Ein Datenleck liegt vor, wenn Informationen, die geschützt sein sollten, in die Hände Unbefugter geraten. Mal sind es einige tausend E-Mail-Adressen, mal Millionen von Datensätzen mit Namen, Passwörtern und Zahlungsdaten. Für Sie als betroffene Person stellt sich weniger die Frage, wie es zu dem Leck kam, als vielmehr: Was wurde offengelegt, und was bedeutet das für mich? Dieser Leitfaden erklärt beide Seiten, von den typischen Ursachen über die konkreten Folgen bis zu praktischen Schritten, mit denen Sie den Schaden eingrenzen.
Datenlecks sind keine Randerscheinung, sondern ein dauerhafter Begleiter der vernetzten Welt. Unternehmen, Behörden und kleine Vereine sammeln Daten, und überall dort, wo Daten liegen, können sie auch verloren gehen. Das Ziel ist nicht, jedes Leck zu verhindern, denn das liegt selten in Ihrer Hand. Das Ziel ist, sich so aufzustellen, dass ein Leck bei einem einzelnen Dienst nicht Ihr gesamtes digitales Leben gefährdet.
Wie Datenlecks entstehen
Datenlecks haben selten eine einzige Ursache. Meist treffen mehrere Schwachstellen zusammen. Es lohnt sich, die häufigsten Wege zu kennen, denn sie erklären, warum manche Schutzmaßnahmen so wirksam sind.
Angriffe auf Server und Anwendungen
Ein verbreiteter Weg führt über technische Schwachstellen in Webanwendungen. Eine fehlerhaft programmierte Datenbankabfrage kann es einem Angreifer erlauben, über sogenannte SQL-Injection ganze Tabellen auszulesen. Veraltete Software mit bekannten Sicherheitslücken bietet Einfallstore, die längst geschlossen sein sollten. Auch falsch konfigurierte Server spielen eine große Rolle: Immer wieder stehen Datenbanken oder Cloud-Speicher versehentlich offen im Internet, ohne Passwortschutz, und jeder, der die Adresse kennt, kann zugreifen.
Gestohlene oder erratene Zugangsdaten
Häufig brauchen Angreifer gar keine ausgefeilte Technik. Sie verschaffen sich Zugang mit gültigen Zugangsdaten, die sie auf anderem Weg erbeutet haben. Wurde an einer Stelle ein Passwort offengelegt, probieren Angreifer dieselbe Kombination aus E-Mail und Passwort automatisiert bei vielen weiteren Diensten durch. Dieses Vorgehen heißt Credential Stuffing und ist genau deshalb erfolgreich, weil viele Menschen Passwörter mehrfach verwenden. Ein einziges altes Leck kann so Jahre später zum Schlüssel für ein ganz anderes Konto werden.
Phishing und Social Engineering
Nicht selten beginnt ein großes Leck mit einer einzigen überzeugenden E-Mail an eine Mitarbeiterin oder einen Mitarbeiter. Wer auf eine gefälschte Anmeldeseite hereinfällt und dort Zugangsdaten eingibt, öffnet Angreifern unter Umständen die Tür zu internen Systemen. Wie solche Angriffe ablaufen und woran man sie erkennt, behandelt unser Leitfaden zu Phishing-Angriffen ausführlich.
Innentäter und Fahrlässigkeit
Schließlich geht ein Teil der Vorfälle auf das Konto von Menschen innerhalb einer Organisation. Das kann böswillig sein, etwa wenn jemand Daten beim Ausscheiden mitnimmt, häufiger ist es aber schlichte Unachtsamkeit: ein verlorener Laptop ohne Verschlüsselung, ein versehentlich öffentlich geteiltes Dokument, eine an den falschen Verteiler gesendete Tabelle. Solche Fälle zeigen, dass Sicherheit nicht nur eine technische, sondern auch eine organisatorische Aufgabe ist.
Was bei einem Datenleck offengelegt wird
Nicht alle Datenlecks sind gleich schwerwiegend. Entscheidend ist, welche Art von Information betroffen ist, denn davon hängt das Risiko für Sie ab.
