Welche Dienste betroffen sind
Die Liste der kompromittierten Zugangsdaten enthält viele bekannte Online-Dienste. Bei Gmail sollen etwa 40 Millionen Konten betroffen sein. Facebook ist mit rund 17 Millionen Log-ins vertreten. Für Instagram, Netflix, Yahoo, iCloud und OnlyFans werden jeweils „Millionen“ kompromittierter Datensätze genannt, ohne dass genaue Zahlen veröffentlicht wurden. Auch der Bildungsbereich ist betroffen: Etwa 1,4 Millionen .edu-Adressen sind in der Datenbank (meist Adressen von Hochschulen in den USA). Diese enorme Anzahl zeigt, wie weitreichend solche Sicherheitsvorfälle sein können.
Was das für Schweizer Nutzer bedeutet
Fowler weist darauf hin, dass zahlreiche Datensätze die Endung .ch haben. Besonders genannt werden Plattformen wie Zalando, Ricardo, Bluewin, MediaMarkt und Ticketcorner. Für Nutzer in der Schweiz sind diese Informationen besonders heikel, weil der Verlust solcher Daten Folgen für die persönliche und finanzielle Sicherheit haben kann.
Besonders erwähnt wird die Raiffeisenbank: Eine URL im Zusammenhang mit E‑Banking tauchte in der Liste auf. Die Bank stellt jedoch klar, dass diese URL seit Jahren nicht mehr benutzt wird und aktive Konten durch Multi‑Faktor‑Authentifizierung geschützt sind. Deshalb sieht die Bank kein unmittelbares Risiko.
Wie es dazu gekommen sein könnte und welche Gefahren bestehen
Laut Jeremiah Fowler handelt es sich nicht um einen direkten Einbruch in die IT‑Systeme der betroffenen Unternehmen. Vielmehr deuten die Hinweise darauf hin, dass Schadsoftware auf den Geräten der Nutzer installiert wurde. Eine ernstzunehmende Gefahr ist das sogenannte Credential stuffing (bei dem gestohlene Kombinationen aus E‑Mail‑Adressen und Passwörtern automatisiert bei anderen Diensten ausprobiert werden). Dieses Vorgehen macht deutlich, wie wichtig eine durchdachte Sicherheitsstrategie für Nutzer ist.
Wie man seine Daten besser schützt
Experten empfehlen verstärkte Sicherheitsmaßnahmen, um zukünftige Risiken zu reduzieren. Der Einsatz von Passwort‑Apps bzw. Passwort‑Managern wird dringend angeraten, damit sichere und komplexe Passwörter erstellt und verwaltet werden können. Außerdem sollten Nutzer, wo immer möglich, die Zwei‑Faktor‑Authentifizierung aktivieren.
Die Empfehlung, Passwörter regelmäßig zu wechseln, wird kontrovers diskutiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Anweisung zurückgezogen, da ein regelmäßiger Wechsel nicht immer die beste Vorgehensweise ist.
Die Diskussion um die besten Sicherheitspraktiken zeigt, dass der Schutz persönlicher Daten ein komplexes und sich ständig veränderndes Thema bleibt. Dieses Datenleck macht deutlich, wie dringend sowohl Einzelpersonen als auch Institutionen Strategien brauchen, die künftigen Bedrohungen standhalten. In einer Welt, in der personenbezogene Daten für Hacker begehrte Ziele sind, kann sorgfältige Wachsamkeit helfen, Schäden zu begrenzen.
