GWDG-Sicht zum weltweiten Datenleck "Collection #1 - #5"

Passwörter zu 2,2 Mrd. E-Mail-Adressen im Internet – Fragen und Antworten

(Stand: 12.02.2019)

Nachdem Anfang Januar der Hacker-Angriff auf Politiker und andere Prominente und die damit verbundenen Veröffentlichungen teils privater und sensibler Daten die Schlagzeilen bestimmt haben, sorgen aktuell Nachrichten über riesige Sammlungen von E-Mail-Adressen und zugeordneten Passwörtern, die im Internet kursieren, für Unruhe. Die unter den Namen „Collection #1 - #5“ diskutierten Sammlungen sollen Daten zu ca. 2,2 Milliarden Online-Konten enthalten. Wir versuchen nachstehend, die wichtigsten mit diesem Datenleck verbundenen Fragen zu beantworten. Wir haben das als FAQ-Liste gestaltet und auf unseren Webseiten veröffentlicht. Diese FAQ-Liste wird bei Bedarf aktualisiert.

Was sind das für Daten zu den 2,2 Mrd. E-Mail-Adressen?

Im Internet kursieren immer wieder Listen mit E-Mail-Adressen und Daten, die diesen zugeordnet werden. Diese Daten können Passwörter (oder etwas, das aussieht, als ob es Passwörter sein könnten) oder auch Telefonnummern, Kreditkarten-Daten oder vieles anderes sein. Die aktuellen Listen oder Kollektionen scheinen eine Zusammenfassung solcher kleineren Datensätze zu sein.

Die Qualität dieser Daten ist unklar. Es ist durchaus möglich, dass diese Daten sehr alt sind. Die GWDG hat in der Vergangenheit immer wieder kleinere Datensätze mit im Internet kursierenden Daten zu Konten, die zu Systemen der GWDG passten, erhalten. In solchen Fällen gab es meist die Hälfte der Konten schon garnicht mehr. In Fällen, in denen Informationen zum Passwort vorlagen, hatten angesprochene Kontoinhaber fast immer mitgeteilt, dass sie ein solches Passwort für das GWDG-Konto nicht verwendet hätten. In einer einstelligen Zahl von Fällen war in den Datenlecks tatsächlich ein Passwort aufgetaucht, das (auch) für das GWDG-Konto verwendet wurde.

Sind auch Konten der GWDG, Max-Planck-Gesellschaft oder Universität Göttingen betroffen?

Definitiv ja. Stichproben haben das bestätigt.

Kann ich feststellen, ob ich selbst betroffen bin?

Ja, auf mehreren Webseiten werden Prüfmöglichkeiten angeboten.

Ein Anbieter ist der australische Sicherheitsforscher Troy Hunt, der Informationen aus Datenlecks sammelt und diese auf seiner Webseite „Have I Been Pwned” (https://haveibeenpwned.com) zur Verfügung stellt. Dort kann in einem Webformular die eigene E-Mail-Adresse eingegeben werden, um die Sammlung zu durchsuchen. Die Webseite informiert dann, ob die E-Mail-Adresse gefunden wurde, und gibt zusätzlich Informationen, in welchen Datenquellen diese enthalten war.

Auch das Hasso-Plattner-Institut (HPI) pflegt eine solche Sammlung. Dort kann man auf einer Webseite (https://sec.hpi.uni-potsdam.de/ilc/) seine E-Mail-Adresse eingeben und bekommt daraufhin per E-Mail an die abgefragte Adresse eine entsprechende Auskunft (Beispiel unter https://sec.hpi.uni-potsdam.de/ilc/publickeys).

Die Datenbestände beider Anbieter unterscheiden sich im Detail bzgl. älterer Datenlecks, beinhalten aber beide die neuen Datenlecks.

Wenn ich betroffen bin, kann ich dann feststellen, welches Passwort von mir betroffen ist?

Nein (außer man verschafft sich Zugang zu den Rohdaten des Datenlecks). „Have I Been Pwned” wie auch das HPI liefern nicht zurück, welche Passwörter (oder sonstigen Informationen) zu welchem Konto in den Listen auftauchen. Das ist auch gut so, denn sonst könnte dieser Dienst böswillig missbraucht werden.

