Verwaiste Accounts

Eine reale Gefahr für jeden Internetnutzer!

Robert Reininger
19.06.2019 | Awareness

Wer kennt es nicht, man will nur kurz eine Frage in einem Forum stellen, sich ein gratis E-Book herunterladen, oder einfach nur schnell ein Hotelzimmer buchen und schon hat man einen Account samt Nutzerdaten bei unzähligen Websiten bzw. Anbietern.

Das Problem

Vor allem wenn es schnell gehen soll, legt man oft keinen Wert auf ein sicheres Passwort oder verwendet überhaupt seine Lieblingskombination von Passwort und E-Mail, welche man auch bei anderen Diensten bereits benutzt (Stichwort "Passwort-Reuse" und "Passwort-Recycling"). Hinzu kommt, dass sobald die Frage im Forum beantwortet wurde, das E-Book gelesen ist, oder aus dem Hotel ausgecheckt wurde, kein weiterer Gedanke an das darüf angelegte Benutzerprofil verweschwendet wird. So entstehen über Jahre massenhaft verwaiste und potentiell unsichere Accounts, die eine Gefahr für deine digitale Privatsphäre und Datensicherheit darstellen.
Besonders heikel wird es, wenn man sich bei einer gratis App registriert und diese später vergisst oder einfach nur deinstalliert. Hat man dieser App während der Installation noch Zugriff auf andere Dienste wie z.B. Kalender, Adressbuch oder vielleicht sogar dem Bankkonto erlaubt, bleiben diese Zugriffsrechte möglicherweise unbemerkt für Jahre bestehen. Man gibt also unbeachtet laufend neue Daten preis.

Weitreichende Folgen

Aber was sind nun eigentlich die großen Gefahren hinter solchen verwaisten Accounts?

Passwort Leaks

Laufend kommt es zu Angriffen auf Anbieter von Onlinediensten und in manchen Fällen werden auch Passwörter gestohlen. War man bei der Passwortvergabe unvorsichtig und hat hier nur ein schwaches Passwort, oder überhaupt ein bereits an anderer Stelle verwendetes Passwort gewählt, kann ein Angreifer dieses Passwort nun für die Anmeldung bei anderen Diensten missbrauchen. Je nachdem wo man das Passwort überall verwendet hat, kann dies schwerwiegende Folgen haben - Von einem peinlichen Facebook-Post den man gar nicht selbst verfasst hat, bis hin zu einem leeren Bankkonto.

Data Breaches

Nicht nur Passwörter werden bei solchen Angriffen entwendet, sondern auch persönliche Daten. Je nach betroffenem Dienst können dies zum Beispiel die hinterlegten Profildaten (man denkt hier z.B. an Dating-Portale) oder auch noch sensiblere Daten sein (z.B. Gesundheitsdaten aus Fitness-Apps).

Verwendung der Daten durch Kriminelle

Diese Daten, seien sie nun bei einem Angriff gestohlen oder durch den Benutzer des jeweiligen Onlinedienstes selbst öffentlich zugänglich gemacht worden, können von Kriminellen unterschiedlich verwendet werden:
  • 'Impersonifizierung' und Begehung einer Straftat unter Verwendung der gestohlenen Daten
  • Erpressung mit der Drohung zur Veröffentlichung der sensiblen Daten
  • Stalking
  • u.v.a

Was man dagegen unternehmen kann

Alte Accounts aufstöbern und deaktivieren bzw. löschen

Mit ein wenig Zeitaufwand und ohne teure Tools kann man ganz leicht selbst nach eigenen verwaisten Accounts suchen.
  • HaveIBeenPwned
    Hier kann man seine Mail-Adressen auf bereits erfolgte Leaks überprüfen. Die Ergebnisliste zeigt Platformen, bei welchen eigene Anmeldedaten bereits gestohlen wurden. Taucht in dieser Liste ein bereits vergessener Account auf, ist es höchste Zeit diesen zu deaktivieren und sicherzustellen, dass das dort verwendete Passwort nirgends anders in Verwendung ist.
  • Google Suche
    Eine weitere einfache Methode um alte Accounts ausfindig zu machen, ist eine Google-Suche nach alten Usernames oder E-Mail Adressen.
  • Passwort Safes durchstöbern
    Verwendet man einen Passwortsafe oder die "Passwort speichern" Funktion eines Webbrowsers, kann man diese nach nicht mehr benötigten Accounts durchsuchen.
  • E-Mail Postfächer sichten
    Eine weitere Möglichkeit ist die Sichtung der eigenen Posteingänge. So kann man z.B. nach den klassischen E-Mails filtern, die bei der Erstellung von Onlineaccounts anfallen. Folgende Stichworte und Abwandlungen davon können z.B. verwendet werden:
    • Registrierung, Registrierung bestätigen, etc.
    • Passwortänderung, Passwort vergessen, Passwort reset etc.
    • Erhaltene Newsletter von diversen Platformen
  • Single-Sign-On über Facebook oder Google
    Verwendet man SSO-Services von z.B. Facebook oder Google zum Login auf diversen Platformen, kann man die Logeinträge dieser Services nach früheren Anmeldungen auf mittlerweile nicht mehr benötigten Services durchforsten.
  • Personensuchmaschinen
    Auch einige Personensuchmaschinen können noch vergessene Accounts hervorbringen. Einfach nach dem eigenen Namen bzw. Kontaktdaten suchen und die Ergebnisse der assoziierten Accounts prüfen.
  • App-Stores (Android/iOS)
    Bei App-Stores auf den Mobilgeräten gibt es je eine Liste für momentan installierte und bereits deinstallierte Apps. Bei der Durchsicht der deinstallierten Anwendungen, sollte man zusätzlich prüfen, ob für die Nutzung der App eine spezielle Registrierung bzw. Kontoeröffnung notwendig gewesen ist und ob man nach der Deinstallation auch das zugehörige Konto auf der Website des Herstellers gelöscht hat. Ggf. sollte man dies nun nachholen.

Zukünftig Wegwerf-Mails und Fantasiedaten verwenden

Wo möglich, kann man auch auf Fantasiedaten und auf sich selbst löschende E-Mail Accounts zurückgreifen. Vergisst man nun ein Account, so sind die Daten bei einem Diebstahl für den Angreifer wertlos. Nützliche Dienste sind z.B.:

Regelmäßiges Review der eigenen Onlineaktivitäten bzw. -Accounts

Hat man einmal einen Durchlauf zum Beseitigen von alten Accounts erledigt, sollte man sich in regelmäßigen Abständen ein paar Minuten für diese Aufgabe einplanen. So bleibt der Aufwand gering und die Gefahren von verwaisten Accounts werden klein gehalten.

Vergebene Berechtigungen genau prüfen

Neben der bloßen Eliminierung von Online-Profilen oder Accounts sollte man sich auch mit ev. vergebenen Berechtigungen auseinandersetzen (dies gilt insb. für aktuelle und noch benötigte Dienste). Werden alle vergebenen Berechtigungen und Zugriffe wirklich *noch immer* benötigt? Verwende ich z.B. für die Dokumentation meiner Läufe noch immer die Runtastic App und braucht diese wirklich noch Zugriff auf das Konto meiner Fitness-Uhr?

Immer ein sicheres Passwort verwenden

Da dies ein eigenes umfängliches Thema ist, haben wir hierfür den weiterführenden Artikel Passwortempfehlungen

Labels

datenschutz awareness informationssicherheit mobile account-management passwort kennwort leak
logo

SEC-Research

Social Links