Bei der Nutzung des Internets sollte man besondere Vorsicht walten lassen, aber viel zu wenige Menschen setzen diesen Ratschlag im Alltag um. Im Gegenteil: Wie die Potsdamer Sicherheitsforscher des Hasso-Plattner-Instituts (HPI) auf der Basis von Millionen Datensätzen feststellen, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur wie zum Beispiel QWERTZ oder im angelsächsischen Raum QWERTY an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere Begriffe aus dem Wörterbuch verwendet, zum Beispiel das Wort „password“.

Unangefochten auf dem ersten Platz liegt nach den Erkenntnissen der Forscher nach wie vor die Zahlenreihe „123456“. „Und das, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln“, wie Christoph Meinel, der Direktor des HPI, feststellt. In Fällen von geraubten Identitätsdaten stehen laut den Statistiken der HPI-Sicherheitsforscher Passwörter mit weitem Abstand an der Spitze der entdeckten sensiblen Informationen: In 62 Millionen von weit mehr als 200 Millionen Fällen liegen sie sogar im Klartext vor. Nach Häufigkeit sortiert, folgen dann Vor- und Zunamen (37 Millionen), Telefonnummern (32 Millionen) und – mit weitem Abstand nach unten – Kreditkartendaten (mit nur 10 200).

Dem HPI sind diese Daten bekannt, weil es im zu Ende gehenden Jahr in speziellen Internetforen fast 35 Millionen geraubte Identitätsdaten aufgespürt hat. Cyberkriminelle hatten diese dort in 15 Fällen veröffentlicht und damit auch für mögliche weitere illegale Handlungen zugänglich gemacht. Auf der Website des HPI kann jedermann mit dem „Identity Leak Checker“ des Instituts kostenlos überprüfen, ob seine persönlichen Identitätsdaten betroffen sind. Wer auf der Website „sec.hpi.de/ilc“ seine E-Mail-Adresse eingibt, erfährt nach einem Abgleich sofort, ob diese in Verbindung mit anderen persönlichen Daten (zum Beispiel Passwörtern oder Kontonummern) offengelegt wurde und so missbraucht werden könnte.

„Wir können solche Abgleiche mittlerweile mit mehr als 215 Millionen erfasster Daten aus sogenannten ‚Leaks‘ durchführen“, sagt Meinel. Ende 2014 waren es noch rund 180 Millionen gewesen. Die in diesem Jahr erfassten Daten stammen aus 15 Quellen wie zum Beispiel Ashley Madison, Skype, Twitter und Minecraft. Aber auch Leaks aus weniger bekannten Quellen wie Lizard Stresser, Sprashivai oder Impact Mailorder lieferten Informationen.

Millionen nutzen den Dienst

„Es gab in diesem Jahr sehr viele große Datendiebstähle, bei denen jeweils mehr als eine Million Sätze von Identitätsdaten geraubt und anschließend veröffentlicht wurden“, berichteten die Sicherheitsforscher. Vermehrt seien sogenannte Dating-Portale wie Ashley Madison oder Adult Friend Finder angegriffen worden, wo die Hacker ein hohes Erpressungspotential sähen.

Insgesamt verzeichnete der Dienst nach Angaben des Instituts in den vergangenen zwölf Monaten fast 100.000 Besucher. In nahezu 13.000 Fällen seien diese per E-Mail informiert worden, dass Identitätsdaten von ihnen frei im Internet kursieren. Seit dem Start des Dienstes im Mai 2014 hätten bislang insgesamt rund 1,7 Millionen Besucher den Dienst in Anspruch genommen. 160.000 Warnmeldungen wegen veröffentlichter Identitätsdaten seien seither versandt worden.