Ist es sicher, in „Have I Been Pwned” oder beim HPI nach meiner E-Mail-Adresse zu suchen?

Ihre E-Mail-Adresse auf einer unbekannten Webseite anzugeben, kann prinzipiell Risiken beinhalten. Vielleicht wird die Adresse dort gespeichert und in der Folge an Spam-Versender verkauft, die Sie später mit unerwünschten E-Mails überhäufen.

Troy Hunt ist allerdings ein Sicherheitsforscher mit einer guten Reputation, sodass hier nicht angenommen werden muss, dass „Have I Been Pwned” missbräuchlich genutzt wird. Das HPI ist eine renommierte Einrichtung, die akademisch an die Universität Potsdam angebunden ist. Auch hier ist ein Missbrauch nicht zu erwarten.

Ob man diese Dienste nutzen will, mag dann auch noch davon abhängen, ob man seine E-Mail-Adresse eher als eine weitverbreitete oder als eine geheime Information betrachtet.

Meine E-Mail-Adresse taucht in der Datensammlung auf. Was mache ich nun?

Das lässt sich leider nicht einfach beantworten, weil eben unklar ist, welche Informationen in der Datensammlung zu Ihrer E-Mail-Adresse stehen. Sicher ist nur, dass die E-Mail-Adresse in der Liste auftaucht. Alles andere kann falsch, harmlos, veraltet oder leider auch sensibel sein.

Wir versuchen, mit den nächsten Fragen und Antworten ein paar Hilfestellungen zu geben.

Wie gefährdet bin ich, wenn eine meiner E-Mail-Adressen in den Datensammlungen gefunden wird?

Das lässt sich leider nicht einfach beantworten, da ein Treffer auf die Anfrage nach der E-Mail-Adresse zunächst nur sagt, dass die E-Mail-Adresse in den Datensammlungen auftaucht.

In der weiteren Erläuterung steht zusätzlich, in welchen Quellen die E-Mail-Adresse auftaucht. Die Erläuterungen zu den Quellen können hilfreich für die Einschätzung sein. Bei einigen der Quellen waren gar keine Passwort-Informationen enthalten, sondern z. B. nur Namen, Telefonnummern und Anschriften. Auch solche Informationen können sensibel sein (vielleicht sind es aber auch nur Informationen, die sowieso öffentlich verfügbar sind).

Zu anderen Quellen wird angegeben, dass in den Datensätzen Passwörter enthalten wären. Da aber nicht klar ist, welche Passwörter das jeweils sind, kann nicht festgestellt werden, ob das Passwort, das im Datenleck auftaucht, überhaupt ein wirklich irgendwann verwendetes Passwort ist oder ob das Passwort vielleicht vor Jahren ersetzt wurde.

Welches Konto ist gefährdet, wenn eine meiner E-Mail-Adressen in den Datensammlungen auftaucht?

Wenn eine Ihrer E-Mail-Adressen in den Datensammlungen auftaucht und in der Erläuterung steht, das in dem Datenleck auch Passwörter enthalten waren, dann muss das Passwort nicht zu dem Konto gehören, dass mit der E-Mail-Adresse direkt verbunden ist (z. B. zu Ihrem GWDG-Konto).

Häufig werden bei irgendwelchen Dienstleistern im Internet lokale Konten angelegt, bei denen E-Mail-Adressen des Kunden als Kontoname verwendet werden. Die meisten Internet-Nutzer dürften mehrere solcher Konten haben. Es könnte also sein, dass die Information über Sie nicht aus einem Datenleck des E-Mail-Providers stammt, sondern von einem Dienstleister, bei dem Sie ihre E-Mail-Adresse als Kontoname „wiederverwenden“. Wenn Sie sich dann an die Sicherheitsempfehlung gehalten haben, für jeden Dienst ein anderes Passwort zu verwenden, wäre nur dieser eine Dienst betroffen und nicht Ihr E-Mail-Konto.

