Im Netz kursiert eine Liste mit 70.000 Log-in-Daten, die fast ausschließlich österreichische Nutzer betrifft. Sie besteht aus E-Mail-Adressen und Passwörtern. Es finden sich auch 383 Einträge mit Adressen staatlicher Institutionen und Behörden (.gv.at) darunter – etwa des Innenministeriums und der Polizei. Die verwendeten Kennwörter sind dabei nicht besonders sicher – von Polizeiangehörigen wurden etwa Passwörter wie "bier1", "spotzi" und "freund" genutzt.

Auch Medienmitarbeiter, darunter vier STANDARD-Adressen, sind betroffen. Über diese ließ sich auch verifizieren, dass es sich wohl um reale, allerdings veraltete Daten handelt. Der Hinweisgeber, der die Redaktion über den Leak in Kenntnis setzte, erklärt, dass drei sein Umfeld betreffende Log-ins ebenso korrekt waren.

Cybasar-Datenbank gehackt

Die Daten stammen aus der Datenbank von Cybasar.at, einer Plattform für privaten Gebrauchtwagenhandel. Das bestätigt Geschäftsführer Gerhard Hauke dem STANDARD. Das Unternehmen weiß nach eigenen Angaben seit "heute, Montag, 13 Uhr" Bescheid, dass die Daten im Netz kursieren. Die Liste wurde unter anderem auf der Forenplattform Reddit geteilt. Cybasar hat die entsprechenden Konten gesperrt und will die Nutzer bald über den Hack informieren.

Wenngleich die Daten auch laut Cybasar "zum Teil sehr alt" sind, ist für Nutzer aufgrund ihrer Verbreitung Vorsicht geboten. Wer sein auf Cybasar verwendetes Passwort auf anderen Seiten ebenfalls nutzt, sollte dieses schleunigst überall ändern, um das Risiko etwaigen Daten- und Identitätsdiebstahls zu minimieren.

Laut Innenministerium ermittelt das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung. Ministeriumssprecher Alexander Marakovits betont, dass mit den aufgetauchten Passwörtern kein Zugriff auf interne Systeme möglich sei.

Eigene Sicherheit prüfen

Wer nicht sicher ist, ob sein Log-in in dem Leak enthalten ist, kann seine E-Mail-Adresse auf der Plattform "Have I Been Pwned" eingeben – dort sind die Leak-Daten mittlerweile eingespeist worden.

Am 1. Februar ist übrigens wieder der alljährliche "Change Your Password Day", an dem daran erinnert wird, dass man wichtige Passwörter regelmäßig ändern sollte – besonders, wenn man einen Dienst ohne zweistufiger Authentifizierung verwendet, bei dem man den Login von einem neuen Gerät etwa zuerst mittels zusätzlichem Code bestätigen muss.

Aus diesem Anlass hat das deutsche Hasso-Plattner-Institut (HPI) dazu aufgerufen, an die wichtigsten Regeln zur Erstellung starker Passwörter zu denken. HPI-Direktor Christoph Meinel kritisierte etwa, dass die Zahlenfolge "123456" nach wie vor das weltweit beliebteste Passwort ist – dicht gefolgt von "12345678", "111111" und "qwerty".

Rund jeder fünfte Internetnutzer verwendet nach einer Auswertung des Potsdamer Informatikinstituts das gleiche Passwort für mehrere Dienste. Dabei ließen sich Meinel zufolge die Risiken eines Identitätsdiebstahls leicht minimieren.

Starke Passwörter verwenden

Das HPI empfiehlt zur Erstellung starker Passwörter eine Länge von zehn bis 15 Zeichen. Der Geheimcode sollte verschiedene Zeichentypen enthalten sowie Groß- und Kleinschreibung einbeziehen. Ein Beispiel: Während sogenannter Brute-Force-Attacken, bei denen Software die Abfolgen bestimmter Zeichen zum Entschlüsseln eines Passworts ausprobiert, wird für die Aufdeckung des Passworts "secret" weniger als eine Sekunde benötigt. Für das Passwort "!sEcRe!2%9" wären es nach aktuellem Stand über 19 Jahre.

Alternativ können aber auch besonders lange und dafür einfacher zu merkende Passwörter aus zufälligen Wortketten (etwa "random horse superman machinegun icecream") gewählt werden. Hier sorgt die hohe Anzahl an Zeichen dafür, dass der Login kaum zu knacken ist.

Nicht verwenden sollten die Nutzer persönliche Informationen, diese könnten leicht erraten werden. Auch Wörter aus dem Wörterbuch könnten mit Hilfe von Software leicht geknackt werden. Außerdem sollte nie dasselbe Passwort für mehrere Konten verwendet werden. Meinel empfiehlt Nutzern, ihre Passwörter von Zeit zu Zeit wechseln. Keinesfalls sollte dabei jedoch auf alte Passwörter oder Variationen zurückgegriffen werden. (muz, fsc, gpi, APA 29.1.2018)