Ein Datenleck – was tun?

Wenn Unbefugte von einem Unternehmen Daten stehlen, gelangt der Vorfall oft an die Öffentlichkeit. Man spricht von einem Datenleck. Was tun, wenn die eigenen Kundendaten betroffen sind?

I was pwned!
Bildlegende: I was pwned! Colourbox / Collage SRF Digital

Fast alle Online-Dienste verlangen heutzutage eine E-Mail-Adresse und ein Passwort. MIt diesen Angaben werden die Nutzer identifiziert. Oft werden noch weitere Angaben verlangt, wie etwa die Anschrift, Kreditkartendaten oder das Geburtsdatum. Auf diese Daten haben es Kriminelle abgesehen.

Spam-Emails an erbeutete Adressen

Ein Datenleck bei einem Unternehmen bedeutet, wenn beispielswiese Cyberkriminelle unbefugten Zugriff auf genau diese Daten erhalten. Mitte Mai war dies bei der Fluggesellschaft EasyJet geschehen: Cyberkriminelle konnten E-Mail-Adressen, Reisedaten und teilweise Kreditkartendaten von neun Millionen EasyJet-Kunden erbeuten.

Gelangen Informationen zu solche Datenlecks nicht an die breite Öffentlichkeit, bemerkt man selten, dass die eigenen Zugangsdaten in fremde Hände gelangt sind. Erbeutete E-Mail-Adressen werden oft für Spam-Emails missbraucht, allenfalls kann sich ein Kreditkarten-Institut melden, weil es verdächtige Transaktionen bei einer erbeuteten Kreditkartennummer festgestellt hat.

Bin ich kompromittiert worden?

«Have I been pwned?» ist Internet-Slang und bedeutet salopp übersetzt «Bin ich kompromittiert worden?». Es ist aber auch ein Dienst, der einem einfach ermöglichen soll zu entdecken, ob die eigenen Daten in einem Datenleck enthalten sind. Es ist eine Sammlung von riesigen Datensätzen, die über Datenlecks an die Öffentlichkeit geraten sind. Auf «Have I been pwned?» kann man nun gratis anhand der eigenen E-Mail-Adresse all diese Daten durchsuchen und erfahren, ob und in welchem Datenleck diese Information aufgetaucht ist.

Hinter dem Dienst steckt ein australischer Sicherheitsforscher, der immer wieder in der Vergangenheit solche Datenlecks analysieren musste und immer wieder dieselben Nutzerdaten in verschiedenen Datensätzen auffand. Die Sammlung von Datensätzen ist längst nicht komplett – sie besteht aus Datensätzen, die dem Forscher zugespielt wurden oder er via öffentlich zugängliche Kanäle erhielt. Auf der Webseite des Dienstes beantwortet er ausführlich alle möglichen Fragen (auf Englisch) zum Dienst, wie er aufgebaut ist und wie er funktioniert:

Meine Daten sind in einem Datenleck – was tun?

  • Ruhe bewahren.
  • Sofort das Passwort des Dienstes wechseln, der vom Datenleck betroffen ist. Kein Passwort zweimal verwenden, auch kein altes leicht abwandeln und nochmals verwenden.
  • Passwörter zu erstellen und verwalten geschieht am besten mit einem Passwort-Manager (Ratgeber-Thema).
  • Tipps für gute Passwörter gibt es in diesem Ratgeber.
  • Wenn der Dienst es anbietet: Für zusätzliche Sicherheit «Zwei-Faktor-Authentisierung» aktivieren.
  • Falls Kreditkartendaten betroffen: Aufmerksam die Kreditkartenabrechnung prüfen, allenfalls die Kreditkarteninstitution informieren.
  • Allenfalls Bekannte informieren, dass sie E-Mails von einer fingierten bzw. der eigenen, betroffenen E-Mail-Adresse erhalten könnten.

Moderation: Sandra Schiess, Redaktion: Méline Sieber