Der Leak einer Datenbank mit rund 70.000 Logins für die Gebrauchtwagenplattform cybasar.at ist ein veritables PR-Debakel und für bestehende und ehemalige Nutzer ein potenzielles Sicherheitsproblem. Die unzureichende Absicherung der E-Mails und Passwörter ermöglichte ihre Auslese im Klartext. Insbesondere Nutzer, die ihr bei dem Portal genutztes Kennwort (oder ein ähnliches Kennwort) auch bei anderen Diensten verwenden, sollten dieses möglichst schnell ändern.

Doch selbst wenn es diesen Leak nicht gegeben hätte, hielte ein guter Teil der Kennwörter – auch von jenen, die erst seit wenigen Jahren in der Datenbank stehen dürften – aktuellen Anforderungen nicht stand. DER STANDARD hat den Leak einer Analyse unterzogen.

"Spotzi", "bier1", "polizei1"

Zuerst ein kurzer Blick auf die Betroffenen, also die Nutzer des Online-Auto-Bazars. Von 73.085 eingegebenen E-Mail-Adressen weisen 43.465 die österreichische Domainendung .at auf. Hinzu kommen zahlreiche Adressen von auch in Österreich beliebten Webmail-Providern (etwa GMX mit 15.503 Einträgen), die auch länderunspezifische Endungen wie .com oder .net nutzen. Zwar tauchen auch manche E-Mails mit deutscher und schweizerischer Domain auf, es ist aber davon auszugehen, dass die Seite fast nur österreichische Nutzer hat.

365-mal wurde eine E-Mail-Adresse mit der Domainendung gv.at zur Registrierung genutzt – also eine dienstliche Adresse einer öffentlichen Institution. Hier betrifft dies etwa verschiedene Ministerien und in 37 Fällen auch die Polizei. Die Exekutive lieferte mit "bier1", "polizei1" und "spotzi" auch gleich mehrere interessante, allerdings nicht sonderlich sichere Passworteinträge.

Auf die gesamte Nutzerschaft bezogen zeigt sich auch eine gewisse Affinität für Namen beziehungsweise Kosenamen (neben dem eigenen mutmaßlich wohl jene des Partners oder von Familienmitgliedern) und Automarken. Vereinzelt sind auch historisch einschlägig konnotierte Kennwörter und Mail-Adressen zu finden – etwa "himmler", "rommel" und "adolfhitler".

"123456" und "qwertz" häufig genutzt

In den von verschiedenen Stellen regelmäßig publizierten Listen der meistgewählten schlechten Passwörter taucht immer wieder die Ziffernfolge "123456" auf. 353-mal findet man sie auch im Passwort-Leak wieder. "12345" gibt es 181-mal, weil das Gebrauchtwagenportal auch Passwörter mit lediglich fünf Stellen zuließ. "1234567" wurde 40-mal verwendet, "12345678" kommt auf 50 Treffer.

Beliebt ist im englischsprachigen Raum auch das Passwort "qwerty", weil diese Tasten direkt unterhalb der Ziffernreihe nebeneinander liegen. Ihr deutschsprachiges Pendant ist aufgrund des unterschiedlichen Standard-Keyboardlayouts "qwertz". Die Datenbank liefert hierfür 23 direkte Treffer. Das kürzere "qwert" wurde neunmal gewählt. Insgesamt 134 Passwörter gibt es, die eine der beiden Varianten enthalten.

Auch "passwort" erwies sich als relativ beliebt und wurde gleich 73-mal gewählt. Weitere 24 Mal war der Begriff ein Kennwortbestandteil – auch bei einem Mitarbeiter des Arbeitsinspektorats. Doch auch die abgewandelten Versionen – etwa "passwort1" oder "spasswort" sind kaum sicherer.

2.600 User "verstecken" Passwort in Mail-Adresse

Besonders in Gefahr bringen sich zudem User, deren Kennwort auch Bestandteil der E-Mail-Adresse ist. Dies trifft auf 2.637 der Logins zu. Diese Ableitung macht jeglichen Datenbank-Leak überflüssig und stellt für Cyberkriminelle die wohl einfachste Übung bei einem Angriff dar. Brisant: 17 dieser Fälle betreffen wiederum Cybasar-Nutzer aus einer öffentlichen Institution.

Ein Sicherheitsproblem ergibt sich auch daraus, dass Cybasar überhaupt Passwörter mit fünf Stellen zuließ, auch wenn die Wahl eines längeren Logincodes möglich war. 9.058-mal wurde ein Kennwort mit der Mindestlänge gewählt. 18.350 Passwörter kommen auf sechs Zeichen, 11.339 auf sieben und 15.741 auf acht. Lediglich 3.393 umfassen zwölf oder mehr Zeichen.

Komplexe oder lange Kennwörter verwenden

Selbst wenn man ein achtstelliges Passwort komplex gestaltet, also mit Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen versieht, lässt sich dieses von einem durchschnittlichen Botnetz binnen einer Minute knacken, errechnet der Password Checker auf der Seite "Online Domain Tools". Noch deutlich schneller geht es freilich, wenn es sich um einen Namen oder ein existierendes Wort handelt, da bei Angriffen häufig vorgefertigte Listen genutzt werden.

Daher sollte man laut Empfehlung des Hasso-Plattner-Institutes zumindest ein komplexes Passwort mit wenigstens zehn Stellen zu nutzen (Beispiel: "sHED_34!c+"). Alternativ bietet sich aber auch an, vier oder mehr zufällige Begriffe aneinanderzureihen (Beispiel: "mega catfish delicious skyscraper"), was potenziell leichter zu merken ist als eine zufällige Zeichenwurst. Dann sorgt die schiere Länge für den Schutz, den man durch das Einfügen von Zahlen und Sonderzeichen weiterverbessern kann. Zudem raten einige Experten auch zur Verwendung von Passwortmanagern.

Wer nicht sicher ist, ob sein Login in dem Leak enthalten ist, kann seine E-Mail-Adresse auf der Plattform "Have I Been Pwned" eingeben – dort sind die Leak-Daten mittlerweile eingespeist worden. Cybasar hat nach eigenen Angaben die betroffenen Nutzer mittlerweile aber über den Leak in Kenntnis gesetzt.

Hinweis zur Auswertung

Insgesamt 73.085 Kombinationen aus E-Mail-Adresse und Passwort sind in der Datenbank enthalten. Das entspricht allerdings nicht ganz der Gesamtzahl der Nutzer, da manche Adressen mehrfach aufscheinen und manche offenkundig bei der Registrierung zuerst falsch eingegeben, aus der Tabelle aber nie bereinigt wurden. Eine solche Bereinigung wurde auch vor der Auswertung nicht durchgeführt, kleine Abweichungen zu den genannten Zahlen sind also trotz sorgfältiger Auswertung möglich. Suchbegriffe wurden nicht "case-sensitive" gesucht. Eine Suche nach "passwort" führte also auch bei "Passwort" und "PASSWORT" zu einem Treffer. (Georg Pichler, 30.1.2018)