Gleich zu Beginn die Empfehlung vom BKA und natürlich von uns: Checkt beim „Identity Leak Checker“ vom Hasso-Plattner-Institut, ob ihr betroffen seid. Das geht – wenn der Server nicht gerade wieder überlastet ist – auch sehr schnell:
- Eigene Mail-Adresse eintragen
- Absenden
- Auf Rückmeldung warten
Das Ergebnis bekommt ihr dann an die eingetragene E-Mail-Adresse geschickt.
Woher stammen die Daten?
Es ist nicht bekannt, aus welchen Quellen diese Daten stammen. Deshalb kann tatsächlich jeder betroffen sein, der irgendwo einen Account angelegt hat.
Was sollte man tun, wenn man betroffen ist?
- Dei den entsprechenden Accounts das Passwort umgehend ändern.
- Bei allen Diensten, bei denen das gleiche Passwort verwendet wird, das Passwort ändern.
- Bessere Passwörter, unterschiedliche Passwörter und 2-Faktor-Authentifizierung nutzen.
Allen Empfehlungen zum Trotz neigen viele Nutzer immer noch dazu, sich auf einige wenige oder sogar nur ein Passwort zu beschränken. Es ist einfach bequemer, klar. Abhilfe schafft hier ein Passwortmanager.
Passwortmanager gibt es ja durchaus einige und zumindest die populärsten Browser bringen ja zumindest rudimentäre Funktionen in der Richtung mit. Und wer mehr möchte, der findet reichlich Lösungen, beispielhaft seien hier mal KeePass, LastPass und 1Password genannt. Da ist für jeden Geldbeutel etwas dabei, ob Open Source oder Closed Source, mit Cloud-Synchronisation oder auch Synchronisation über eigene Server, mit Apps für iOS und Android – man kann sicher nicht sagen, dass es am fehlenden Angebot liegen würde.
Und dann gibt es ja noch die 2-Faktor-Authentifizierung, die so schwer an sich nicht einzurichten ist und die immer mehr Dienste anbieten. Zumindest bei den großen Diensten ist diese zusätzliche Sicherheit inzwischen Standard: 2-Faktor-Authentifizierung einrichten (Anleitung)
Sichere Passwörter
Das BKA verweist in der Pressemeldung auch noch auf die Seiten des BSI, wo es auch grundlegende Empfehlungen für sichere Passwörter gibt:
- Es sollte mindestens acht Zeichen lang sein, je länger desto besser.
(Ausnahme: Bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren – das geht zum Beispiel beim Hacken von Online-Accounts nicht.) - Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
- Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
- Wenn möglich sollte es nicht in Wörterbüchern vorkommen.
- Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.
- Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.
- Nutzen Sie einen Passwortmanager, um möglichst komplexe Passwörter gut verwalten zu können.
