Intern: BKA Datenleck-Warnung – Löschung des Accounts nicht sinnvoll

Im Sep­tem­ber 2016 war das Forum von Pla­net 3DNow! von “Daten­klau” betrof­fen. Durch eine Lücke in der Foren­soft­ware vBul­le­tin hat­ten Angrei­fer die Log­in­da­ten unse­rer regis­trier­ten Benut­zer aus­ge­le­sen. Nach­dem der Klau auf­ge­fal­len war, hat­ten wir auf allen öffent­li­chen Kanä­len – News, Forum, Face­book, Twit­ter, RSS – offen dar­über infor­miert. Als Gegen­maß­nah­me haben wir – wie damals kom­mu­ni­ziert – einen Patch des Soft­ware-Her­stel­lers ein­ge­spielt, sowie aus­nahms­los alle Log­in­da­ten zurück­ge­setzt. Damit sind die geklau­ten Daten für einen Miss­brauch auf Pla­net 3DNow! seit damals wertlos.

Vor eini­gen Tagen infor­mier­te das BKA unab­hän­gig davon, dass ein Daten­satz mit etwa 500 Mil­lio­nen Zugangs­da­ten auf­ge­taucht ist und emp­fahl Anwen­dern, sich im “Iden­ti­ty Leak Che­cker” des Has­so-Platt­ner-Insti­tuts zu infor­mie­ren, ob man selbst davon betrof­fen ist. Seit die­se Info durch die Pres­se geht, scheint der HPI-Che­cker regel­recht über­rannt zu wer­den, denn zeit­wei­se war er kaum erreichbar.

Das Pro­blem dabei: der Che­cker mel­det nicht nur die aktu­el­le “BKA-Lis­te”, son­dern auch älte­re Daten­lecks, wie das planet3dnow.de betref­fen­de vom Sep­tem­ber 2016. Wer unse­re Bericht­erstat­tung und Maß­nah­men von damals aus irgend­wel­chen Grün­den nicht mit­be­kom­men hat, erschrickt nun natür­lich wenn der Check den dama­li­gen Klau aber­mals mel­det. Aber noch ein­mal in aller Deut­lich­keit: der dama­li­ge Daten­klau hat nichts mit dem nun vom BKA gemel­de­ten 500-Mio.-Datensatz zu tun. Die Zugangs­da­ten auf planet3dnow.de wur­den damals kom­plett zurück­ge­setzt! Es macht daher kei­nen Sinn, nun panisch den Account im Forum löschen zu las­sen, da wir die abge­grif­fe­nen Log­in­da­ten schon damals alle­samt gelöscht haben!

Weit sinn­vol­ler wäre es für Anwen­der, die (ent­ge­gen aller Emp­feh­lun­gen) ein und das­sel­be Pass­wort für meh­re­re Diens­te ver­wen­den, die­se nun bei allen Diens­ten zu ändern, bei denen dies der Fall ist. Das gilt natür­lich unab­hän­gig davon, ob man von der “BKA-Lis­te” betrof­fen ist, vom 2016er planet3dnow.de-Leak oder gar nicht. Ein gutes Pass­wort soll­te nur bei einem Dienst ver­wen­det wer­den, genü­gend lang (>8 Stel­len) sein und aus Groß- und Klein­buch­sta­ben, Zah­len und Son­der­zei­chen bestehen. Das Wich­tigs­te ist dabei ein mög­lichst gutes Pass­wort für die Mail­box, denn wer Zugang zur Mail­box erlangt, kann sich alle ande­ren Pass­wör­ter, z.B. für Online-Shops, Face­book, etc., ein­fach zuschi­cken las­sen (Pass­wort ver­ges­sen). Wei­te­re Tipps zur Pass­wort­ge­stal­tung gibt das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI).