Ein Datenleck liegt vor, wenn Informationen, die gesch\u00fctzt sein sollten, in die H\u00e4nde Unbefugter geraten. Mal sind es einige tausend E-Mail-Adressen, mal Millionen von Datens\u00e4tzen mit Namen, Passw\u00f6rtern und Zahlungsdaten. F\u00fcr Sie als betroffene Person stellt sich weniger die Frage, wie es zu dem Leck kam, als vielmehr: Was wurde offengelegt, und was bedeutet das f\u00fcr mich? Dieser Leitfaden erkl\u00e4rt beide Seiten, von den typischen Ursachen \u00fcber die konkreten Folgen bis zu praktischen Schritten, mit denen Sie den Schaden eingrenzen.<\/p>\n
Datenlecks sind keine Randerscheinung, sondern ein dauerhafter Begleiter der vernetzten Welt. Unternehmen, Beh\u00f6rden und kleine Vereine sammeln Daten, und \u00fcberall dort, wo Daten liegen, k\u00f6nnen sie auch verloren gehen. Das Ziel ist nicht, jedes Leck zu verhindern, denn das liegt selten in Ihrer Hand. Das Ziel ist, sich so aufzustellen, dass ein Leck bei einem einzelnen Dienst nicht Ihr gesamtes digitales Leben gef\u00e4hrdet.<\/p>\n
Datenlecks haben selten eine einzige Ursache. Meist treffen mehrere Schwachstellen zusammen. Es lohnt sich, die h\u00e4ufigsten Wege zu kennen, denn sie erkl\u00e4ren, warum manche Schutzma\u00dfnahmen so wirksam sind.<\/p>\n
Ein verbreiteter Weg f\u00fchrt \u00fcber technische Schwachstellen in Webanwendungen. Eine fehlerhaft programmierte Datenbankabfrage kann es einem Angreifer erlauben, \u00fcber sogenannte SQL-Injection ganze Tabellen auszulesen. Veraltete Software mit bekannten Sicherheitsl\u00fccken bietet Einfallstore, die l\u00e4ngst geschlossen sein sollten. Auch falsch konfigurierte Server spielen eine gro\u00dfe Rolle: Immer wieder stehen Datenbanken oder Cloud-Speicher versehentlich offen im Internet, ohne Passwortschutz, und jeder, der die Adresse kennt, kann zugreifen.<\/p>\n
H\u00e4ufig brauchen Angreifer gar keine ausgefeilte Technik. Sie verschaffen sich Zugang mit g\u00fcltigen Zugangsdaten, die sie auf anderem Weg erbeutet haben. Wurde an einer Stelle ein Passwort offengelegt, probieren Angreifer dieselbe Kombination aus E-Mail und Passwort automatisiert bei vielen weiteren Diensten durch. Dieses Vorgehen hei\u00dft Credential Stuffing und ist genau deshalb erfolgreich, weil viele Menschen Passw\u00f6rter mehrfach verwenden. Ein einziges altes Leck kann so Jahre sp\u00e4ter zum Schl\u00fcssel f\u00fcr ein ganz anderes Konto werden.<\/p>\n
Nicht selten beginnt ein gro\u00dfes Leck mit einer einzigen \u00fcberzeugenden E-Mail an eine Mitarbeiterin oder einen Mitarbeiter. Wer auf eine gef\u00e4lschte Anmeldeseite hereinf\u00e4llt und dort Zugangsdaten eingibt, \u00f6ffnet Angreifern unter Umst\u00e4nden die T\u00fcr zu internen Systemen. Wie solche Angriffe ablaufen und woran man sie erkennt, behandelt unser Leitfaden zu Phishing-Angriffen<\/a> ausf\u00fchrlich.<\/p>\n Schlie\u00dflich geht ein Teil der Vorf\u00e4lle auf das Konto von Menschen innerhalb einer Organisation. Das kann b\u00f6swillig sein, etwa wenn jemand Daten beim Ausscheiden mitnimmt, h\u00e4ufiger ist es aber schlichte Unachtsamkeit: ein verlorener Laptop ohne Verschl\u00fcsselung, ein versehentlich \u00f6ffentlich geteiltes Dokument, eine an den falschen Verteiler gesendete Tabelle. Solche F\u00e4lle zeigen, dass Sicherheit nicht nur eine technische, sondern auch eine organisatorische Aufgabe ist.<\/p>\n Nicht alle Datenlecks sind gleich schwerwiegend. Entscheidend ist, welche Art von Information betroffen ist, denn davon h\u00e4ngt das Risiko f\u00fcr Sie ab.<\/p>\n Am h\u00e4ufigsten betroffen sind E-Mail-Adressen und Benutzernamen<\/strong>. F\u00fcr sich genommen sind sie wenig sensibel, doch sie verbinden Sie \u00fcber verschiedene Dienste hinweg und dienen Angreifern als Ausgangspunkt f\u00fcr gezielte Betrugsversuche.<\/p>\nInnent\u00e4ter und Fahrl\u00e4ssigkeit<\/h3>\n
Was bei einem Datenleck offengelegt wird<\/h2>\n