Der am wenigsten sensible Fall wäre also, dass nur ein Konto betroffen ist, das Sie bei einem Dienst bekommen haben, der mehr oder weniger belanglos ist. Es könnte aber auch ein Passwort für einen Dienst sein, bei dem sensible Daten gespeichert sind. Um das zu entscheiden, müsste man wissen, welche der eigenen Passwörter zu der enthaltenen E-Mail-Adresse aufgetaucht sind. Diese Zuordnung wird von den öffentlich verfügbaren oben beschriebenen beiden Diensten von Troy Hunt und dem HPI nicht angeboten.

Kann ich prüfen, ob mein Passwort in den Datensammlungen enthalten ist?

Es kann geprüft werden, ob ein Passwort in den Datensammlungen enthalten ist. Diesen Dienst bietet „Have I Been Pwned” auf einer Webseite und über eine API (Application Programing Interface) an. Die GWDG hat als Reaktion auf diesen Vorfall einen eigenen ähnlichen Dienst mit Webseite und API aufgebaut und dazu die von „Have I Been Pwned” bereitgestellte Möglichkeit zum Kopieren eines Datensatzes von SHA-1-Hashes von geleakten Passwörtern genutzt und mit Daten aus weiteren Datenquellen angereichert.

Der Dienst der GWDG ist unter https://www.gwdg.de/pwleak/ zu erreichen. Sie können dort nach einem beliebigen Passwort suchen und erhalten als Antwort, ob dieses Passwort in einer der Datensammlungen enthalten ist. Die Antwort besagt aber nicht, in Verbindung mit welcher E-Mail-Adresse das Passwort in den Datensammlungen enthalten ist. Auch hier gilt wieder: Nur wenn etwas gar nicht gefunden wird, kann man beruhigt sein. Wenn das Passwort gefunden wird, könnte es auch zu einer ganz anderen E-Mail-Adresse in der Datenbank enthalten sein. Bei einem guten Passwort wäre das aber eher unwahrscheinlich. Man sollte daher davon ausgehen, dass man dann betroffen ist (zum weiteren Vorgehen s. u.).

Ist es nicht riskant, auf einer unbekannten Webseite ein Geheimnis wie ein Passwort einzugeben?

Ja. Es gilt die Sicherheitsempfehlung: Geben Sie Ihr Passwort nie auf einer unbekannten Webseite ein (oder auf fremden Rechnern oder in anderen unsicheren Situationen).

Aus diesem Grund bietet die GWDG einen eigenen Dienst an. Das aktuelle Passwort eines GWDG-Kontos (oder auch früher dafür verwendete Passwörter) können Sie auf einer GWDG-Webseite ohne Bedenken eingeben. Es sind ja Passwörter, die zu diesem Dienst gehören oder gehörten. Sie sollten nur sicherstellen, dass Sie wirklich mit dem Dienst der GWDG verbunden sind! Geben Sie die Adresse selbst in der Adresszeile des Browsers ein oder prüfen Sie die Adresszeile, wenn Sie über einen Link auf einer anderen Webseite dorthin gelangt sind. Dort muss https://www.gwdg.de/pwleak/ und vorweg auch das Schlosssymbol stehen, das die Authentizität der https-Webseite bestätigt.

Der Webdienst der GWDG zur Abfrage der Passwörter überträgt zudem nicht direkt Ihr Passwort zur GWDG, sondern bietet eine sogenannte k-Anonymität.

Was bedeutet die k-Anonymität beim Dienst der GWDG?

Für die technisch Interessierten soll hier kurz erläutert werden, welche Anonymisierung die GWDG bei Ihrem Passwort-Leak-Check vornimmt: Ihr auf unserer Webseite eingegebenes Passwort verlässt nicht Ihren Browser. Zur Prüfung wird Ihr Passwort in Ihrem Browser in einen sogenannten kryptographischen Hash (einen SHA-1-Hash) überführt. Nur die ersten fünf Zeichen dieses Hashes werden an unseren Dienst übertragen. Die Antwort unseres Dienstes enthält dann eine Liste von Hashes aus den Datensammlungen, welche mit diesen fünf Zeichen beginnen. Die Prüfung, ob Ihr Hash in dieser Liste aufgeführt ist, erfolgt dann wiederum nur in Ihrem Browser. Damit ist auch die Antwort, ob Ihr Passwort bekannt ist oder nicht, nur Ihnen bekannt.

