Wurde mein Account gehackt? Diese Webseite gibt euch Auskunft

Holger Eilhard

Heutzutage gehört es leider zum Alltag, dass unsere E-Mail-Adressen, die wir zum Anmelden bei einem Online-Dienst verwenden, in einer langen Liste mit Millionen anderer Nutzer an die Öffentlichkeit gelangen – häufig sogar mitsamt der dazugehörigen Passwörter. Die Webseite „Have I Been Pwned?“ hat es sich daher schon seit einigen Jahren zum Ziel gemacht, die betroffenen Nutzer in solchen Fällen darüber zu informieren.

Wurde mein Account gehackt? Diese Webseite gibt euch Auskunft
Bildquelle: Getty Images / RaStudio.

Datenlecks einfach erkennen: „Have I Been Pwned?“ hilft

Have I Been Pwned?“, frei übersetzt „Bin ich betroffen?“, ist seit mittlerweile mehr als fünf Jahren eine Anlaufstelle im Internet, die Auskunft darüber gibt, ob die eigene E-Mail-Adresse Bestandteil eines Datenlecks war.

Das Problem: Viele Nutzer verwenden auch heute noch ein und dasselbe Passwort in Kombination mit derselben E-Mail-Adresse über mehrere Webseiten hinweg. Die Mischung aus Sicherheitslücken bei diversen Onlinediensten und diesem bequemen Leichtsinn sorgt schnell dafür, dass sich Cyber-Ganoven Zugriff auf Online-Banking, E-Mail-Konten oder andere wichtige Dienste verschaffen können.

Der Sicherheitsexperte Troy Hunt startete daher im Dezember 2013, nach einem — für damalige Verhältnisse — gigantischen Datenleck bei Adobe, von dem mehr als 153 Millionen Accounts betroffen waren, die Seite „Have I Been Pwned?“ (abgekürzt auch als HIBP bekannt). Schon damals boten verschiedene Webseiten die Möglichkeit an, nach der eigenen E-Mail-Adresse zu suchen. Eine zentrale Anlaufstelle, die viele verschiedene Leaks zusammenfasst, gab es aber nicht. Darüber hinaus konnten sich Benutzer sich nicht einfach darüber informieren lassen, wenn ihre E-Mail-Adresse irgendwo in einem Leak enthalten war. Dies wollte Hunt ändern.

Bilderstrecke starten
16 Bilder
Datenschutz-Thementag bei GIGA: Das sind die Tipps der Redaktion.

Have I Been Pwned? — Die einfache Suche nach der eigenen Adresse in einem Meer von Milliarden Nutzern

Was vor fünf Jahren mit rund 154 Millionen betroffenen E-Mail-Adressen den Anfang nahm, hat sich seitdem deutlich verschlimmert. Zum aktuellen Zeitpunkt zählt die Seite etwa 5.687.892.700 betroffene Accounts. Das sind natürlich nicht alle Vorfälle, die es auf der Welt gibt, aber es dürften zumindest viele bekannte und aktuelle Hacks berücksichtigt sein.  Absolute Sicherheit kann auch dieser Dienst nicht bieten, denn was nicht bekannt ist, kann nicht eingetragen werden.

Beim Besuch der Seite kann in das Suchfeld einfach eure oder eine andere beliebige E-Mail-Adresse eingegeben werden, woraufhin man innerhalb weniger Sekunden darüber informiert wird, ob die angegebene Adresse in einem Leak enthalten ist. Dies hilft dann etwa dabei, sich zu einer Passwortänderung bei den betroffenen Diensten zu entschließen.

Außerdem geben die Resultate einen Einblick darauf, wie weit es die ausgewählte Adresse im Internet „geschafft hat“. Die Leaks kommen nämlich nicht nur von Online-Diensten wie Dropbox, Adobe oder MySpace, sondern auch von Mailling- oder Spam-Listen. Da auch dies einen Eingriff in den Datenschutz darstellt, sind diese Quellen in den gezeigten Informationen mit enthalten.

Mehr als nur geleakte E-Mail-Adressen

Hatte sich Hunt einst auf den Abgleich von E-Mail-Adressen spezialisiert, wurde die Seite im August 2017 durch eine weitere hilfreiche Suchfunktion erweitert. So bietet der Dienst seitdem auch eine Suche in einer anonymisierten Liste geleakter Passwörter an. Dies geschah als Reaktion auf eine Empfehlung des National Institute of Standards and Technology in den USA, kurz NIST.

Darin heißt es, dass bei der Verifikation von Passwörtern auch überprüft werden soll, ob das ausgewählte Kennwort eines Nutzers bereits in einem Datenleck enthalten war. Genau diese Schnittstelle bietet Hunt seitdem an und wird etwa vom Passwort-Manager 1Password angeboten.

Hier bietet das Watchtower genannte Feature nicht nur eine Übersicht über Dienste, bei denen man schnellstmöglich sein Passwort ändern sollte, sondern eben auch eine Liste der Accounts mit einem schwachen Passwort. Wie das funktioniert, ohne dass die persönlichen Informationen den eigenen Computer verlassen müssen, erklären die Entwickler von 1Password in einem Blog-Post.

Schnelle Information bei neuen Datenlecks

Wie erwähnt war eines der grundlegenden Ziele, Internet-Nutzer darüber zu informieren, dass ihre E-Mail-Adresse im Netz verbreitet wird. Um dies nicht nur auf einen manuellen Besuch von haveibeenpwned.com zu limitieren, könnt ihr euch auch jedes Mal vollautomatisch darüber informieren lassen, wenn eure Adresse in einem neuen Leak entdeckt wurde.

Damit seid ihr dann auch in Zukunft immer auf dem Laufenden, ganz ohne den Einsatz von einem Passwort-Manager wie 1Password, der diese Funktion direkt ab Werk mitliefert.

Zu den Kommentaren

Kommentare zu diesem Artikel

Neue Artikel von GIGA TECH

  • TV NOW auf der PlayStation 4: Geht das?

    TV NOW auf der PlayStation 4: Geht das?

    Mit TV NOW bekommt ihr Zugang zu den Sendungen der RTL-Sender und könnt zum Beispiel GZSZ im Stream ansehen oder bei der Serie „M – eine Stadt sucht einen Mörder“ einschalten. Der Empfang ist über verschiedene Wege möglich. Doch wie sieht das aus, wenn man TV NOW über die PlayStation 4 sehen will?
    Martin Maciej
  • TV NOW auf Smart TV sehen: Geht das?

    TV NOW auf Smart TV sehen: Geht das?

    Mit dem Angebot von TV NOW könnt ihr die Sender der RTL-Gruppe online sehen und zudem auf viele exklusive Inhalte zugreifen. Dabei könnt ihr die Sendungen nicht nur auf einem mobilen Gerät oder am PC einschalten, sondern auch TV NOW auf dem Fernseher empfangen. Doch geht das auch über ein Smart TV?
    Martin Maciej
* gesponsorter Link