12.03.2020

So stellen Sie fest, ob Mail-Konten von einem Datenleck betroffen sind

Sind erneut Mail-Adressen und Passwörter in unbefugte Hände geraten und im Internet veröffentlicht worden, ist die Sorge nicht nur in Unternehmen und Behörden groß, selbst betroffen zu sein. Doch wie stellen Sie fest, ob Sie zu den Opfern zählen?

Mail-Konten-Datenleck

Vorbereitet für die Datenschutz-Unterweisung

Die Abendnachrichten haben wieder einmal von einem schwerwiegenden Datenschutzvorfall berichtet: Datendiebe erbueteten eine große Anzahl von E-Mail-Adressen und Passwörtern, ein Teil der Daten ist bereits im Internet aufgetaucht.

Da stellt sich schnell die Frage: Bin ich selbst betroffen? Und wie finde ich das heraus?

Stellen Sie sich darauf ein, dass die Kolleginnen und Kollegen bei nächster Gelegenheit Sie als Datenschutzbeauftragte oder den Datenschutzbeauftragten (DSB) dazu befragen. Denn immerhin gilt es dann, so rasch wie möglich seine Passwörter zu ändern.

Phishing-Attacken nicht auf den Leim gehen

Zu den Hinweisen, die Sie als DSB geben können, gehört zuerst einmal eine deutliche Warnung. Denn auch Datendiebe schauen die Abendnachrichten oder haben von anderer Seite bereits vom aktuellen Vorfall gehört.

Sie nutzen dann die Aufmerksamkeit und Sorge, die die Meldungen erzeugt haben. Meist schicken sie eine Phishing-Mail. Diese behauptet dann, unter Angabe von E-Mail-Adresse und Passwort könne der Adressat erfahren, ob er vom Datenschutz-Vorfall betroffen ist oder nicht.

Das soll die Mail-Empfänger in die nächste Datenpanne locken: Wer hier E-Mail-Adresse und Kennwort angibt, erhält vielleicht die Mitteilung, er gehöre nicht zu den Opfern. Doch hat er gerade genau die Daten, um die er sich gesorgt hat, in die falschen Hände gegeben.

Besser seriöse Datenbanken nutzen

Es gibt allerdings Datenbanken, die tatsächlich die Möglichkeit bieten, bis zu einem gewissen Grad in Erfahrung zu bringen, ob die eigenen Daten betroffen sind oder nicht.

Ob diese Datenbanken den aktuellen Fall enthalten und auf dem neuesten Stand sind oder nicht, liegt in der Verantwortung des Datenbank-Betreibers.

In jedem Fall sind für die Abfragen keine Kennwörter erforderlich. Es reicht, die E-Mail-Adresse anzugeben.

Dennoch sollte jeder, der eine solche Datenbank nutzen will, sie genau prüfen. Ein Blick in die Datenschutzerklärung und das Impressum ist mehr als sinnvoll.

Als Beispiel für eine seriöse Datenbank, die gestohlene und im Internet veröffentlichte Daten auflistet, nennt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Seite https://haveibeenpwned.com/.

Dauerauftrag fürs Monitoring einrichten

Es gibt auch Online-Dienste, bei denen man seine Mail-Adresse hinterlegt, um bei einem Datenschutzvorfall einen Warnhinweis zu bekommen.

Auch hier muss der Nutzer sich immer die aktuelle Datenschutzerklärung und den Anbieter ansehen.

Ein Beispiel für ein solches Monitoring ist Firefox Monitor: https://monitor.firefox.com/. Dort lässt sich auch sehen, welche Datenlecks die Datenbank berücksichtigt.

Sie können in öffentlich zugänglichen Datenlecks nach E-Mail-Adressen suchen, ohne ein Firefox-Konto zu erstellen. Wer bei zukünftigen Datenlecks jedoch Warnmeldungen und einen Bericht erhalten möchte, muss ein Firefox-Konto bei monitor.firefox.com erstellen.

Im Ernstfall Passwort ändern!

Es reicht allerdings nicht, die Datenbanken zu durchforsten. Wer von einem Datenleck betroffen ist, muss schnell und richtig reagieren.

Das BSI empfiehlt, sein Passwort schnellstmöglich zu ändern, sobald es Hinweise gibt, dass es  in die Hände von unbefugten Dritten gelangt ist.

Ein solcher Hinweis kann die direkte Aufforderung eines Dienste-Anbieters sein, das Passwort zu ändern. Ebenso die Nachricht, dass Datendiebe Passwörter eines bestimmten Dienstleisters gestohlen haben und diese Daten nun im Internet aufgetaucht sind.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)