Digital

Check Tool: Wenn diese Meldung erscheint, bist du nicht betroffen. screenshot: checktool.ch

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

Es ist ein brisanter «Fund»: Der Melde- und Analysestelle Informationssicherung MELANI des Bundes wurden rund 21'000 Zugangsdaten zugespielt, die offensichtlich gestohlen wurden und nun für illegale Zwecke missbraucht werden.

29.08.17, 10:52 15.09.17, 11:44

Dem Bund wurden aus vertraulicher Quelle rund 21'000 Kombinationen von Zugangsdaten zu Internet-Diensten gemeldet. Dies schreibt die Melde- und Analysestelle Informationssicherung MELANI am Dienstag in einer Mitteilung.

Die vermutlich bei Hacker-Angriffen erbeuteten Passwörter seien offenbar in den Besitz von unberechtigten Drittpersonen geraten. MELANI habe derzeit keine Kenntnis darüber, wo und wann genau die Daten entwendet worden sind.

Besonders problematisch ist der Umstand, dass bei vielen Internet-Diensten die eigene E-Mail-Adresse als Benutzernamen dient. Verwenden Internet-User für verschiedene Online-Portale und Apps immer dasselbe Passwort, ermöglicht dies den Tätern auf einfache Weise, diese Zugangsdaten für Betrug, Erpressung oder Phishing zu missbrauchen.

Ein weiteres Problem: Haben die Hacker Zugriff auf das E-Mail-Konto, können sie dank der Passwort-Anforderungsfunktion bei anderen Webseiten und Apps die Kontrolle über so ziemlich alle Konten des Opfers übernehmen (Online-Shops, Facebook, Cloud-Dienst etc.).

So prüfst du, ob du betroffen bist

MELANI hat deshalb ein Online-Tool publiziert, mit dem sich überprüfen lässt, ob die eigene E-Mail Adresse respektive die verwendeten Loginnamen betroffen sind. Das Tool kann unter der Webseite https://www.checktool.ch aufgerufen werden. «Für die Überprüfung ist nur die Eingabe der E-Mail-Adresse respektive des Benutzernamens notwendig. Diese wird nicht im Klartext übermittelt und auch nicht gespeichert», schreibt MELANI.

Der Bund rät allen Personen und Unternehmen, diesen Check durchzuführen. Sollte ein Konto betroffen sein, gibt das Online-Tool eine entsprechende Meldung aus. In diesem Fall empfiehlt MELANI den Betroffenen folgende Massnahmen:

Hinweis:

Nach der Veröffentlichung dieser Meldung war der Passwort-Check des Bundes zeitweise nicht mehr zu erreichen. Offenbar war die Webseite der grossen Zahl gleichzeitig anfallender Anfragen nicht gewachsen. Falls die Webseite nicht sofort lädt, habe etwas Geduld und versuche es später noch einmal.

Eine alternative Plattform um zu prüfen, ob eigene Online-Konten in die Hände von Hackern gefallen sind, heisst Have I Been Pwned? Sie wird vom renommierten Sicherheits-Experten Troy Hunt betrieben.

(oli)

Sieben eindrückliche Hacker-Attacken

So schaltest du die versteckte Karte auf deinem iPhone aus:

1m 0s

So schaltest du die versteckte Karte auf deinem iPhone aus

Video: watson/Lya Saxer

Ständemehr als Stolperstein: Bei der AHV-Reform wird um jeden Swing State gekämpft

Extrem hässliche Menschen erzählen uns, wie es ist, extrem hässlich zu sein

Kein Schamgefühl – dieses Trump-Getue von CC macht alles nur noch schlimmer

Cassis muss in der Europapolitik liefern – und den Beschuss von rechts aushalten

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
32Alle Kommentare anzeigen
32
Um mit zudiskutieren oder Bilder und Youtube-Videos zu posten, musst du eingeloggt sein.
Youtube-Videos und Links einfach ins Textfeld kopieren.
600
  • FlohEinstein 29.08.2017 14:48
    Highlight Habt ihr gewusst, dass Watson eine Sicherheitsfunktion bei den Kommentaren eingebaut hat, die automatisch euer Passwort durch Sternchen ersetzt, wenn ihr es in den Text schreibt?
    Probiert's mal aus: ************
    38 5 Melden
    • Evan 29.08.2017 17:09
      Highlight 123456
      22 2 Melden
    • Evan 29.08.2017 17:09
      Highlight Ach scheisse, wusst ich doch, dass du mich anlügst
      15 2 Melden
    • blablup 29.08.2017 17:33
      Highlight passwort
      6 3 Melden
    • MrXanyde 29.08.2017 17:48
      Highlight 😂
      6 2 Melden
    • VoiceInTheDarkness 29.08.2017 18:20
      Highlight *********
      5 1 Melden
    • ast1 29.08.2017 21:18
      Highlight hunter2
      7 1 Melden
    • Musterschüler 29.08.2017 21:26
      Highlight D77911$ScHDoTRump88$
      4 2 Melden
    • rothi 31.08.2017 00:02
      Highlight Covfefe
      2 0 Melden
    600
  • Mr.President 29.08.2017 12:12
    Highlight Und jetzt stellt euch mal vor, dieser Sicherheitsabfrage-Tool ist selbst ein Trojaner! Hoppla!;) deswegen antwortet er jetzt nicht
    57 17 Melden
    • Randy Orton 29.08.2017 12:41
      Highlight Uuuu, dann hat es jetzt deine E-Mailadresse ;)
      50 2 Melden
    600
  • Asmodeus 29.08.2017 12:11
    Highlight YES! Ich bin nicht betroffen.

    Ich wusste 12345 würde niemand knacken können.
    86 4 Melden
    600
  • Rägebogefisch 29.08.2017 12:06
    Highlight Bei Melani bin ich nicht betroffen, aber bei Pwned schon... Warum das?🤔
    11 1 Melden
    • Oliver Wietlisbach 29.08.2017 12:09
      Highlight Weil Pwned grössere und andere Datensätze mit gehackten Profilen hat. Pwned gibt es schon seit Jahren, sammelt also schon viel länger gehackte Konten. Checktool.ch bezieht sich nur auf den Datensatz, der dem Bund offenbar zugespielt worden ist.
      34 0 Melden
    • Rägebogefisch 29.08.2017 12:14
      Highlight Danke! Das heisst in dem Fall, dass ich trotz dem negativen Melani meine Daten ändern sollte?
      24 0 Melden
    • Randy Orton 29.08.2017 12:43
      Highlight @Rägebogefisch, bei pwned siehst du auch, welche Daten betroffen waren und welche Internetseite deine Daten verschlampt hat. Ich würde das Passwort, welches du dort nutzt nicht mehr benützen und bei allen anderen Dienstleistern bei denen du das selbe Passwort benutzt ändern
      13 0 Melden
    • CasRas 29.08.2017 12:53
      Highlight Passwörter niemals wiederverwenden. Passwortmanager bewirkt Wunder.

      Falls deine Daten bei "Pwned" gelistet sind und du das gleiche Passwort auf mehreren Seiten verwendest, unbedingt das Passwort überall ändern, idealerweise auf unterschiedliche Passwörter.
      11 0 Melden
    • Rägebogefisch 29.08.2017 13:28
      Highlight Merci für die Erklärungen! Das werd ich machen.
      10 0 Melden
    600
  • Str ant (Darkling) 29.08.2017 12:04
    Highlight Wenn immer möglich 2-Step-Verification benutzen !
    10 1 Melden
    600
  • bbb22 29.08.2017 12:02
    Highlight Keine Info wo diese Daten gestohlen wurden?
    27 3 Melden
    600
  • CasRas 29.08.2017 11:54
    Highlight Deswegen separate E-Mail und Passwort für jede Webseite. Jeder ist selber für die eigene Sicherheit verantwortlich, vertraut nicht irgend welchen Webseiten.

    Wie viel denen eure Sicherheit wert ist sieht man schon daran wenn sie einem auffordern, den Werbeblocker auszumachen. Ein sicherheitstechnischer Albtraum wenn solche Seiten nach der Deaktivierung des Blockers plötzlich "Content" aus 50 verschieden Quellen lädt.
    17 2 Melden
    • bärn 29.08.2017 12:58
      Highlight klar... ich bin überzeugt dass du gem. deinem Kommentar also mindestens 50 mailaccounts besitzt.....
      18 2 Melden
    • skankhunt42 29.08.2017 14:01
      Highlight Kleiner Tipp: Für "unwichtige" Accounts eignen sich Wegwerfmailadressen super. bei denen muss man nicht mühsam eine neue Mailadresse erstellen und kann sich so trotzdem überall anmelden, wo man nicht zu viele Daten bzw. seine echte Mail preisgeben möchte. Danach muss man sich nur das Login und das PW merken und die Einwegmailadresse kann man ins Nirvana befördern, wo dann auch der ganze Spam landet, der mit gewissen Accounts einhergeht.
      8 0 Melden
    • Madison Pierce 29.08.2017 14:29
      Highlight @bärn: Man braucht dafür nicht so viele Mailaccounts, Aliase reichen völlig.

