Identity Leak Checker auf dem PrĂĽfstand

Momentan ist es das kostenlose Tool des Hasso-Plattner-Instituts (HPI) in Potsdam, das durch die Medien geht und Klarheit verspricht, ob die eigenen Daten von Cyberkriminellen geklaut wurden. In nur fünf Minuten soll der Nutzer per Datenbankabfrage wissen, ob persönliche Identitätsdaten bereits im Netz veröffentlicht wurden. Laut eigenen Angaben umfasst die Datenbank 160 Millionen Datensätze. Sie geben Hinweise darauf, ob Daten wie E-Mail-Adresse des Nutzers, etwaige Passwörter, Vor- und Zunamen, Kreditkarten- und Bankkontodaten, Telefonnummern, Anschriften, Geburtsdaten und Sozialversicherungsnummern verfügbar wären.

Angesichts der zahllosen Meldungen zu Passwortdiebstahl, gehackten Datenbanken und Sicherheitslücken treffen Tools dieser Art eindeutig den Nerv des Internetnutzers: Endlich Gewissheit, was mit den eigenen Daten passiert. Wenn man aber das Ende des Spiegel-Artikels liest, wird man wieder stutzig: Das HPI versichert, dass die E-Mail-Adressen bei der Eingabe verschlüsselt werden und das eine Attacke auf die Datenbank für Cyberkriminelle wertlos sei. Zusätzlich muss der Benutzer für das (leider sehr nervige) captcha dieser Webseite javascript von Google aktivieren. Theoretisch könnte Google also die eingegebene E-Mail-Adresse abgreifen.

Hat man dann das Testergebnis in der Hand – sei es positiv oder negativ – ist es trotzdem nur bedingt aussagekräftig. Christian Tacke, CTO bei CosmoKey, hat zu Testzwecken eine 13 Jahre alte E-Mail-Adresse ausprobiert und ein negatives Ergebnis erhalten. „Merkwürdig ist, dass genau diese E-Mail-Adresse tagtäglich von Spam-Mails überflutet wird und somit in dubiosen Datenkreisen kursiert“ so Tacke.

Was bei fast allen Hinweisen auf Identity Leak Checker auch beim HPI offen bleibt ist der Hinweis darauf, was zu tun ist, wenn die eigenen Daten tatsächlich betroffen sind. Der Rat, die alten Passwörter zu ändern, ist das eine. Aber was ist, wenn weitere Daten betroffen sind? Wenn die Bankkontodaten, die Sozialversicherungsnummer oder die Kreditkartendaten im Internet kursieren?

Unser Fazit lautet: Bei Identity Leak Checkern sollte man vor der Nutzung sorgfältig darüber nachdenken, ob man dem entsprechenden Anbieter die eigenen Daten anvertrauen möchte. Je sensibler die Daten, desto mehr Vorsicht ist geboten. Das Angebot des HPI erscheint insgesamt vertrauenswürdig. Die Betreiber haben sich gute Gedanken über mögliche Angriffszenarien auf ihre Datenbank gemacht und diese bei der Entwicklung des Identity Leak Checkers beachtet. Letztendlich muss jeder Nutzer selbst entscheiden, wie öffentlich die eigene E-Mail-Adresse gehandhabt wird. In Anbetracht der zahlreichen Accounts und Newslettern, bei denen viele Nutzer eingetragen sind, ist die E-Mail-Adresse  mehr oder weniger sensibel.

Wirklich sicher und hilfreich ist eine Technologie, die zum einen besonderen Wert auf die Sicherheit der Daten legt und zum anderen den Zugang zu persönlichen Accounts mittels geklauter Daten unmöglich macht. CosmoKey setzt genau hier an: Um einen zweiten technischen Kanal ergänzt wird die herkömmliche 2-Faktor-Authentifizierung doppelt abgesichert.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>