Zscaler Kommentar zur Veröffentlichung von 773 Millionen E-Mail-Adressen

Rund 773 Millionen E-Mail-Adressen und mehr als 21 Millionen Passwörter wurden nach Informationen von Cybersecurity-Experte Tory Hunt in einer beliebten Hacking-Datenbank geteilt. Seine erste Analyse, namens Collection #1 beweist, dass obwohl keine Kreditkarteninformationen in der Hacker-Datenbank zu finden sind, die Datenbank über Daten aus mehr als 2.000 verschiedenen Datenschutzverstößen und gehackten Datenbanken oder Websites verfügt.

Rainer Rehm, Vorstand beim deutschen (ISC)2

Rainer Rehm, Vorstand beim deutschen (ISC)2 Chapter kommentiert: „Scheinbar gewöhnen wir uns an diese Art von Meldungen sehr schnell und nehmen sie schon gar nicht mehr als bedrohlich wahr. Mehr als die Hälfte aller darin gefundenen Datensätze sind E-Mails und Passwörter, die bei unterschiedlichen Web Services identisch verwendet wurden. Das heißt, Nutzer verwenden die gleiche Kombination, bestehend aus ihrem Benutzernamen oder ihrer E-Mail-Adresse und einem Passwort, für gleich mehrere Services. Das ist nachvollziehbar, denn verschiedene E-Mail-Adressen und Passwörter erhöhen die Komplexität im Alltag. Aber wenn Benutzer die Empfehlung der Security Experten umzusetzen und ernst nehmen würden, wären sie nicht mehr für solche Hackerangriffe anfällig. Nutzer sollten einen Passwortmanager und, wo möglich, eine Mehrfaktor-Authentifizierung (MFA) verwenden, um sich bei den Diensten anzumelden. Eine Zwei-Faktorauthentifizierung per SMS, zeitbasierte Einmal-Token oder gar Hardware-Token werden von einigen großen und bekannten Serviceprovidern wie GMX oder WEB.de gar nicht erst angeboten und unterstützt.

Gerade deshalb müssen wir als Kunde die von den Sicherheitsexperten vorgeschlagenen Maßnahmen wie Passwortmanager und MFA einfordern und dann auch verwenden. Passwortmanager gibt es sowohl als kostenlose Open Source-Lösung wie Keepass oder auch als kommerzielle Variante wie Lastpass. Möglicherweise gibt es auch die Möglichkeit für jedes Konto eine eigene dedizierte E-Mail-Adresse für jeden einzelnen Web Service zu erstellen beziehungsweise zu verwenden, beispielsweise meinebank@meinedomain.de. Wie immer gilt auch hier, dass erst die Erkenntnis, dass eine Gefahr besteht, der erste Schritt zur Besserung ist. Danach kommt dann die Therapie in Form eines Umdenkens (und die Erkenntnis, dass es schlecht ist, überall die gleichen Passwörter und Benutzernamen zu benutzen) durch die Verwendung entsprechender Werkzeuge.“