Was ist das NCSC/MELANI-Checktool?
Im NCSC/MELANI-Checktool können Sie abfragen, ob im Zusammenhang mit Ihrer E-Mail-Adresse eine besondere Gefährdung bezüglich Passwörtern vorliegt. Gelegentlich werden Webshops und andere Internetdienste gehackt und die zugehörigen Kundendaten extrahiert. Wenn Passwörter nicht gut gesichert sind, können Kriminelle so in den Besitz von Zugangsdaten gelangen (E-Mail-Adresse und zugehöriges Passwort für den gehackten Dienst). Mit diesen Daten versuchen die Kriminellen dann, sich bei einer Vielzahl von anderen Internetdiensten anzumelden. Wenn Sie ein Passwort mehrfach verwenden, ermöglichen Sie es den Kriminellen, sich mit etwas Glück oder Ausdauer unter Ihrer Identität einzuloggen und den anderen Dienst zu missbrauchen. Dienste, die solche Login-Versuche feststellen, können sich bei NCSC/MELANI melden und wir nehmen diese Daten ins Checktool auf. Meistens können wir nicht feststellen, aus was für einem Datenabfluss entsprechende Daten stammen oder was für Passwörter betroffen sind. Das Checktool ist nicht allumfassend: Auch wenn Ihre E-Mail-Adresse nicht im Checktool verzeichnet ist, könnte es sein, dass eine E-Mail-Passwort-Kombination ihren Weg zu Kriminellen gefunden hat.
Wir empfehlen auf jeden Fall folgende grundsätzliche Massnahmen:
- Ändern Sie regelmässig alle Ihre Passwörter.
- Verwenden Sie Passwörter nicht mehrfach, sondern unterschiedliche für jeden Zugang.
- Aktivieren Sie Zwei-Faktor-Authentisierung, wenn dies angeboten wird.
Weitere Verhaltensregeln bezüglich Passwörtern finden Sie hier.
Wieso kennt jemand mein Passwort?
Gelegentlich werden Webshops und andere Internetdienste gehackt und die zugehörigen Kundendaten extrahiert. Wenn Passwörter nicht gut gesichert sind, können Kriminelle so in den Besitz von Zugangsdaten gelangen. Passwörter können auch durch infizierte Computer oder via Phishing an Kriminelle gelangen.
Wieso kennt NCSC/MELANI mein Passwort?
Wir kennen Ihr Passwort nicht. Uns wurde von einem Internetdienst gemeldet, dass jemand versucht hat, sich dort mit Ihrer E-Mail-Adresse anzumelden. Das eingegebene Passwort wurde uns nicht mitgeteilt.
Woher wissen Sie, dass mein Passwort benutzt wurde?
Uns wurde von einem Internetdienst gemeldet, dass jemand versucht hat, sich dort mit Ihrer E-Mail-Adresse anzumelden. Ihre E-Mail-Adresse ist eine von vielen, mit welchen Logins versucht wurden. Wir können nicht mit Sicherheit sagen, dass tatsächlich eines Ihrer aktuellen Passwörter probiert wurde.
Wieso können Sie mir nicht sagen, welches Passwort von welchem Dienst betroffen ist?
Wir wissen nur, dass jemand mit Ihren Zugangsdaten versucht hat, sich bei einem Internetdienst einzuloggen. Wenn bei einem Anbieter die Kundendatenbank extrahiert wurde, sollte der Anbieter selbst seine Nutzerinnen und Nutzer darüber informieren und alle Passwörter zurücksetzen.
Warum informiert NCSC/MELANI nicht, wer der betroffene Internetdienst ist?
Oft haben wir diese Information gar nicht. Wir erhalten von einem Partner oder einem Internetdienst eine Liste mit E-Mail-Adressen, die aufgefallen sind und diese nehmen wir dann ins Checktool auf. Die Daten stammen oft aus unterschiedlichen Datenlecks, weshalb man meistens nicht mit Sicherheit sagen kann, bei welchem Dienst diese ursprünglich entwendet worden sind.