Darf ich über den Dienst der GWDG auch andere Passwörter als die von GWDG-Konten prüfen?

Die GWDG bietet den Dienst zur Prüfung beliebiger Passwörter an. Streng genommen gilt natürlich auch hier die Sicherheitsempfehlung, Passwörter immer nur auf den Webseiten einzugeben, zu deren Dienst diese Passwörter gehören. Andererseits bieten die meisten Dienstanbieter einen solchen Passwort-Check-Dienst nicht an. Hier müssen Sie entscheiden, in welchen Dienstleister Sie genügend Vertrauen setzen, um diese eigentlich notwendige Prüfung vorzunehmen. Die GWDG als Dienstleister für die Universität Göttingen und die MPG ist hierfür selbstverständlich als vertrauenswürdig anzusehen.

Kann man sein Passwort prüfen lassen, ohne es auf einer Webseite einzugeben?

Ja, für technik-affine gibt es die oben schon erwähnte Alternative eines API-Zugriffs (bei der GWDG oder bei „Have I Been Pwned”). Diese kann verwendet werden, um nach einem Passwort zu suchen, ohne das Passwort selbst zu übermitteln. Dazu muss der SHA-1-Hash des Passworts berechnet und die ersten fünf (von 40) Zeichen des Hashes per API als Anfrage übergeben werden. Die Antwort enthält alle Hashes, die mit den fünf Zeichen beginnen. In dieser Liste kann lokal gesucht werden, ob der vollständige Hash (oder genauer die Zeichen 6-40 des Hashes) in der Antwortliste auftaucht (engl. Anleitung für den GWDG-Dienst: https://www.gwdg.de/pwleak/api.html). Das ist dasselbe Vorgehen, das auch beim GWDG-Webdienst über den Browser implementiert ist (nur für den Skeptiker selbst nachvollziehbar).

Damit wurde das Passwort selbst keiner externen Stelle mitgeteilt, sondern nur ein Hash und von dem auch nur ein Achtel. Die Restrisiken, die mit dem Vorgehen verbunden sind, scheinen vertretbar.

Was sollte ich tun, wenn ich betroffen bin?

Wenn Anfragen nach der E-Mail-Adresse und nach einem zugehörigen Passwort einen Treffer ergeben haben, sollte das betreffende Passwort sofort geändert werden. Sie sollten auch überlegen, welche Konsequenzen der Vorfall gehabt haben könnte. Auch wenn die Antworten einer Prüfung noch nicht definitiv aussagen, dass die Kombination E-Mail-Adresse/Passwort zusammen in einem Datenleck aufgetaucht ist, muss angenommen werden, dass dies der Fall ist und ein Angreifer Zugriff auf alle Daten gehabt haben könnte, die über diese Kombination gesichert waren.

Bei Beurteilung der Konsequenzen muss berücksichtigt werden, auf welche Daten ein Angreifer Zugriff gehabt haben könnte und wie sensibel diese sind oder waren. Im Falle von personenbezogenen Daten kann es sich um einen meldepflichtigen Datenschutzvorfall handeln. Eine Information an die zuständigen Stellen muss hier umgehend erfolgen, da darüber in der Folge innerhalb von 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen muss. Forschungsdaten können ebenfalls Vertraulich-keits- oder Geheimhaltungsanforderungen unterliegen. Informieren Sie ggf. die Datenschutz- und IT- bzw. Informationssicherheits-Verantwortlichen Ihrer Einrichtung!

Was kann ich vorbeugend tun, um den Schaden von Passwort-Leaks zu minimieren?

Für den Umgang mit Passwörtern gilt die Empfehlung, für jeden Dienst ein eigenes Passwort zu verwenden. Ein Datenleck bei einem Dienstleister gefährdet dann nicht auch noch Daten bei anderen Dienstleistern. Die IT-Sicherheitsrichtlinien von GWDG, MPG und Universität fordern auch explizit, dass die dienstlichen Passwörter nicht auch noch an anderer Stelle verwendet werden.

