Wer kennt mein Zoom-Passwort?

14.04.2020
Im Netz sollen Hunderttausende E-Mail-Adressen und Passwörter gehandelt werden, mit denen man sich bei Zoom anmelden kann. Müssen sich Nutzer des Videochat-Dienstes Sorgen machen?
Im Dark Web werden derzeit Datensätze mit Log-in-Informationen für den Videochat-Dienst Zoom zum Kauf angeboten. Das berichtet das IT-Fachportal «Bleepingcomputer.com». Foto: Zacharie Scheurer/dpa-tmn
Im Dark Web werden derzeit Datensätze mit Log-in-Informationen für den Videochat-Dienst Zoom zum Kauf angeboten. Das berichtet das IT-Fachportal «Bleepingcomputer.com». Foto: Zacharie Scheurer/dpa-tmn

Berlin (dpa/tmn) - Der Verdacht, dass jemand Zugriff auf die eigenen Internetkonten und Internetdienste haben könnte, lässt niemanden ruhig schlafen. Und der Verdacht ist nicht unbegründet: Aktuell werden im Dark Web etwa Hunderttausende Datensätze mit Log-in-Informationen für den Videochat-Dienst Zoom zum Kauf angeboten, berichtet das IT-Fachportal «Bleepingcomputer.com».

Wahrscheinlich handele es sich dabei um Log-In-Informationen bereits länger zurückliegender Hackerangriffe oder Datenlecks bei Diensten, bei denen Nutzerinnen und Nutzer die gleichen Benutzernamen und Passwörter benutzen wie aktuell bei Zoom.

Hacker mögen mehrfach genutzte Passwörter

Der Zusammenhang: Hacker, die Anmelde-Informationen für einen Dienst erbeuten, probieren diese meist bei vielen anderen populären Seiten aus. Denn sie können sich darauf verlassen, dass viele Nutzer ihre Passwörter mehrfach benutzen.

Internetnutzer sollten daher jetzt und grundsätzlich kontinuierlich prüfen, ob auch Log-in-Daten von ihnen ins Netz gelangt und dort mehr oder weniger frei auffindbar sind, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Helfen können dabei Datenbanken, in die Sicherheitsforscher nach Hackerangriffen oder Datenlecks kompromittierte Zugangsdaten einpflegen - etwa die Pwned»-Abfrage des IT-Sicherheitsforschers Troy Hunt.

Mail-Warnung, wenn Daten im Netz auftauchen

Mozillas Abfragedienst Firefox Monitor greift auf die Datenbank von «Have I been pwned?» zurück, arbeitet nahezu identisch, unterscheidet sich aber durch ein praktisches Detail: Weil das Ergebnis der Abfrage nur für den Moment gültig ist, kann man sich auf der Monitor-Seite auch mit einer Mailadresse registrieren und bekommt dann sofort Bescheid, falls eigene Daten im Netz auftauchen sollten.

Mit dem Identity Leak Checker bietet das Potsdamer Hasso-Plattner-Institut (HPI) eine weitere Abfragemöglichkeit an. Auch hier müssen E-Mail-Adressen angegeben werden. Per Datenbankabgleich wird dann geprüft, ob die Mail-Adresse in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.

Kein Datenbank-Treffer sagt nichts über Passwort-Qualität aus

Gibt es bei einem der Dienste einen Treffer, sollte das verbrannte Passwort geändert und nicht weiter verwendet werden. Achtung: Die Tatsache, dass ein Passwort in keiner der Datenbanken steht, bedeutet nicht, dass es sicher ist.

Onlinekonten sollten nicht nur mit starken, sondern mit individuellen Passwörtern und möglichst einer Zwei-Faktor-Authentifizierung geschützt werden.

Besonders wichtig ist ein gut abgesichertes E-Mail-Konto, weil es oft eine Art Generalschlüssel für viele weitere Dienste darstellt, die Links zum Zurücksetzen des Passwortes per Mail verschicken. Als Hilfsmittel zum Verwalten und Nutzen vieler verschiedener guter Passwörter rät das BSI zu Passwortmanagern. Empfehlenswert sei etwa der quelloffene Manager Keepass.

BSI-Tipps zum Schutz der digitalen Identität

Bericht von „Bleepingcomputer.com“


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Bei verschiedenen Diensten im Internet kann man überprüfen, ob man von einem Datenklau betroffen ist. Foto: Oliver Berg Bin ich gehackt worden? - Datenbanken können Antwort geben Persönliche Daten im Internet sind ein Alptraum. Noch folgenschwerer ist es aber, wenn Zugangsinformationen zu Accounts wie etwa dem Mail-Postfach durchs Netz geistern. Wer hier keinen Riegel vorschiebt, riskiert, dass immer neue Daten abfließen.
Praktisch sind Single-Sign-on-Angebote allemal - aber Experten raten aus Gründen des Datenschutzes und der Datensicherheit von ihnen ab. Foto: Sebastian Gollnow Log-in-Dienste haben ihren Sicherheits-Preis Anmelden mit nur einem Klick: Das versprechen Log-in-Dienste und halten es auch. Doch Nutzer bezahlen den Komfort oft mit Einbußen bei Privatsphäre und Datensicherheit. Wer die Dienste dennoch nutzen will, sollte einige Punkte beachten.
Internetnutzer sollten prüfen, ob ihre Log-in-Daten ins Netz gelangt und dort mehr oder weniger frei auffindbar sind. Ist dies der Fall, muss das Passwort geändert werden. Foto: Lukas Schulze Stehen meine Log-in-Daten im Netz? Im Internet sind wieder Abermillionen E-Mail-Adressen und Passwörter im Klartext aufgetaucht. Sie gesellen sich zu einer unüberschaubaren Zahl an Log-in-Informationen, die bereits durchs Netz geistern. Wer ist betroffen - und wer muss sich keine Sorgen machen?
Nach der Datenpanne bei Buchbinder dürften die Aufsichtsbehörden das Unternehmen verpflichten, betroffene Kunden zu Informieren - darauf muss aber niemand warten. Foto: Felix Kästle/dpa/dpa-tmn Nach Buchbinder-Datenpanne Auskunft verlangen Wegen eines fehlerhaft konfigurierten Servers waren Millionen Kundendaten der Autovermietung Buchbinder über das Internet aufrufbar. Sind Betroffene nun in Gefahr?