Datenlecks. Oder: meine Daten haben Wandertag ….

von Redaktion
Nachrichten Datenschutz und Datensicherheit

Unserem neuen Info-Blatt sind wir auf die Gefahren von Datenlecks eingegangen. Passend dazu wollen wir Ihnen Firefox Monitor vorstellen – ein Tool, welches Schäden durch Datenlecks minimieren soll.

Was ist der Firefox Monitor?

Das Prinzip hinter Firefox Monitor ist einfach erklärt:
Der User kann seine E-Mail-Adresse(n) eingeben und der Firefox Monitor gleicht diese dann mit Informationen über Datenlecks ab. So wird Transparenz dadurch geschaffen, dass man schnell und ohne Umwege erfahren kann, ob man von einem Datenleck betroffen ist. Firefox nimmt dabei bekannt gewordene Datenvorfälle über die funktionsgleiche Seite „haveibeenpwned.com“ auf und bleibt so stets auf dem aktuellen Stand.

Neben der einfachen Funktion über die Seite https://monitor.firefox.com/ wird auch angeboten, den Dienst mit einem Firefox-Konto zu verknüpfen, um sich beispielsweise per Benachrichtigung warnen oder E-Mail-Adressen kontinuierlich prüfen zu lassen. Die Kernleistung, also das Überprüfen einer Adresse auf einmal, ist jedem zugänglich.

Wie gehen Hacker vor?

Besonderes Lob verdient das Informationsmaterial der Seite. Der Besucher erhält allerlei wertvolles Wissen über Datenlecks sowie empfohlene Maßnahmen zum Schutz und zur Schadensbegrenzung im Falle einer Betroffenheit durch einen Vorfall. Zunächst sollte verstanden werden, wie Hacker vorgehen. Weit verbreitet ist das Bild von hochtalentierten Computergurus, die sich innerhalb kürzester Zeit mit endlos langen Eingaben Zugang am Computer des Opfers verschaffen. In Wirklichkeit wird allerdings versucht, mit verschiedensten Tricks an die Datenbanken großer Konzerne zu gelangen und so viele Daten auf einmal zu erlangen. Dabei können alle Arten von Daten eine lukrative Masche begünstigen. Folglich muss ein Verantwortlicher genauso wie ein privater Nutzer jedem Datenverlust vorbeugen. Ein erster Schritt ist es natürlich, personenbezogene Daten nicht auf unseriösen Plattformen preiszugeben oder auf unseriöse Mailangebote einzugehen. In unserem Infoblatt „Datenlecks“ informieren wir über Schritte, die Sie umsetzen können, um sich vor Angriffen zu schützen.

Tipps für mehr Sicherheit

Die empfohlene Passwortrichtlinie entspricht dem, wozu wir bei jeder Gelegenheit auf’s Neue raten: Mindestens 8 Zeichen, Sonderzeichen nicht nur am Anfang und am Ende sondern verteilt, Groß- und Kleinschreibung sowie Zahlen. Nutzen Sie keine Standardpasswörter (P@sswort123). Nutzen Sie unterschiedliche Passwörter für unterschiedliche Plattformen und keine Scheu vor Wortneuschöpfungen und Nonsens.

Ändern Sie häufig Ihre Passwörter. Dies klingt aufwendig. In der heutigen Zeit haben wir alle zig oder hunderte von Zugangsdaten. We soll man diese alle regelmäßig ändern?
Legen Sie sich unterschiedliche Änderungsintervalle fest.
Beispielsweise:

  • 3 Monate für alles, was mit Geld (z.B. PayPal, Onlinebanking) oder der Arbeit zu tun hat
  • 6 Monate für alles, was mit Onlineshopping und Social Media (z.B. Facebook, Xing) zu tun hat
  • 12 Monate für nicht so sicherheitsempfindliche Accounts (z.B. Foren)

Wie soll ich mir diese komplexen Passwörter merken (Passwortmanager/Papier)?

