Identitätsklau: Hasso-Plattner-Institut zieht Bilanz
Im Lauf des ausgehenden Jahres haben Sicherheitsforscher 15 Vorfälle mit von Cyberkriminellen veröffentlichten Identitäten analysiert. 35 Millionen Datensätze später bleibt die ernüchternde Erkenntnis, dass zu simple Passwörter nicht tot zu kriegen sind.
- André von Raison
Schon länger beschäftigen sich die Forscher des Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) an der Universität Potsdam mit Sicherheitsfragen. Auch im ablaufenden Jahr 2015 haben sie wieder einschlägige Internetforen nach gestohlenen Identitätsdaten durchforstet und konnten dabei knapp 35 Millionen Datensätze aus mindestens 15 verschiedenen Quellen aufspüren. Diese stammen laut HPI sowohl aus prominenten Systemeinbrüchen wie Ashley Madison, Skype, Twitter oder Minecraft als auch von Quellen wie Lizard Stresser, Sprashivai oder Impact Mailorder. Laut HPI-Direktor Prof. Christoph Meinel verfügt das Institut inzwischen über einen Fundus von 215 Millionen Datensätzen, den man jetzt statistisch ausgewertet habe.
Danach stehen Passwörter mit weitem Abstand an der Spitze der entdeckten sensiblen Informationen, in fast einem Drittel der Fälle (62 Millionen) sogar im Klartext. Nach Häufigkeit sortiert folgen dann Vor- und Zunamen (37 Mio.) sowie Telefonnummern (32 Mio). Kreditkartendaten fallen demgegenüber sehr weit zurück (10.200). Bei den gefundenen Passwörtern nehmen allein die unterschiedlichen Ziffernfolgen 123... sieben der Top-Ten-Plätze ein.
| Rang | Passwort | Häufigkeit in Promille |
| 1 | 123456 | 10,37 |
| 2 | 123456789 | 3,49 |
| 3 | 12345678 | 1,94 |
| 4 | password | 1,85 |
| 5 | qwerty | 0,95 |
| 6 | adobe123 | 0,91 |
| 7 | 1234567 | 0,69 |
| 8 | 111111 | 0,67 |
| 9 | 12345 | 0,61 |
| 10 | 1234567890 | 0,51 |
Auch vor dem Hintergrund, dass viele Nutzer für vermeintlich unsichere Dienste ebensolche Passwörter verwenden, sehen die HPI-Forscher das durchaus kritisch: Derartige Kombination würden Passwort-Cracker zuerst ausprobieren. Auch bei der Zuordnung der geraubten Identitäten zu Diensten gibt es signifikante Häufungen, hier betrifft fast die Hälfte der Datensatze Hotmail-, Gmail- und Yahoo-Konten.
(Bild: sec.hpi.de/leak-checker/statistics )
Schon im Mai 2014 hatte das HPI mit seinem Identity Leak Checker einen Online-Dienst initiiert, über den Nutzer feststellen können, ob ihre E-Mail-Adresse in den illegal veröffentlichten Datensätzen auftaucht und wenn ja, mit welchen sensiblen Zusatzinformationen. In den vergangenen zwölf Monaten haben rund 100.000 Besucher das Angebot genutzt. Allerdings garantiert eine Negativ-Meldung nicht, dass von den jeweiligen Anwendern keine Daten gestohlen wurden, sie befinden sich nur nicht im in den Foren veröffentlichten Material. Wie der Screenshot zeigt, liefert der Checker nur die Art der gefundenen Informationen und ergänzt sie um Tipps, damit umzugehen – in 2015 rund 13.000 Mal. Die tatsächlichen Daten geben die Potsdamer nicht heraus, sondern nur das ungefähre Veröffentlichungsdatum. (avr)
