Intern: BKA Datenleck-Warnung – Löschung des Accounts nicht sinnvoll

Im September 2016 war das Forum von Planet 3DNow! von „Datenklau” betroffen. Durch eine Lücke in der Forensoftware vBulletin hatten Angreifer die Logindaten unserer registrierten Benutzer ausgelesen. Nachdem der Klau aufgefallen war, hatten wir in einer News, einer Ankündigung im Forum, auf Facebook und auf Twitter offen darüber informiert. Als Gegenmaßnahme haben wir – wie damals kommuniziert – einen Patch des Software-Herstellers eingespielt, sowie ausnahmslos alle Logindaten zurückgesetzt. Damit sind die geklauten Daten für einen Missbrauch auf Planet 3DNow! seit damals wertlos.

Vor einigen Tagen informierte das BKA unabhängig davon, dass ein Datensatz mit etwa 500 Millionen Zugangsdaten aufgetaucht ist und empfahl Anwendern, sich im „Identity Leak Checker” des Hasso-Plattner-Instituts zu informieren, ob man selbst davon betroffen ist. Seit diese Info durch die Presse geht, scheint der HPI-Checker regelrecht überrannt zu werden, denn zeitweise war er kaum erreichbar.

Das Problem dabei: der Checker meldet nicht nur die aktuelle „BKA-Liste”, sondern auch ältere Datenlecks, wie das planet3dnow.de betreffende vom September 2016. Wer unsere Berichterstattung und Maßnahmen von damals aus irgendwelchen Gründen nicht mitbekommen hat, erschrickt nun natürlich wenn der Check den damaligen Klau abermals meldet. Aber noch einmal in aller Deutlichkeit: der damalige Datenklau hat nichts mit dem nun vom BKA gemeldeten 500-Mio.-Datensatz zu tun. Die Zugangsdaten auf planet3dnow.de wurden damals komplett zurückgesetzt! Es macht daher keinen Sinn, nun panisch den Account im Forum löschen zu lassen, da wir die abgegriffenen Logindaten schon damals allesamt gelöscht haben!

Weit sinnvoller wäre es für Anwender, die (entgegen aller Empfehlungen) ein und dasselbe Passwort für mehrere Dienste verwenden, diese nun bei allen Diensten zu ändern, bei denen dies der Fall ist. Das gilt natürlich unabhängig davon, ob man von der „BKA-Liste” betroffen ist, vom 2016er planet3dnow.de-Leak oder gar nicht. Ein gutes Passwort sollte nur bei einem Dienst verwendet werden, genügend lang (>8 Stellen) sein und aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Das Wichtigste ist dabei ein möglichst gutes Passwort für die Mailbox, denn wer Zugang zur Mailbox erlangt, kann sich alle anderen Passwörter, z.B. für Online-Shops, Facebook, etc., einfach zuschicken lassen (Passwort vergessen). Weitere Tipps zur Passwortgestaltung gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).