Wenn wir den betroffenen Internetdienst kennen, nennen wir dessen Namen nur mit ausdrücklicher Einwilligung des entsprechenden Unternehmens. Viele Unternehmen wollen aus verschiedenen Gründen nicht, dass ihr Name mit einem Cyber-Vorfall in Verbindung gebracht wird. Jedoch empfehlen wir betroffenen Diensten jeweils, selbst ihre Nutzerinnen und Nutzer zu informieren.
Warum soll ich überall verschiedene Passwörter verwenden?
Gelegentlich werden Webshops und andere Internetdienste gehackt und die zugehörigen Kundendaten extrahiert. Wenn Passwörter nicht gut gesichert sind, können Kriminelle so in den Besitz von Zugangsdaten gelangen (E-Mail-Adresse und zugehöriges Passwort für den gehackten Dienst). Mit diesen Daten versuchen die Kriminellen dann, sich bei einer Vielzahl von anderen Internetdiensten anzumelden. Wer ein Passwort mehrfach verwendet, ermöglicht es den Kriminellen, sich mit etwas Glück oder Ausdauer unter dessen/deren Identität einzuloggen und den anderen Dienst zu missbrauchen.
Wer hat Zugriff auf die E-Mail-Adressen und Benutzernamen im Checktool?
Ausser NCSC/MELANI hat niemand Zugriff auf den Server. Zudem werden nicht die E-Mail-Adressen und Benutzernamen selber gespeichert, sondern nur deren Hash-Wert (SHA-256). Wenn Sie eine E-Mail-Adresse oder Benutzernamen auf der Seite eingeben, wird diese unmittelbar auf Ihrem System in einen Hash umgewandelt. Die Adresse oder der Benutzername wird weder übermittelt noch gespeichert.
Warum können keine Platzhalter/Wildcards verwendet werden? Wieso kann ich nicht nach allen E-Mail-Adressen in einer bestimmten Domäne suchen?
Diese Seite richtet sich in erster Linie an Privatbenutzer und nicht an Firmen. Wir speichern zudem keine E-Mail-Adressen oder Benutzernamen auf dem Server, sondern lediglich die dazugehörigen Hashes. Aus diesem Grunde ist eine Suche mit einem Platzhalter technisch nicht möglich. Aus Gründen des Datenschutzes ist eine solche Suche ebenfalls nicht erlaubt, da sonst nach beliebigen E-Mail-Adressen gesucht werden könnte. Sollte ein Provider oder eine Firma interessiert sein, E-Mail-Adressen in ihrer Domäne abzuklären, kann MELANI dies offline durchführen. Allerdings benötigen wir dann einen Beweis, dass Sie wirklich verantwortlich für diese Domäne sind.
Wieso betreiben Sie eine spezielle Website mit dem Check-Tool? Wieso gibt NCSC/MELANI die Daten nicht an eine Seite wie haveibeenpwned.com, die gestohlene Passwörter zentral verwaltet, weiter.
Als Bundesstelle haben wir nicht das Mandat, Daten an Dritte weiterzugeben.
Was können wir machen, damit unser Passwort nicht gestohlen wird?
Benutzen Sie immer gute (möglichst lange) Passwörter, benutzen Sie für jedes Konto ein separates Passwort. Benutzen Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung.
Wieso benutzen sie Cloudflare?
Wir erachten das Risiko von DDoS-Angriffen als sehr hoch. Cloudflare ist ein erfahrener Provider, um DDoS-Angriffe abzuwehren. Wir entschieden uns einen solchen Provider zu nutzen, um sowohl unsere Seite zu schützen, als auch um den ISP zu schützen, in dessen Netz sich unser Server befindet.
Bedeutet das, dass der Server sich in einer US-Cloud befindet?
Nein, der Server befindet sich in der Schweiz. Wir benutzen Cloudflare alleine um uns gegen DDoS-Angriffe zu schützen. Die IP-Adresse, welche Sie sehen, wenn Sie ein Lookup machen ist ein Frontend Server im Cloudflare Netzwerk. Dieser Server speichert keine Daten, sondern gibt die Anfragen lediglich an unser Backend-System weiter.
