Unsere Antworten.
Was ist ein gutes Passwort?
Ein „gutes“ Passwort sollte zwei Kriterien erfüllen: Es sollte lang und schwer zu erraten sein. Häufig wird behauptet, dass ein Passwort zwingend Sonderzeichen und Zahlen enthalten solle. Zwar erhöhen Sonderzeichen und Zahlen die Anzahl an Möglichkeiten für ein Passwort, allerdings wird die Anzahl an Möglichkeiten durch weitere Stellen des Passworts deutlich mehr erhöht. Wichtig ist auch, dass keine Wörter aus einem Wörterbuch verwendet werden, da bei Angriffen häufig die in Wörterbüchern vorkommenden Wörter ausprobiert werden.
Wie lang muss ein Passwort sein?
Umso länger ein Passwort ist, desto besser schützt es das Konto vor speziellen Angriffen. Auch wenn manche Dienste noch 4 bis 8 stellige Passwörter erlauben, sind diese aus Sicherheitsperspektive viel zu kurz. 12 Stellen sollte ein Passwort mindestens haben. Optimal ist es, wenn ein Passwort aber 16 oder mehr Stellen hat.
Woher habt ihr eure Daten?
Die Identitätsdaten-Leaks erhalten wir, indem wir verschiedene Teile des Internets mit verschiedenen Methoden durchsuchen. Teilweise werden diese Daten durch unsere Systeme automatisiert gesammelt, andere laden wir manuell herunter. Wichtig: Wir kaufen keine Daten! Wir nutzen nur öffentlich und frei zugängliche Daten! Jedoch ist der Großteil der Identitätsdaten-Leaks auch frei zugänglich und muss somit nicht käuflich erworben werden.
In der Ergebnis-Mail sehe ich ein Passwort, dass ich nie verwendet habe. Wie kann das sein?
In unseren Ergebnis-Mails zeigen wir das erste und letzte Zeichen des Passworts an, dass in den Leak-Daten enthalten ist. Wenn du diese Zeichen zu keinem der Passwörter, die du je verwendet hast, zuordnen kannst, dann kann das verschiedene Gründe haben:
- Du hast dieses Passwort vor langer Zeit verwendet und vergessen, dass du es früher benutzt hast
- In unserem Datensatz ist ein falsches Passwort enthalten
Wir können die Echtheit der Daten in unseren Datenbanken natürlich nicht verifizieren Kriminelle füllen Lücken in ihren Datensätzen aber manchmal mit erfundenen Daten, sodass es bei unseren Ergebnis-Mails zu diesen Angaben kommen kann. Ob die Daten korrekt und auch heute noch gültig sind, kannst nur du entscheiden. Wenn du aber erkennst, dass die Daten zu keinem von dir verwendeten Konto gehört, musst du nichts weiter unternehmen.
Wieso sind meine Daten gestohlen worden? Was habe ich falsch gemacht?
In erster Linie hast du erst einmal nichts falsch gemacht. Wie konnte es also dazu kommen? Du hast dich irgendwann mal bei einem Dienst oder Webshop angemeldet. Bei der Anmeldung wurden dann Daten von dir in der Benutzerdatenbank des Dienstes gespeichert. Durch einen Sicherheitsvorfall, wie einem Hackerangriff, sind dann Teile der Benutzerdatenbank gestohlen oder zumindest öffentlich zugänglich gemacht geworden. Auch mit einem anderen Passwort hättest du deine Daten nicht zwingend besser schützen können.
Darf man ein Passwort mehrmals benutzen?
Das ist eine Frage, die pauschal nicht direkt klar beantwortet werden kann. Generell ist es natürlich deutlich sicherer überall ein anderes Passwort zu benutzen - und wir raten auch jedem dazu. Allerdings ist es nachvollziehbar, wenn jemand der Meinung ist, dass er sich die große Menge an Passwörtern nicht merken kann und deshalb Passwörter mehrfach verwendet. Was bedeutet es denn aus der Sicherheitsperspektive, wenn man ein Passwort bei mehreren Diensten benutzt? Jeder dieser Dienste hat in diesem Fall potenziell die Möglichkeit, sich auch bei den anderen Diensten mit diesem Passwort anzumelden. Wird dein Passwort bei einem Dienst gestohlen, dann sind sofort alle Dienste ungeschützt, bei denen du das Passwort auch verwendest. Deswegen überlege dir genau, für welche Konten du gleiche Passwörter verwenden willst. Dein Passwort zu deinem E-Mail-Postfach sollte auf gar keinen Fall bei anderen Diensten wieder verwendet werden, da sich über das E-Mail-Konto die Passwörter bei den meisten Diensten zurücksetzten lassen.
