Das Hasso-Plattner-Institut (HPI) aus Potsdam hat am Mittwoch einen neuen Internetservice veröffentlicht. Mit Identity Leak Checker können Nutzer prüfen, ob ihre Online-Identität oder andere persönliche Daten öffentlich im Internet kursieren.
Nutzer begegnen solchen Angeboten mit Vorsicht. Wie vollständig sind die Daten und sind sie beim HPI sicher? Woher weiß ich, dass das HPI nicht nur versucht, an meine E-Mail-Adresse zu gelangen? Wir haben beim HPI nachgehakt. Geantwortet hat uns Prof. Dr. Christoph Meinel, Direktor und Geschäftsführer des Hasso-Plattner-Instituts für Softwaresystemtechnik.
Wir haben kein Interesse daran, weitere Daten der Nutzer zu sammeln.
– Prof. Meinel
Prof. Meinel betont, dass das HPI den Identiy Leak Checker uneigennützig und kostenlos anbietet. Man wolle Nutzern die Chance bieten, den Diebstahl ihrer Identitätsdaten im Internet zu prüfen. Das Institut treibe die Sorge, dass die Internettechnologie durch den Missbrauch von Identitätsdaten “insgesamt mit ihrem großen Innovationspotentialen in Misskredit gebracht wird” und macht deutlich, dass dieser “Missbrauch durch die Änderung von Passwörtern zu verhindern” ist.
Wie nehmen Sie Nutzern die Sorge, dass Sie einfach nur weitere Daten sammeln?
Prof. Meinel: Wir beschreiben genau, welche Daten wozu erhoben werden und wie wir diese Daten vor Missbrauch schützen. Wir haben kein Interesse daran, weitere Daten der Nutzer zu sammeln, sondern wollen lediglich einen Warndienst für die Bürger bereitstellen.
Die zugesandte E-Mail-Adresse wird zum Nachschlagen der geleakten Information und zum Versenden der entsprechenden Antwort-E-Mail gebraucht. Zur Absicherung des Dienstes merken wir uns das Sendedatum und die verschlüsselte E-Mailadresse, um die mehrfache Eingabe der gleichen E-Mail pro Tag (Spam) zu verhindern. Die verschlüsselte Speicherung der E-Mailadresse verhindert eine Rückrechnung der originalen E-Mailadresse.
Was sollte ich machen, wenn ich betroffen bin?
Prof. Meinel: Stellen wir nach einer Anfrage fest, dass Ihre Identitätsdaten frei im Internet zugänglich sind, dann informieren wir Sie in einer Antwortmail darüber und fordern Sie auf, Ihre Passwörter für sämtliche Benutzerkonten mit der betroffenen E-Mail-Adresse zu wechseln.
Dabei können wir aus Schutzgründen leider keine ganz detaillierten Angaben zu den betroffenen Identitätsdaten machen, weil die Möglichkeit besteht, das Cyberkriminelle nach dem Auftauchen Ihrer E-Mail-Adresse in einem Leak bereits Zugriff auf Ihr E-Mail-Konto haben.
Sind finanzielle Datensätze betroffen, wie Kreditkarten- oder Kontodaten, sollte das entsprechende Bankinstitut informiert werden, welches wiederum die betroffenen Konten sperren kann.
Bild: HPI/K. Herschelmann
Bei persönlichen Daten, wie Geburtsdatum, Sozialversicherungsnummern, Anschrift und Telefonnummern, ist besondere Vorsicht vor gezielten Phishing-Angriffen geboten. Cyberkriminelle nutzen diese Daten auch, um Ihre gestohlene Identität bei anderen Personen vorzutäuschen. Unter Umständen ist eine Anzeige bei der Polizei empfehlenswert.
Wir wollen die Bürger so genau wie möglich informieren.
Sammeln Sie auch weiterhin Daten?
Prof. Meinel: Die 170 Millionen Datensätze in der aktuellen Version des Identity Leak Checkers sind leider nur ein Teil der gestohlenen und im Internet frei verfügbaren Identitätsdaten. Wir arbeiten an der Integration weiterer Datensätze und neue auftauchender Identitätsleaks. Wir wollen die Bürger so genau wie möglich informieren.
Arbeiten Sie mit anderen Partnern zusammen oder suchen Sie Kooperationspartner?
Prof. Meinel: Wir sind offen für Kooperationen mit anderen Institutionen und Unternehmen, um unseren Dienst zu verbessern und die analysierten Daten für weiterführende Warnmöglichkeiten zu nutzen. Mit dem BSI sind wir in engem Kontakt.
Die eigenen Passwörter zu ändern, schadet aber nie.
Kann ich mich nach dem Identity Leak Check sicher fühlen?
Prof. Meinel: In unserem Disclaimer in der ausgelieferten Antwort-E-Mail weisen wir darauf hin, dass wir nur einen Teil der kursierenden Identitätsleaks analysiert haben. Das heißt, eine E-Mailadresse, die wir in den uns vorliegenden Datensätzen nicht gefunden haben, kann doch in einem anderen, von uns nicht erfassten Leak auftauchen.
Desweiteren kann nicht hundertprozentig sichergestellt werden, dass die erhobenen Identitätsdaten aus den Leaks richtig erhoben wurden, es handelt sich ja um von Cyberkriminellen erbeutetes, eventuell auch manipuliertes Diebesgut. Generell können wir – kann keiner – eine Garantie für die ausgelieferten Ergebnisse übernehmen. Die eigenen Passwörter zu ändern, schadet aber nie.
Der Identity Leak Checker ist nicht nur für deutsche Nutzer interessant.
Ergebnis eines Identity Leak Check mit gestohlenem Passwort.
Stammen die Daten nur von deutschen Nutzern?
Prof. Meinel: In der Tat stammen viele der erfassten Leaks nicht aus Deutschland, betreffen aber auf Grund der Internationalität von Unternehmen/Institutionen auch viele deutsche Nutzer. Damit wären die erfassten Daten im Identity Leak Checker nicht nur für deutsche Nutzer interessant, sondern auch für Nutzer aller Länder.
Planen Sie eine englische Version ihrer Seite?
Prof. Meinel: Ja, eine englische Version ist in näherer Zukunft geplant.
Titelbild: HPI/K. Herschelmann
