Mittlerweile vergehen kaum Tage, an denen keine Meldungen zu Datendiebstählen oder Datenpannen in der Presse zu finden sind. Meldungen in der Presse behandeln dabei meistens Vorfälle, in denen sehr viele Benutzer betroffen sind, besonders sensible Daten abgeflossen sind oder die betroffene Webseite bzw. Firma besonders bekannt ist.

Für den Benutzer steht bei diesen Meldungen im Vordergrund, ob seine Zugangsdaten oder persönlichen Informationen betroffen sind. Meistens gibt es keine andere Möglichkeit, als den eigenen Account und das damit verbundene E-Mail-Konto auf einen Hinweis vom Betreiber zu prüfen.

Leider gibt es entsprechende Informationen durch den Betreiber nicht immer oder über ein Kommunikationsmittel, das einen Betroffenen gar nicht erreicht. Schließlich ist auch zu bedenken, dass kaum jemand noch alle Webseiten kennt, auf denen irgendwann mal ein Benutzerkonto angelegt wurde.

Besser wäre also, wenn zentral für die eigenen Benutzernamen und E-Mail-Adressen geprüft werden könnte, ob diese von Datendiebstählen betroffen sind.

Have i Been Pwned?

Genau diesen Service stellt die Webseite Have I Been Pwned (HIBP) von Troy Hunt unter https://haveibeenpwned.com/ bereit. Auf der Webseite werden Daten zu Hacks gesammelt und zu den betroffenen Nutzernamen und E-Mail-Adressen gelinkt. Außerdem wird für jeden hinterlegten Hack eine kurze Beschreibung, der ungefähre Zeitpunkt und die Art der abgeflossenen Daten, z.B. E-Mail-Adressen, Passwörter, Adressdaten oder Kreditkartendaten, dokumentiert.
Um über neue Hacks schnell informiert zu werden, können E-Mail-Adressen für einen automatischen Benachrichtigungsdienst eingetragen werden. Wird eine E-Mail-Adresse mit einem neuen Hack verknüpft, erfolgt dann automatisch eine Benachrichtigung an die betroffene Adresse.
Die gesammelten Hacks können auf der Webseite nach verknüpften E-Mail-Adressen und Nutzernamen durchsucht werden, bei Treffern wird die dazugehörige Beschreibung der Hacks angezeigt.

Diese Benachrichtigung gibt es nicht nur für einzelne E-Mails, sie kann auch für ganze Domains aktiviert werden. In diesem Fall werden Verknüpfungen mit Bezug auf eine Domain an eine eingetragene Benachrichtigungsadresse gesendet. Da für diese Features ein gewisses Missbrauchsrisiko besteht, ist dies erst nach einer Verifikation möglich, in der die Kontrolle über die betroffene Domain nachgewiesen wird und somit die Berechtigung zum Erhalt von Benachrichtigungen für die Domain vorhanden ist.

Warum kann der Dienst genutzt werden

Bei Diensten im Internet stellt sich immer die Frage, wie diese bezahlt werden. Häufig wird bei vermeintlich „kostenlosen“-Diensten die Nutzung nämlich nicht mit Geld, sondern mit den persönlichen Daten bezahlt. Bei HIBP könnte sich daher auch der Verdacht ergeben, dass die bei der Nutzung eingegebenen E-Mail-Adressen von dem Dienst gesammelt werden, um diese anschließend weiter zu verwenden.

Diese Problematik wird auch in einem FAQ-Eintrag, in dem erklärt wird, dass die Daten nicht gesammelt werden, thematisiert:

How do I know the site isn’t just harvesting searched email addresses?

You don’t, but it’s not. The site is simply intended to be a free service for people to assess risk in relation to their account being caught up in a breach. As with any website, if you’re concerned about the intent or security, don’t use it.

Wie im FAQ-Eintrag beschrieben, kommt es letztlich darauf an, ob der Aussage von Troy Hunt als Betreiber Glauben geschenkt werden kann.