Was kann ich tun, weil ich mir nicht alle Passwörter merken kann, wenn ich für jeden Dienstleister ein anderes Passwort verwenden soll? Das eine dienstliche Passwort, welches täglich mehrmals benötigt wird, wird man sich wahrscheinlich merken können. Für Passwörter bei Dienstleistern, die selten verwendet werden, ist dies sicherlich illusorisch. Solche Passwörter müssen notiert oder gespeichert werden. Die beste Lösung dafür sind Passwort-Manager. Das sind Programme, die in einer verschlüsselten Datei Passwörter sicher aufbewahren. Die Verschlüsselung der Datei wird dabei mit einem Master-Passwort geschützt. Man muss sich also nur noch das Master-Passwort merken. Das Master-Passwort sollte daher natürlich auch ein starkes Passwort sein (länger als einfache Passwörter, komplex und nicht von fremden Personen zu erraten).

Passwort-Manager können auch starke Passwörter erzeugen. Da der Passwort-Manager sowieso dazu dient, bei Bedarf ein Passwort aus der verschlüsselten Datei zu kopieren, um sich damit bei einem bestimmten Dienst anzumelden, kann auf diese Weise ohne großen Aufwand die Verwendung von starken Passwörtern umgesetzt werden.

Welche weiteren Maßnahmen ergreift die GWDG zum Schutz der Passwörter der von ihr geführten Konten?

Die GWDG hat die Sammlung von bekannten Passwörtern (genauer deren Hashes), die unter https://www.gwdg.de/pwleak/ geprüft wird, genutzt, um über ihr Kunden-Portal eine höhere Passwort-Sicherheit zu erreichen, indem bei Passwort-Änderungen jetzt nicht nur die formalen Komplexitätskriterien geprüft werden, sondern sofort auch das neue Passwort (genauer sein Hash) gegen die Passwörter in der Sammlung geprüft wird. Falls dabei eine Übereinstimmung gefunden wird, erfolgt eine Warnung mit entsprechender Begründung, und das neue Passwort wird nicht akzeptiert.

Die GWDG prüft aktuell, inwieweit automatisiert SHA-1-Hashwerte aus dem eigenen Identity-Management-System (IdM) gegen die Sammlung verglichen werden können. Auf diesem Weg ließe sich ermitteln, welche Konten Passwörter verwenden, die in den Passwort-Leaks enthalten waren. Damit ist nicht belegt, dass tatsächlich ein Nutzer kompromittiert wurde. Jedoch ist das gewählte Passwort offensichtlich unsicher und sollte dringend geändert werden. Eine präventive Mitteilung an diese Personen mit einer Aufforderung zur Passwort-Änderung würde hier helfen. Die GWDG klärt zurzeit, wie dies unter Aspekten von Datenschutz und Mitbestimmungs- bzw. Personalrecht umsetzbar ist. Wir werden selbstverständlich über das weitere Vorgehen informieren.

Die GWDG erhält gelegentlich von Sicherheitseinrichtungen wie dem DFN-CERT oder dem CERT-Bund Listen von Konten, die der GWDG zugeordnet werden können, wenn diese in Datenlecks enthalten waren und diese Einrichtungen davon Kenntnis erhalten hatten. In solchen Fällen informiert die GWDG die betroffenen Personen. Die uns übermittelten Informationen enthalten teils nur die betroffenen E-Mail-Adressen, teils Teile (meist die beiden ersten Zeichen) des Passwortes, selten auch das komplette Passwort. Im letzteren Fall prüft die GWDG die E-Mail-Adresse und das Passwort gegen das aktuelle Passwort im IdM-System. Auch hier werden die Betroffenen bei einer Übereinstimmung umgehend informiert. Sollten die Betroffenen nicht kurzfristig erreichbar sein, sperrt die GWDG in diesen Fällen wegen Gefahr im Verzug das Konto, da in diesem Fall tatsächlich erwiesen ist, dass zu genau diesem Konto das Passwort im Internet öffentlich (zumindest in Hackerkreisen) verfügbar ist.

Die wichtigsten Empfehlungen auf einen Blick


  • Das Passwort sollte neu sein, also nicht schon einmal in dienstlichen oder privaten Kontexten verwendet worden sein.
  • Passwort-Manager wie KeePass (https://keepass.info) bieten die Möglichkeit, sichere und individuelle Passwörter für beliebige IT-Dienste und Webseiten zu generieren und zu verwalten.