kann präventiv das Setzen von unsicheren, weil bereits im Darknet bekannten, Passwörtern verhindert werden. Eine kontinuierliche Prüfung bereits gesetzter Passwörter gegen die stetig wachsende Leakdatenbank komplettiert das Angebot.

Des Weiteren ist der Schutz von Kundenkonten innovativ, es wird Plattformbetreibern ermöglicht einen echten Mehrwert zum Schutz der eigenen Infrastruktur und die jeweiligen Kundenkonten zu erlangen.

Vertrauen: Kunden können sich auf Sie in puncto Accountschutz verlassen. Denn durch den Einsatz von Identeco zum Schutz der Benutzerkonten ihrer Plattform müssen Endkunden keinem zusätzlichen Dienst vertrauen, um Ihre Identitätsdaten zu schützen. Stattdessen stärkt die erhöhte Sicherheit und Warnung vor unsicheren Logindaten das Vertrauen der Benutzer in die von Ihnen angebotenen benutzten Dienste.

Qualität der Daten: Durch die Rückmeldungen bzgl. der Kritikalität einzelner Leaks verbessern und priorisieren wir die zur Prüfung geteilten Leakdaten kontinuierlich. So bekommen Sie immer die Leakdaten mit der höchsten Trefferquote vorrangig ausgeliefert.

Direkte Kommunikation und Warnung der Betroffenen: Ein Mitarbeiter oder Nutzer der Plattform eines durch Identeco geschützten Unternehmens, kann direkt beim Einloggen oder Anmelden bei der Plattform über eine akute Accountbedrohung informiert werden. Mittels unserer Tools können Sie klar verständlich und direkt kommunizieren:

1. Welche Daten konkret bedroht sind,
2. In welchem Umfang der Account betroffen ist und
3. Was für Sofortmaßnahmen eingeleitet werden sollten um die Accountsicherheit wiederherzustellen.

Datenschutz: Jegliche Daten liegen ausschließlich verschlüsselt vor. Zum Erstellen unseres Domain-basierenden Leak Reports benötigen wir keine personenbezogenen Daten und ermöglichen Unternehmen dennoch eine direkte Einschätzung ihrer Bedrohungslage. Ausschließlich in der unternehmenseigenen Infrastruktur können konkrete Mitarbeiter- oder Kundenkundenaccounts identifiziert werden. Wenn die Accountsicherheit eines Account gefährdet ist, dann werden notwendige Information zur Wiedererlangung der Accountsicherheit ausschließlich an den jeweiligen Betroffenen gemeldet.

Zum Schutz der Infrastruktur und Unterstützung der Betroffenen ist die IT-Sicherheitsabteilung eines Unternehmens oder der konkreten Plattformbetreiber bestens geeignet, da hier bereits ein Vertrauensverhältnis besteht. Gemeinsam mit unseren Partnern können wir Kunden informieren, wenn ihre Accountsicherheit beeinträchtigt ist. Unser Ziel ist es, möglichst viele Partner anzubinden und so die Accountsicherheit für alle zu erhöhen.

Welche Daten befinden sich in der Datenbank von Identeco?

Es befinden sich ausschließlich verschlüsselte Daten in der Datenbank, die Identeco auch nicht entschlüsseln kann. Die Bestimmung von bedrohten Accounts ist nur Kunden von Identeco innerhalb Ihrer eigenen Infrastruktur möglich. Dies dient dem Zweck die jeweils eigenen Infrastruktur und die Accounts ihrer Mitarbeiter und Kunden zu schützen.

Ein in Vorfeld an der Uni Bonn durchgeführtes Forschungsprojekt (EIDI) betrachtete nicht allein digitale Identitäten, sondern auch anderen Identitätsdaten.

Explizit nicht verarbeitet werden Daten die nach Art. 9 der DSGVO zu der so genannten „besonderen Kategorien” zugeordnet werden können. Die Daten, die von Art. 9 DSGVO abgedeckt sind haben zwar für Betroffene eine hohe Relevanz und diese haben vermutlich ein besonders hohes Interesse, auch diese Daten zu schützen, aufgrund der Beschaffenheit unserer Umsetzung, lässt sich das aber nicht mit dem Datenschutz vereinbaren.