Sich sichere Passwörter auszudenken ist allerdings auch nicht alles, was man für umfangreichen Schutz tun kann. Wer viele verschiedene Plattformen benutzt, was heutzutage schon im Bereich Online-Shopping der Fall sein wird, kann schnell durcheinanderkommen. Um seine Passwörter parat zu halten, bieten sich unterschiedliche Möglichkeiten an: Zunächst kann man sie analog aufschreiben und (unter Verschluss) gut verstecken oder, was auf jeden Fall besser ist, in einem Safe aufbewahren. Alternativ sind Passwortmanager zu empfehlen. Hierbei handelt es sich um Anwendungen, die sichere Passwörter generieren und dem Nutzer den Umgang mit Passwörtern erleichtert. Hier gilt zu beachten, dass das Masterpasswort, welches der Nutzer im Kopf haben muss, besonders sicher sein muss. Mit dem Masterpasswort hat man Zugang zu allen anderen Passwörtern. Aus diesem Grunde ist es besonders wichtig, dass das Masterpasswort besonders sicher ist und regelmäßig geändert wird. Wir empfehlen eine Länge von mindestens 15 Zeichen.

Meine Daten sind über ein Datenleck abgeflossen…. und nun?

Ist es schon zu spät, raten wir Ihnen in einem solchen Fall dazu sich über den Vorfall (z.B. bei dem Anbieter oder der Presse) zu informieren.

Gehackte Bankdaten

Ist Ihr Konto oder Kreditkarte betroffen achten Sie auf ungewöhnliche Kontobewegungen und informieren Sie Ihr Kreditinstitut.

Gehackte Zugangsdaten

Wenn Ihre Zugangsdaten betroffen sind, dann ändern Sie sofort das Passwort. Sollten Sie entgegen unserer Empfehlung ein Passwort auf verschiedenen Plattformen eingesetzt haben, ändern Sie das Passwort auf allen Plattformen, wo Sie diese verwendet haben.

Was ist noch zu tun?

Prüfen Sie den betroffenen Account. Gibt es in diesem Account Hinweis auf weitere Accounts? Wenn beispielsweise die Zugangsdaten von Plattform A durch ein datenleck bzw. Hackerangriff betroffen waren und sie in diesem Profil Ihre Emailadresse hinterlegt hatten, sollten Sie auch die Zugangsdaten für die Emailadresse ändern.

Wurde der Zugang für Ihre Emailadresse gehackt, dann steht Ihnen viel Arbeit ins Haus. In dem Emailpostfach finden sich meist Informationen zu anderen Accounts, z.B. ebay, amazon PayPal. Wir empfehlen Ihnen, die Zugangsdaten all dieser Accounts zu ändern, damit diese nicht in den Sog der Hacker geraten können.
Beobachten und reagieren
Beobachten Sie insbesondere bei Accounts, die mit Geld zu tun haben (z.B. PayPal, Onlineshopping), ob Sie ungewöhnliche Aktivitäten feststellen. Die Beobachtungen sollten sich nicht nur auf die ersten Wochen nach dem Datenleck konzentrieren. Teilweise dauert es eine Zeit, bis die Daten verkauft wurden und von anderen Kriminellen genutzt werden. Also gilt: in den folgenden Monaten (!) wachsam sein

Was müssen Unternehmen bei Datenlecks / Datenvorfällen beachten?

Für Unternehmen ist natürlich die EU DSGVO (Datenschutz Grundverordnung) ein wichtiger Maßstab. Sofern Risiken für die Rechte und Freiheiten von Personen, deren Daten verarbeitet wurden, bestehen, muss eine Meldung an die Aufsichtsbehörde erfolgen. Die Meldung muss innerhalb von 72 Stunden nach bekannt werden erfolgen.
Wir beraten unsere Mandanten bevor die Meldung erfolgt, begleiten sie in dieser schweren Zeit und kommunizieren mit der Aufsichtsbehörde, sofern Rückfragen oder Kontrollen folgen.