800 Millionen öffentlich zugängliche E-Mail-Adressen entdeckt | Compliance

Haufe Online Redaktion

800 Millionen öffentlich zugängliche E-Mail-Adressen entdeckt — Bild: MEV Agency UG Wieder wird Datenraub von enormem Ausmaß bekannt: Wo kann man prüfen, ob man betroffen ist?

Erneut haben IT-Sicherheitslücken eine riesige Datenbank mit Unmengen von E-Mail-Adressen einschließlich privater Daten aufgespürt. Erst kürzlich waren mehrere solcher Datensammlungen bekannt geworden. Ein erhebliches Risiko für Betroffene, da die Infos z.B. als Basis für einen Identitätsdiebstahl genutzt werden können. Wo können Nutzer prüfen, ob ihre Daten betroffen sind?

Mitarbeiter des IT-Sicherheitsunternehmens Security Discovery haben kürzlich eine öffentlich zugängliche Datenbank mit rund 800 Millionen E-Mail-Adressen entdeckt, wie das Unternehmen in einem Blog berichtet.

800 Millionen öffentlich zugängliche E-Mail-Adressen mit Daten entdeckt

In vielen Fällen waren den Adressen auch zahlreiche weitere persönliche Daten - Namen, Adressen, Telefonnummern, Geburtsdaten - der Nutzer zugeordnet.

Positiv für die Betroffenen ist allerdings, dass zumindest weder Passwörter im Klartext noch Passwort-Hashes in den Datensätzen enthalten waren, sodass ein direkter Zugriff auf die Mailkonten durch die Nutzer dieser Daten nicht möglich ist.

Nicht der größte Datenfund der letzten Zeit

Erst Anfang des Jahres war eine ähnlich große Sammlung von E-Mail-Adressen entdeckt worden, die anscheinend aus mehreren Quellen zusammengetragen worden war. Bei dieser unter der Bezeichnung Collection #1 bekannt gewordenen Sammlung waren jedoch auch noch rund 20 Millionen Passwörter enthalten, sodass hierdurch eine noch größere Missbrauchsgefahr ausgeht.

E-Mail-Konten-Integrität überprüfen

Beide Datensammlungen sind zusammen mit zahlreichen weiteren erbeuteten Datensätzen aus Cyber-Angriffen mittlerweile beim Prüfdienst Have I Been Pwned des unabhängigen Sicherheitsexperten Troy Hunt integriert worden.

Bei diesem Dienst können Interessenten über ein Online-Formular einfach testen, ob Ihre E-Mail-Adressen bereits bei irgendwelchen Angriffen erbeutet wurden
und mitunter auch, ob dabei noch weitere persönliche Daten gestohlen wurden.
Eine ähnliche Datensammlung mit gestohlenen E-Mail-Adressen und zu weiteren entwendeten Daten bietet auch das Hasso-Plattner-Institut mit seinem Dienst Identity Leak Checker. Hier gibt man E-Mail-Adresse ein und erhalten das Ergebnis der Überprüfung ebenfalls per E-Mail.

Prüfen, ob ein Passwort schon bekannt ist

Speziell zur Überprüfung von Passwörtern bietet der bereits erwähnte Troy Hunt einen zweiten Dienst unter dem Namen Pwned Passwords an. Hier können Sie Passwörter daraufhin überprüfen, ob diese bereits bei irgendwelchen Leaks erbeutet wurden und daher auf keinen Fall mehr genutzt werden sollten.

Die Überprüfung ist online möglich, wobei ein spezielles Verschlüsselungserfahren für die notwendige Sicherheit sorgen soll.
Optional können Sie auch eine Datei mit den geleakten Passwort-Hashes herunterladen und den Abgleich lokal auf Ihrem Rechner durchführen.

Passwörter, die in dieser Datenbank enthalten sind, sollten Sie auf keinen Fall mehr verwenden, da man davon ausgehen muss, dass diese Passwörter auch bei anderen Angriffen ausprobiert werden.

Aufwendige Betrugsmaschen von Cyberkriminellen

Wie wichtig sichere E-Mail-Konten sind, zeigt auch eine neue Betrugsmasche, über die jüngst die Süddeutsche Zeitung berichtete.