Am häufigsten betroffen sind E-Mail-Adressen und Benutzernamen. Für sich genommen sind sie wenig sensibel, doch sie verbinden Sie über verschiedene Dienste hinweg und dienen Angreifern als Ausgangspunkt für gezielte Betrugsversuche.
Passwörter sind der kritische Fall. Wie schwer ein Passwortleck wiegt, hängt davon ab, wie der Dienst die Passwörter gespeichert hat. Im besten Fall lagen sie als gesalzene Hashwerte vor, was eine Rückrechnung erheblich erschwert. Im schlimmsten Fall wurden sie im Klartext gespeichert, sodass Angreifer sie unmittelbar verwenden können. Warum seriöse Dienste Passwörter niemals im Klartext aufbewahren sollten und wie Hashing und Salting funktionieren, erklärt der Leitfaden zur Passwortsicherheit.
Persönliche Stammdaten wie Name, Anschrift, Geburtsdatum und Telefonnummer erlauben gezielten Identitätsmissbrauch. Solche Angaben lassen sich kaum ändern, was sie besonders heikel macht. Finanz- und Zahlungsdaten ermöglichen direkten finanziellen Schaden, weshalb sie oft besonders streng geschützt sind, aber auch besonders begehrt. Am sensibelsten sind besondere Kategorien wie Gesundheitsdaten oder Ausweisnummern, deren Offenlegung langfristige Folgen haben kann.
Welche Folgen ein Datenleck hat
Die unmittelbarste Folge ist die Übernahme von Konten. Stehen E-Mail und Passwort einmal in Umlauf, versuchen Angreifer, sich bei zahlreichen Diensten anzumelden. Besonders gefährlich ist der Verlust des E-Mail-Kontos selbst, denn über die Funktion zum Zurücksetzen von Passwörtern lassen sich von dort aus viele weitere Konten kapern. Das E-Mail-Postfach ist gewissermaßen der Generalschlüssel zum digitalen Leben.
Eine zweite Folge ist gezielter Betrug. Mit echten persönlichen Daten wirken Betrugsnachrichten weitaus glaubwürdiger. Eine Mail, die Ihren vollständigen Namen, Ihre Adresse und vielleicht eine kürzlich getätigte Bestellung nennt, wirkt überzeugend und senkt Ihre Wachsamkeit. Dieses sogenannte Spear-Phishing nutzt die Daten aus einem Leck, um den nächsten Angriff vorzubereiten.
Hinzu kommen Identitätsdiebstahl, bei dem jemand unter Ihrem Namen Verträge abschließt oder Bestellungen aufgibt, sowie in manchen Fällen Erpressung. Nicht zu unterschätzen ist die emotionale Belastung: Das Gefühl, die Kontrolle über die eigenen Daten verloren zu haben, wiegt für viele Betroffene schwer, auch wenn kein direkter finanzieller Schaden entsteht.
So schützen Sie sich praktisch
Sie können nicht verhindern, dass ein Dienst, den Sie nutzen, eines Tages ein Leck erleidet. Sie können aber dafür sorgen, dass ein solches Leck folgenlos bleibt. Die folgenden Maßnahmen wirken zusammen und bilden mehrere Schutzschichten.
Einzigartige Passwörter für jeden Dienst
Die wichtigste einzelne Maßnahme ist, jedes Konto mit einem eigenen Passwort abzusichern. Damit durchbrechen Sie die gefährlichste Kettenreaktion: Wird ein Dienst kompromittiert, bleibt der Schaden auf dieses eine Konto beschränkt. Credential Stuffing läuft ins Leere, weil das erbeutete Passwort nirgendwo sonst funktioniert. Da sich niemand Dutzende einzigartige Passwörter merken kann, übernimmt ein Passwort-Manager diese Aufgabe. Er erzeugt und speichert für jeden Dienst ein langes Zufallspasswort, und Sie müssen sich nur noch ein einziges starkes Hauptpasswort merken.