Was ist der Unterschied zwischen EIDI und anderen Leakchecker-Diensten?
EIDI verfolgt ein etwas anderes Ziel als bisherige Ansätze: Sie werden geschützt, auch ohne sich vorher aktiv dafür zu registieren. Bereits existierende Lösungen am Markt sind keine Frühwarnsysteme im eigentlich Sinne. Vielmehr können Sie dort zu einem gewissen Zeitpunkt Anfragen stellen und erhalten dann eine zu diesem Zeitpunkt gültige Antwort. Bei manchen Diensten können Sie auch einen E-Mail-Service abonnieren, wenn Ihre Daten (basierend ausschließlich auf der E-Mail-Adresse) erneut in einem Leak enthalten sind.
In unserer Wahrnehmung kann Ihr Schutz am Besten von den Diensten sichergestellt werden, bei denen Sie bereits einen Account haben. Das hat viele Vorteile:
- Vertrauen: Sie müssen keinem zusätzlichen Dienst vertrauen, um Ihre Identitätsdaten zu schützen. Stattdessen baut EIDI auf dem Vertrauen auf, das ein Benutzer bereits in die von ihm benutzten Dienste hat.
- Qualität der Daten: Durch die Kooperation mit den Dienstleistern selbst lassen sich vor allem die Korrektheit und die Qualität der Daten unmittelbar einschätzen.
- Direkte Kommunikation und Warnung der Betroffenen: Ein Kunde, der sich mit einem betroffenen Account bei einem unserer Partner anmeldet, kann direkt bei der Anmeldung darüber informiert werden, welche Daten verfügbar sind, ob sein Account betroffen ist und was er tun kann, um seine Accountsicherheit wiederherzustellen.
- Datenschutz: Bei anderen Leakcheckern können Sie ohne weitere Überprüfung ihrer Person auch Informationen über die Kontodaten anderer Personen erhalten. Das ist nach deutscher und europäischer Gesetzeslage problematisch. Um das auszuschließen, ist eine direkte Kommunikation mit den Betroffenen gewünscht und natürlich Diskretion gegenüber der Dienste.
- Weitere unmittelbare Information über den Leakchecker: Wenn Sie von einem Partner informiert werden, dass Ihre Accountischerheit gefährdet ist, dann erhalten Sie nur die notwendige Information zur Wiedererlangung der Accountsicherheit bei diesem Diensteanbieter. Zusätzlich erhalten Sie einen Link auf unsere Auskunftswebseite, den Leakchecker. Dort können Sie erfahren, welche Daten über sie frei zugänglich im Internet, und in unserem System sind.
Gemeinsam mit unseren Partnern können wir alle Kunden informieren, wenn ihre Accountsicherheit bei den Partnern beeinträchtigt ist. So erreichen wir auch "Oma Erna", die von selbst unseren Leakchecker nicht gefunden hätte. Unser Ziel ist es, möglichst viele Partner anzubinden und so die Accountsicherheit für alle zu erhöhen.
Um welche Formen digitaler Identitäten geht es im Forschungsprojekt insbesondere?
In unserem Forschungsprojekt geht es nicht allein um digitale Identitäten. Es können auch alle anderen Identitätsdaten abgeglichen werden. Dabei gibt es jedoch eine Einschränkung, weshalb wir uns zunächst ganz bewusst auf einige Datentypen beschränkt haben (E-Mail-Addressen, Namen, Vornamen, Nachnamen, Adressen, Kontodaten, Kreditkartennummern, Telefonnummern). In Art. 9 der DSGVO werden einige Daten weitergehend geschützt, die in Ihrem Leben "besonderen Kategorien" zugeordnet werden können. Um diese Daten nicht versehentlich mit zu verarbeiten, haben wir also eine Whitelist der Datentypen und ein Verfahren zur automatischen Erkennung und Zuordnung der Information zu diesen Datentypen entwickelt.\nDie Daten, die von Art. 9 DSGVO abgedeckt sind haben zwar für Betroffene eine hohe Relevanz und diese haben vermutlich ein besonders hohes Interesse, auch diese Daten zu schützen, aufgrund der Beschaffenheit unserer Umsetzung, lässt sich das aber nicht mit dem Datenschutz vereinbaren.