Hierbei verschaffen sich die Betrüger Zugang zu Mail-Konten von Unternehmen und beobachten darüber den Mail-Austausch.
Steht bei dem Unternehmen dann z.B. eine Zahlung an einen ausländischen Lieferanten an, schalten sich die Betrüger ein und schicken E-Mails mit der Bitte, die Summe an ein neues Konto zu überweisen.
Dabei verwenden sie üblicherweise gefälschte E-Mail-Absenderangaben, die den echten Adressen sehr ähnlich sind, sodass bei den Empfängern kein Verdacht entsteht. Als Begründung für den Kontenwechsel werden etwa steuerliche Gründe oder ähnliches angeführt.
Mitunter wird auch mit dem Vertragspartner im Ausland Kontakt aufgenommen, um einen dort möglicherweise aufkommenden Verdacht bei Verzögerungen oder Rückfragen zu zerstreuen.

Mit diesen Betrügereien wurden allein in München in den letzten drei Monaten 15 Firmen um insgesamt mehr als eine halbe Millionen Euro betrogen. Die Polizei empfiehlt daher, E-Mails mit Rechnungen genauestens zu überprüfen und sorgfältig auf Absenderangaben und die korrekte Schreibweise der E-Mail-Domain zu achten.

Weitere News zum Thema:

Hackerangriff auf Politiker und Prominente

Wann muss man: Eine Datenpanne melden?

Warnung vor gefakter DSGVO-Abmahnung

Cyber- Angreifer und Erpressern: so schützen Sie sich

Hintergrund:

Veraltete Software und Schwachstellen im Schutzschild der Software können fatale Folgen haben angesichts der Vielzahl der Attacken, denen besonders größere Unternehmen ständig ausgesetzt sind.

Bei diesen Angriffen wird über E-Mails oder auch infizierte Webseiten Schadcode auf die Rechner der potenziellen Opfer übertragen, die eine Verschlüsselungssoftware nachlädt, die anschließend alle erreichbaren Dokumente so verschlüsselt, dass diese nicht mehr geöffnet werden können.

Die Nutzungsverhinderung erfolgt zumeist durch Verschlüsselung sämtlicher Daten (Briefe, Datenbanken, Fotos, Systemdateien). So kann ein Unternehmen oder ein Selbständiger zumindest vorübergehend faktisch stillgelegt und auch leicht erpresst werdenwerden.

Speziell für Behörden und Unternehmen haben die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) einen kompakten Leitfaden herausgegeben, der sich mit dieser Bedrohungslage auseinandersetzt. Die Broschüre stellt zunächst die Bedrohungslage dar und beschreibt anschließend vor allem Präventionsmaßnahmen, mit denen das Risiko zum Opfer derartiger Angriffe zu werden, minimiert werden kann.

Das Zahlen der Lösegeldforderung lehnen Experten ab, da nicht sichergestellt sei, dass man die notwendigen Schlüssel tatsächlich auch bekomme.
Allerdings haben in letzter Zeit die Erpresser in den meisten Fällen tatsächlich auch die notwendigen Passwörter geliefert, wohl auch um dieses „Geschäftsmodell“ aufrecht zu erhalten.

Die Broschüre steht als PDF-Datei auf der BSI-Website zum Download bereit.

IT-Sicherheit-Schulung:

Die Zahl der Hackerangriffe steigt kontinuierlich. Sie richten sich immer öfter direkt gegen die Unternehmen, um sensibles Know-how zu stehlen oder Schaden anzurichten. Das Risiko steigt nicht nur durch neue, ausgefeilte Spionagetechniken, sondern vor allem durch einen nach wie vor oft sorglosen Umgang mit dem Thema IT-Sicherheit. Konformes Mitarbeiterverhalten ist für jedes Unternehmen unverzichtbar geworden. Mit dem einstündigen e-Learning „Informationssicherheit“ der Haufe Akademie schulen Sie Ihre Mitarbeiter kostengünstig und effizient.

Meistgelesene beiträge

Neueste beiträge

Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024
Compliance Officer als „Botschafter“ für und „Verkäufer“ von Compliance

07.02.2024
18. Europäischer Datenschutztag 2024

30.01.2024

Wieder Datenbank mit Millionen gehackter E-Mail-Adressen im Internet aufgetaucht