Aus unser Sicht gibt es jedoch keinen erkennbaren Grund um von der Nutzung des angebotenen Dienstes abzuraten. Auf der Webseite stellt sich Troy Hunt als Betreiber der Webseite vor, erläutert die Funktionsweise des Dienstes und seine Motivation diesen zu betreiben. Darüberhinausgehende Informationen zu HIBP sind zudem in seinen Blog (https://www.troyhunt.com/) veröffentlicht, auf dem z.B. einige der getroffenen Designentscheidungen erläutert werden. Durch diese bereitgestellten Informationen ergibt sich aus unserer Sicht eine Transparenz durch den Betreiber, die nicht zu Webseiten, die einfach nur E-Mails oder andere Daten von Nutzer sammeln möchten, passt.

Die Entscheidung zur Nutzung von HIBP muss aber letztlich jeder für sich selbst treffen.

Was ist auch als Nicht-Nutzer zu beachten

Bei HIBP handelt es sich um eine öffentliche Webseite. Grundsätzlich kann jeder nach einer beliebigen E-Mail-Adresse suchen Um dies zu unterbinden gibt es die Möglichkeit, eine E-Mail-Adresse aus der öffentlich durchsuchbaren Datenbank auszutragen. Nach dem Austragen einer Adresse sieht jede Suche so aus, als ob keine Einträge zur E-Mail-Adresse bei HIBP vorliegen. Wenn eine E-Mail-Adresse ausgetragen wurde, können dazugehörige Ergebnisse weiterhin über die Benachrichtigungs-Funktion eingesehen werden, da bei dieser Funktion das Ergebnis nur über eine an die Adresse versandte E-Mail zugänglich gemacht wird.

Über HIBP werden keine Daten aus den Hacks veröffentlicht, sondern nur E-Mail-Adressen und Benutzernamen mit Hacks verknüpft. Manchmal ist diese Verknüpfung allerdings schon genug um private Informationen zu veröffentlichen, z.B. wenn eine E-Mail mit einem Seitensprung-Portal oder eine Schwulen-Community verknüpft wird. Daher werden bestimmte Hacks als „sensitiver Hack“ gekennzeichnet. Diese Datendiebstähle sind nicht öffentlich durchsuchbar, sondern werden nur über E-Mail an vorher verifizierte E-Mail-Adressen gesendet.

In der öffentlichen Suche sind daher nur Verknüpfungen von E-Mail-Adressen zu nicht „sensitiven Hacks“ einsehbar.

I have been pwned … was nun?

Eine entscheidende Frage ist natürlich, was zu tun ist, wenn die eigene E-Mail-Adresse in einem oder mehreren Hacks auftaucht. Der erste Schritt sollte sein, zu prüfen welche Daten betroffen sind und entsprechende Gegenmaßnahmen einzuleiten.

Wenn das Passwort betroffen ist, sollte dieses beim betroffenen Benutzerkonto sofort geändert werden. Falls das Passwort auch für andere Benutzerkonten wiederverwendet wurde, sollte es auch dort geändert werden. Hohe Priorität sollten insbesondere die Konten erhalten, bei denen die gleiche Kombination von Benutzername/E-Mail und Passwort eingesetzt wurde.

Weitere kritische Informationen können persönliche Daten, wie Adresse, Konto- oder Kreditkartendaten, sein. Mit diesen Daten könnten z.B. Identitätsdiebstähle begangen werden. Daher sollten Zahlungen über Konten und Kreditkarten besonders geprüft werden. Um mögliche Indizien für den Missbrauch der Daten zu erkennen, sollte auch die kostenlose Auskunftsmöglichkeit nach § 34 BDSG bei deutschen Auskunfteien, z.B. der Schufa, genutzt werden. Denn eventuell wurden bei diesen von Dritten beantragte Verträge, Konten oder Kreditkarten gemeldet. Es ist natürlich zu bedenken, dass die Informationen der Auskunfteien unvollständig sein können und daher der aktive Missbrauch von Daten nie ausgeschlossen werden kann. Eine weitere Möglichkeit zum Erkennen von Missbrauch ist der Einsatz von „Identitätsschutz-Services“, die die Nutzung der eigenen Identitätsdaten überwachen. Manchmal werden diese Services auch als Kulanz von dem vom Datendiebstahl betroffenen Unternehmen für Ihre Kunden angeboten.