      Entweder Adressen mit dem +, also "hans+forumxy@muster.ch" (wie unter anderem von GMail unterstützt) oder gleich richtige Aliase, also "forumxy@muster.ch". Hat auch die Vorteile, dass man:

      a.) sieht, welcher Shop/Dienst die Adressen verkauft
      b.) Adressen temporär deaktivieren kann.

      Letzteres mache ich häufig, wenn ich mich irgendwo registrieren muss, aber nicht zehn Newsletter haben will. Registrieren, Bestellung durchführen, Alias deaktivieren, allenfalls vor nächster Bestellung wieder aktivieren.
      8 0 Melden
    • CasRas 29.08.2017 16:55
      Highlight Für die E-Mails habe ich eine eigene Domain, das erstellen eines Alias dauert 10 Sekunden. Dank dem Passwort-Manager muss ich mir nie etwas merken, kann dafür aber vor allem genau nachvollziehen, wer E-Mail Adressen verkauft oder "verliert".
      4 0 Melden
    • bärn 29.08.2017 17:50
      Highlight @Madison Pierce
      ...also gmx gratis account erlaubt soviel ich weiss gerade 2 Aliase, alles andere braucht pro account (und noch da ist es eingeschränkt).
      klar kann man mit alias arbeiten, ich erachte dies für 99% der user als nicht praktikabel, zu kompliziert. aber ist natürlich eine Möglichkeit.

      Am Ende des Tages gibt's 1000nde Möglichkeiten. Mir reichen dazu 2 Mailadressen (Meine & JohnDoe) und verschiedene "Passwortkategorien" welche sich unterscheiden in Länge, Komplexität, wo habe ich zb. Kreditkarten hinterlegt etc.

      IchhabeseitzweiJahreneinsehrgutesPasswortbeiGoogle = Ihs2Je$gPbG ;-)
      3 0 Melden
    600
  • DoMeBE19 29.08.2017 11:46
    Highlight Habt noch einen Fehler drin, sollte wohl Authentifizierung und nicht "Authentisierung" heissen.
    11 0 Melden
    • Oliver Wietlisbach 29.08.2017 12:07
      Highlight Danke für den Hinweis. Ich habs inzwischen korrigiert.
      5 0 Melden
    600
  • HAL9000 29.08.2017 11:06
    Highlight Irgendjemand betroffen?
    9 4 Melden
    • o.o 29.08.2017 11:29
      Highlight hal9000@discovery.com ist drin
      21 2 Melden
    • α Virginis 29.08.2017 11:35
      Highlight Meine Uraltmailaddy ist zwar betroffen, aber schon seit Jahren nicht mehr in Betrieb und beim Provider abgemeldet, also keine Panik.
      4 4 Melden
    • dop_forever 29.08.2017 11:38
      Highlight Ja, leider betroffen... Heisst wohl PW ändern.
      8 0 Melden
    600

Tracking 24/7

Wo war Herr Glättli die letzten sechs Monate? Minute für Minute, Ort für Ort? Swisscom oder Sunrise wissen es, Sie wissen es jetzt – und der Staat kann es jederzeit wissen

Balthasar Glättli hat zum ersten Mal in der Schweiz die Daten erhalten, die Mobilfunkprovider sechs Monate lang von jedem Handynutzer speichern müssen. Hier sehen Sie, mit welchen Journalisten der Nationalrat wann telefoniert – und wo der geheime Datenbunker der Schweiz steht. 

Dem Zürcher Nationalrat Balthasar Glättli ist gelungen, was bisher in der Schweiz noch niemand erreicht hat. Er hat sich bei seinem Mobilfunk-Provider Zugriff auf die über ihn gespeicherten Daten verschafft – und sie watson und der Schweiz am Sonntag anvertraut. Die zwischen Januar und Juli 2013 aufgezeichneten Daten enthüllen das genaue Bewegungs-, Beziehungs- und Persönlichkeitsprofil des Politikers: Seine zurückgelegten Wege, seine Freunde, seine Interessen.

Swisscom, …

Artikel lesen