HPI Identity Leak Checker schlägt an, BSI-Website aber nicht?

[Marvolo]

Hallo Leute,

Im Januar und im April als diese Veröffentlichungen zu den geklauten Internetadressen bekannt wurden, habe ich beide Male meine aktuelle Mailadresse auf dieser BSI-Website prüfen lassen. Nie kam eine Mail zurück, weswegen ich mich sicher fühlte. Als dann im April noch einmal ein großes TraRa gemacht wurde, habe ich erneut prüfen lassen (kein Ergebnis) und zudem auch noch mein derzeitiges Passwort angefangen abzuändern, für sämtliche wichtigen Websites, bei denen ich diese Mail zusammen mit dem damals alten Passwort verwendet habe.

Heute lese ich also von diesem HPI Identity Leak Checker, scheinbar ein ganz neues Tool zur Überprüfung der Daten. Da die letzten beiden Male aber nie etwas zurückkam, war ich relativ sicher, dass auch dieses Tool nicht anschlagen würde.

Aber das tat es. Eine Mail kam zurück:

Achtung: Ihre E-Mail Adresse taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf.
Folgende sensible Informationen wurden im Zusammenhang mit Ihrer E-Mail-Adresse xxxxxx@xxxxx frei im Internet gefunden:
Passwort: X
Name: -
Kreditkarte: -
Bankkonto: -
Sozialversicherungsnr: -

Also nur Passwort sei betroffen. Da sich meine Mailadresse allerdings aus meinem Vor- und Nachnamen zusammensetzt, verstehe ich nun nicht, wieso bei "Name" nichts entdeckt wurde, aber naja gut. Besser für mich.

Jedenfalls: Mein eh noch relativ frisches Passwort vom April habe ich vorhin gleich nochmals in ein anderes abgeändert; da meine Adresse eine GMAIl-Adresse ist, reicht das ja, einmal bei Google das Passwort zu ändern, das sollte ja dann für alle anderen Dienste wie YouTube etc. übernommen worden sein?

Was muss ich nun noch befürchten? Und vor allem: Wieso schlägt die BSI-Seite nicht an? Habe meine scheinbar betroffene Adresse gerade nochmal auf der BSI-Seite eingegeben und bisher kam auch noch keine Mail zurück. Scheinbar sei die nur bei diesem HPI-Tool betroffen.

Muss ich die Mailadresse jetzt besser löschen und mir eine neue erstellen, trotz abgeändertem Passwort, oder was habe ich nun zu befürchten?

 

[InkognitoGER]

Die BSI Seite und die HPI Seite basieren auf anderen Daten.
Grundsätzlich gilt, auch wenn die beiden Seiten nicht anschlagen, kann man betroffen sein. In diesem Fall sind die Daten einfach nicht in der Sammlung dieser beiden Institutionen aufgetaucht.

Soweit ich weiß stammen die Daten des BSI aus einer Polizei-Ermittlungsaktion und das HPI hat im Internet bekannte Seiten abgeklappert wo Identitäten öffentlich zugänglich waren.

Wenn du deine Kennwörter gewechselt hast bist du schon mal auf der sicheren Seite.
Wenn du für jeden Account auch noch ein unterschiedliches Kennwort verwendest, dann ist das Risiko relativ gering. So kann nur mit dem Account Schindluder getrieben werden, wo aktuell dein PWD bekannt ist. Blöd ist es nur wenn dies dein Mail Account ist, da sich mit diesem dann auch deine Anderen Zugänge im Normalfall "reseten" lassen.

 

[Marvolo]

Das Passwort in Google hatte ich ja bereits im April geändert und jetzt heute nach dem Anschlagen des HPI-Tools erneut. Also ganz Google, Mailaccount und alles was mit der GMAIL-Adresse zusammenhängt, sollte nun abgedeckt sein. Facebook und alle anderen Seiten, wo ich diese GMAIL-Adresse verwende, wurden jetzt auch gerade nochmals mit neuen Passwörtern versehen.

Wie meinst du, dass sich über meinen Mailaccount andere Zugänge reseten lassen? Bis heute habe ich nirgends Probleme gehabt, mich anzumelden, bzw. konnte auch keine komischen Aktivitäten feststellen.

 

[InkognitoGER]

Angenommen jemand kennt das Passwort des Mailaccounts mit dem du dich bei Facebook angemeldet hast.
Dann kann er sich ein neues PWD von Facebook zuschicken lassen.

Weiterhin angenommen er hat dann kurzfristig das Kennwort deines Mailaccounts geändert die Facebook-Mail gelöscht und das PWD wieder auf das alte geändert, würdest du das unter Umständen gar nicht mitbekommen. Außer natürlich das du dich bei Facebook nicht mehr einloggen kannst.

 

[Marvolo]

Da ich ja bislang von keinerlei mysteriösen Vorgängen mitbekommen habe und ich mich bis zur jetzigen Sekunde auch noch überall (wo es mir wichtig ist; die zahlreichen Foren habe ich jetzt passwortmäßig noch nicht alle abändern können, sondern erstmal die wichtigen Seiten wie PayPal, Facebook, Microsoft-Account, Googlemail-Account, etc) anmelden konnte, hoffe ich nun mal, dass noch nichts schlimmes passiert ist. Habe auch gleich mal meinen Laptop, von dem ich hier die PW-Änderungen durchgeführt habe, mit dem ADWcleaner überprüft, nicht, dass da noch ein Keylogger o.Ä. drauf lummert und mir die neuen Passwörter abgreift. Aber wurde nichts gefunden, mein Avira Antivir ist auch auf dem neusten Update-Stand.
Nur nicht paranoid werden...

Also mehr tun, als jetzt nach und nach die restlichen Passwörter, die mit dieser Email verknüpft sind, abzuändern kann und brauche ich nicht machen?

 

[InkognitoGER]

Ich wollte damit auch keine Paranoia verbreiten.
Ich denke, bin aber auch kein Sicherheitsexperte, du hast das die richtigen Schritte unternommen.

Ich sehe das etwas nach dem Motto „Man muss nicht schneller als der Löwe sein, sondern schneller als der langsamste in der Gruppe“.
Solange es einen Haufen Leute gibt die sich nicht darum kümmern und dir niemand direkt Schaden möchte wird dann einfach der Aufwand zu groß deinen Account zu nutzen, wenn ich zigtausende Accounts mit weniger Aufwand nutzen kann.

Es ist halt auch immer eine Abwägung von Aufwand und Nutzen. 100% Sicherheit gibt es nicht, außer ich verzichte auf das Internet.
Aber ich will ja auch nicht alle zwei Tage meine Kennwörter wechseln. Wenn ich aber überall das Kennwort 123456, verwende darf ich mich halt am Ende auch nicht wundern wenn ich vor einem Scherbenhaufen stehe.