Zwei-Faktor-Authentifizierung aktivieren
Eine zweite Anmeldestufe sorgt dafür, dass ein gestohlenes Passwort allein nicht ausreicht. Selbst wenn Angreifer Ihr Passwort kennen, fehlt ihnen der zweite Faktor, etwa ein Einmalcode aus einer Authenticator-App oder die Bestätigung über einen Hardware-Schlüssel. Aktivieren Sie diese Funktion überall, wo sie angeboten wird, vorrangig beim E-Mail-Konto, bei Bankdiensten und bei zentralen Konten. Wo Sie die Wahl haben, sind App-basierte Codes oder Hardware-Schlüssel den per SMS versendeten Codes vorzuziehen, da SMS unter bestimmten Umständen abgefangen werden können.
Ihre Adressen auf Lecks überwachen
Es gibt seriöse Dienste, mit denen Sie prüfen können, ob Ihre E-Mail-Adresse in bekannten Datenlecks auftaucht. Tragen Sie Ihre Hauptadressen dort ein und lassen Sie sich benachrichtigen, wenn sie künftig in einem Leck erscheinen. So erfahren Sie frühzeitig, dass Handlungsbedarf besteht, und können das betroffene Passwort ändern, bevor es ausgenutzt wird. Diese Überwachung ersetzt keine der anderen Maßnahmen, ergänzt sie aber sinnvoll, weil sie Ihnen Zeit verschafft.
Schnell handeln, wenn ein Dienst betroffen ist
Erfahren Sie, dass ein von Ihnen genutzter Dienst ein Leck gemeldet hat, ändern Sie dort umgehend das Passwort. Haben Sie dasselbe Passwort, entgegen der Empfehlung, auch anderswo verwendet, ändern Sie es überall, wo es im Einsatz war. Aktivieren Sie, falls noch nicht geschehen, die zweite Anmeldestufe. Achten Sie in den Wochen danach verstärkt auf verdächtige Nachrichten, die sich auf den betroffenen Dienst beziehen, denn Angreifer nutzen frische Lecks gern für Betrugswellen.
Datensparsamkeit als Grundhaltung
Was ein Dienst nicht von Ihnen gespeichert hat, kann auch nicht geleakt werden. Geben Sie bei Anmeldungen nur die Daten an, die wirklich erforderlich sind. Nutzen Sie für unwichtige Registrierungen gegebenenfalls eine separate E-Mail-Adresse. Löschen Sie Konten, die Sie nicht mehr brauchen, statt sie nur ungenutzt liegen zu lassen. Jede Datenspur, die Sie vermeiden, ist eine, die in keinem künftigen Leck auftauchen kann.
Häufige Fragen
Woran merke ich, dass meine Daten in einem Leck sind?
Oft erfahren Sie es durch eine Benachrichtigung des betroffenen Dienstes oder durch einen Überwachungsdienst, bei dem Sie Ihre E-Mail-Adresse hinterlegt haben. Manchmal deuten auch ungewöhnliche Anmeldeversuche, unerwartete Passwort-Zurücksetzungen oder eine Welle gezielter Betrugsmails darauf hin.
Muss ich nach einem Leck alle meine Passwörter ändern?
Vorrangig ändern Sie das Passwort des betroffenen Dienstes. Haben Sie dasselbe Passwort mehrfach verwendet, ändern Sie es überall dort. Nutzen Sie ohnehin für jeden Dienst ein eigenes Passwort, bleibt der Aufwand auf das eine betroffene Konto beschränkt, genau das ist der Vorteil einzigartiger Passwörter.
Sind gehashte Passwörter aus einem Leck gefährlich?
Sie sind weniger gefährlich als Klartext-Passwörter, aber nicht völlig harmlos. Wurde ein schwaches oder kurzes Passwort gehasht, lässt es sich unter Umständen rekonstruieren. War es lang und einzigartig, ist das Risiko gering. Ein Passwortwechsel ist nach einem Leck dennoch immer ratsam.
Schützt mich Zwei-Faktor-Authentifizierung auch bei einem Datenleck?
Ja, in erheblichem Maße. Selbst wenn Ihr Passwort offengelegt wurde, können Angreifer sich ohne den zweiten Faktor nicht anmelden. Die zweite Anmeldestufe ist daher eine der wirksamsten Maßnahmen, um die Folgen eines Lecks aufzufangen.
