Auch, wenn Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung (2FA) immer weiter verbreitet sind, schützen doch die meisten ihre digitalen Accounts nach wie vor allem mit einem Passwort. Das trifft auch auf die eigene E-Mail zu. Bei einem im April aufgedeckten Datenleck sind allerdings Millionen gestohlener E-Mail-Passwörter entdeckt worden. Betroffen waren Nutzerinnen und Nutzer weltweit und von vielen prominenten Diensten, darunter etwa Gmail, aber auch andere.
Solche Datenlecks kommen immer wieder vor, allerdings ist die Größe in diesem Fall doch bemerkenswert. Insgesamt hat es sich offenbar um 183 Millionen Passwörter und 3,5 TB an Daten gehandelt. Jetzt wurden diese Passwörter auf einer Website hinterlegt. So kann man über eine einfache Suchmaske herausfinden, ob man von dem Datenleck betroffen war und entsprechend handeln sollte.
Mehr als 70 Prozent der Passwörter sind zu schwach für echten Schutz
Offenbar wurde zumindest ein Teil der gestohlenen Passwörter über sogenannte Infostealer-Malware erbeutet. Diese gelangt oft über E-Mail-Anhänge oder infizierte Websites beziehungsweise Software auf die Geräte und kann unbemerkt auf dem System gespeicherte Daten auslesen und an Außenstehende weiterleiten. Etwa die TU Berlin warnte im Sommer aufgrund vor zunehmender Fälle vor dem Schadsoftware-Typ. Die erbeuteten Daten können unter anderem für Identitätsdiebstahl und Erpressung genutzt werden. Oft werden sie aber auch im Darknet verkauft.
Wer überprüfen möchte, ob er von dem ungewöhnlich großen Datenleck betroffen ist, kann das auf der Website „Have I Been Pwned“ tun. Diese überprüft im Übrigen nicht nur das genannte Datenleck, sondern auch weitere. Man muss dafür lediglich seine E-Mail-Adresse in das Suchfeld eingeben. Sollte man einen Eintrag finden, empfiehlt es sich, sein Passwort sofort zu ändern und – falls noch nicht geschehen – die 2FA zu aktivieren. Sollte man verdächtige Aktivitäten in seinen Accounts feststellen, empfiehlt es sich außerdem, einen Experten oder eine Expertin zu kontaktieren. Im Falle eines Identitätsdiebstahls sollte man zudem direkt bei der Polizei Anzeige erstatten und gegebenenfalls betroffene Konten sperren lassen, um größeren Schaden zu vermeiden.