Nach deutschem Recht darf jeder im Internet anonym surfen. Bei Käufen oder anderen Verträgen, die online abgeschlossen werden, muss ein Nutzer jedoch eindeutig identifizierbar sein und seine Daten im virtuellen Raum speichern. Werden diese Daten gestohlen, fällt das häufig nicht auf. Mit Hilfe der fremden Identität können die Datendiebe dann Konten plündern, einkaufen oder andere illegale Geschäfte abwickeln. Der Diebstahl macht sich meist erst dann bemerkbar, wenn der Schaden bereits eingetroffen ist.

Bei Angriffen dringen die Hacker in die Systeme ein und lesen die dort gespeicherten Daten aus. Das kann der Rechner des Nutzers sein, der zuvor durch Schadsoftware infiziert wurde, oder die Angreifer brechen in die Server von Internet-anbietern ein, über die Nutzer zum Beispiel ihren Mailverkehr abwickeln, und greifen dort Daten ab. "Einen absoluten Schutz vor Datendiebstahl gibt es nicht, da es immer wieder neue Schlupflöcher gibt", erklärt Hans-Joachim Allgaier vom Hasso-Plattner-Institut für Softwaresystemtechnik (HPI) der Universität Potsdam .

Auf der Webseite des Instituts kann jeder kostenlos die eigenen Daten daraufhin prüfen, ob Datendiebe sie bereits im Internet veröffentlicht haben. Dafür müssen Nutzer nur ihre Mailadresse auf der Seite sec.hpi.de eingeben. Der "HPI Identity Leak Checker”, frei übersetzt "Kontrolle undichter Stellen bei der Identität", gleicht ab, ob Hacker diese Adresse in Verbindung mit anderen persönlichen Daten, etwa dem Geburtsdatum, bereits im Internet veröffentlicht haben. Denn dann könnten die Daten auch missbraucht worden sein.

Bislang haben die Forscher mehr als 171 Millionen Datensätze im Netz ausfindig gemacht und analysiert. Sie stammen aus öffentlichen Quellen wie sozialen Netzwerken sowie aus einschlägigen Foren. Dort, so Allgaier, präsentieren Hacker häufig ihre "Beute", um sich damit zu rühmen. "Aus diesen Quellen können sich wiederum Kriminelle bedienen und die Daten für ihre Zwecke nutzen", erläutert Allgaier.

Der Diebstahl der Mailadresse allein sei allerdings noch nicht gefährlich, so Allgaier weiter. "Problematisch wird es dann, wenn die Diebe Verbindungen herstellen, etwa Kreditkartendaten mit Namen und Adressen verknüpfen." Dann könnten Kriminelle die fremde Identität für Betrugsversuche nutzen. "Da viele Nutzer für verschiedene Dienste dasselbe Passwort nutzen, probieren die Datendiebe das erbeutete Kennwort einfach auf anderen Portalen aus und schlagen dann zu", erklärt Allgaier das Vorgehen der Diebe.

Schlägt das Warnsystem der IT-Forscher Alarm, sollten Betroffene sofort das Passwort sämtlicher Konten, für die sie diese Mailadresse verwenden, ändern. "Am besten verwendet man für jedes Portal ein anderes Kennwort", rät Allgaier. Ein neues Passwort sollte so viele Zeichen, Sonderzeichen und Ziffern wie möglich enthalten. "Am besten bildet man einen Merksatz als Eselsbrücke", rät Allgaier. Zudem empfiehlt er, Passwörter regelmäßig zu erneuern. Wurden auch Kreditkarteninformationen gestohlen, empfehlen die IT-Experten, die betroffenen Karten bei der Bank sperren zu lassen und Anzeige zu erstatten.

Zum Thema:

Auf einen BlickDas Online-Alarmsystem des Hasso-Plattner-Instituts der Uni Potsdam überprüft Mailadressen darauf, ob mit ihnen verknüpfte Nutzerdaten von Hackern im Netz veröffentlicht wurden. Bisher haben die Potsdamer Informatiker bereits die Daten von 750 000 Nutzern getestet. Rund 90 000 der Nutzer waren Opfer eines Identitätsdiebstahls geworden.sec.hpi.de