Ein längst schon vergessen geglaubter Hack holt derzeit die Online-Welt ein – und macht dabei nun auch in Österreich wieder Schlagzeilen. Seit rund zwei Wochen ist eine vollständige Kopie der Linkedin-Nutzerdatenbank aus dem Mai 2012 im Web. Darin enthalten: E-Mail-Adressen und nur schwach geschützte Passwörter sämtlicher damals registrierten Nutzer.

Anlass

Rund 165 Millionen User sind davon betroffen, darunter offenbar auch ein hochrangiger FPÖ-Politiker. Zumindest findet sich in der Datenveröffentlichung ein Eintrag mit dessen E-Mail-Adresse und einem ziemlich einschlägig gewählten Passwort. Dieses sorgt nun für Schlagzeilen.

Doch darum soll es im Folgenden nicht gehen, immerhin lässt sich die Authentizität solcher Leaks nur sehr schwer einwandfrei beweisen – wie unwahrscheinlich eine Manipulation auch sein mag. Stattdessen soll der aktuelle Vorfall zum Anlass genommen werden, um noch einmal eine dringende Warnung an alle Linkedin-Nutzer auszusprechen. Wer auf der Karriereplattform aktiv ist (oder war) und seit dem damaligen Zeitpunkt sein Passwort nicht geändert hat, sollte dies schleunigst nachholen.

Problematik

Linkedin hatte damals die Passwörter nur äußert unzureichend abgesichert, was es jeder Person mit einem gewissen technischen Sachverständnis recht einfach macht, das Passwort aus dem in der Datenbank eingetragenen Hash zu rekonstruieren. Mittlerweile dürften aktuellen Schätzungen zufolge bereits mehr als 90 Prozent aller mit dem Linkedin-Hack veröffentlichten Passwort/Hash-Kombinationen geknackt worden sein.

Die Änderung des Passwortes bei Linkedin ist allerdings nur der erste Schritt. Wer denselben Begriff auch auf anderen Plattformen verwendet hat, muss dort ebenfalls ein neues Passwort wählen. Durchgesickerte Account-Daten auf anderen Plattformen auszuprobieren, gehört zum kleinen Einmaleins jener, die es auf Datendiebstahl abgesehen haben. Eben aus diesem Grund ist übrigens prinzipiell dringend davon abzuraten, dasselbe Passwort auf mehreren Plattformen zu verwenden.

Hilfreiche Tipps

Tipps zur Wahl eines guten Passworts gibt es im Netz zuhauf, so liefert etwa "Bitkom" einige nützliche Hinweise. Zentral ist es dabei, nicht einfach klassische Wörterbuchbegriffe zu verwenden. Auch diese mit Zahlen enden zu lassen, erhöht die Sicherheit nur unwesentlich. Stattdessen sollte ein gutes Passwort genau genommen eine Passphrase sein, eine Kombination aus Zahlen, Sonderzeichen und Buchstaben, die auch eine ausreichende Länge aufweist.

Freilich kann sich kaum jemand solche Gebilde für all seine unterschiedlichen Online-Accounts merken, insofern empfiehlt sich der Griff zu einem Passwort-Manager wie Lastpass oder Keepass, die bei Erstellung wie Verwaltung aller Passwörter zur Hand gehen.

Zweiter Faktor

Wer es noch eine Stufe sicherer haben will, nutzt bei all jenen Services, die das anbieten, die sogenannte Zwei-Faktor-Authentifizierung. Nach deren Aktivierung muss neben dem eigentlichen Passwort noch ein zusätzlicher Sicherheitscode eingegeben werden. Dieser wird in den meisten Fällen über eine App an das eigene Smartphone geschickt.

Die gute Nachricht: Linkedin hat aus dem Hack des Jahres 2012 gelernt und bietet mittlerweile die erwähnte Zwei-Faktor-Authentifizierung an. Auch viele andere große Softwareanbieter wie Google oder Apple unterstützen solche zusätzlichen Schutzmaßnahmen schon seit einiger Zeit. (apo, 14.6.2016)