Hilft Ihre Lösung auch bei der Einhaltung der Datenschutz-Grundverordnung (Meldepflichten, Meldung an Betroffene)?
Wenn ein Partner feststellt, dass er als Dienst eine abweichend hohe Trefferrate hat, dann kann er unsere Daten als Grundlage für weitere Untersuchungen hernehmen. Auch unterstützen wir dabei, die Meldepflicht entsprechend umzusetzen und den Betroffenen weitere Informationen zur Verfügung zu stellen. Das können wir grundsätzlich auch für offline bereitgestellte Medien (etwa Festplatten), auf denen Leakdaten enthalten sind.
Welche Resultate gibt es? Was können Unternehmen testen oder nutzen?
Wir sind aktuell im Produktivbetrieb mit unserem Partner XING und beenden die Testphase mit mailbox.org. Wenn Sie also XING-Kunde sind, dann kann es passieren, dass Sie in der nächsten Zeit eine Warnung über Ihre Accountsicherheit von XING erhalten. Alle unsere Partner haben mit großem Eifer und aus unmittelbarem Schutzinteresse für Ihre Kunden an dem Projekt mitgewirkt.\nWenn Sie als Unternehmen keine Dienste für Kunden anbieten, aber die Daten Ihrer Mitarbeiter schützen möchten, dann können Sie ebenfalls auf unsere Dienste zurückgreifen. Wir entwickeln ein Produktportfolio, welches wir Unternehmen für diesen Zweck anbieten können. Aktuell wird ein monatlicher Lagebericht über die E-Mail-Adressen der Angestellten am Häufigsten nachgefragt. Das halten wir für unheimlich wichtig, weil diese Daten ja regelmäßig auch für Logins bei Kunden oder Zulieferern und auch bei internen Diensten genutzt werden. Haben Sie Mitarbeiter identifiziert, die betroffen sind, so können diese dann individuell über unseren Leakchecker die tatsächlichen Informationen abfragen. Diese dürfen wir ohne weiteres (aus Datenschutzgründen, etwa weil die private Nutzung nicht untersagt ist) nicht an die Unternehmen selbst liefern.
Gibt es bereits Anwender aus der Wirtschaft, wie Banken, soziale Netzwerke und Telekommunikationsanbieter?
XING, G-Data, Otto und mailbox.org sind als direkte bzw. assoziierte Partner bereits früzeitig als Anwendungspartner in das Projekt eingebunden und darüber hinaus eingeplant. Wir bauen derzeit weitere Kooperationen auf, etwa, um auch Hochschulen und Universitäten an unseren Dienst anzubinden. Mit einigen Telekommunikationsanbietern sind wir bereits im Gespräch, auch einige Anfragen von Banken haben wir schon erhalten. Der Schutz von Accounts liegt ja nicht nur im Interesse des Kunden, sondern kann auch das Missbrauchs- und Betrugsrisiko für Unternehmen deutlich verringern.
Insbesondere für transaktionsbasierte Vorgänge, etwa bei Banken oder Online-Shops, können wir eine Schnittstelle anbieten, die für das aktive Kundenkonto überprüft, ob die Accountsicherheit nach unserer Datenlage eingeschränkt ist. Sollte dies der Fall sein, kann der Dienstanbieter auf einen weiteren Faktor (telefonische Rückfrage, SMS-TAN, oder ähnliches) zurückgreifen, um diese laufende Transaktion abzusichern. Im nächsten Schritt müsste dann gemeinsam mit dem Kunden die Accountsicherheit wiederhergestellt werden. Das schützt sowohl den Endverbraucher als auch unsere Partner, die diesen Prozess im Rahmen des Fraud-Managements mit anbinden können.