XING schützt Deinen Nutzer-Account vor Identitätsdiebstahl

Answer

Im Laufe der Jahre 2018 und 2019 tauchten an dunklen Orten des Internets hunderte Millionen Zugangsdaten auf. Diese Zusammenstellungen umfassen den Nutzernamen (E-Mail) samt Passwort im Klartext, die bei diversen Online-Diensten im vergangenen Jahrzehnt gestohlen und später entziffert wurden.

Bei uns hat es einen solchen Datendiebstahl nicht gegeben. XING schützt Nutzer-Accounts nach dem Stand der Technik und forscht an immer besseren präventiven Methoden. Wegen der Wiederverwendung von Zugangsdaten besteht allerdings ein Risiko für unsere Mitglieder, auch wenn der eigentliche Datendiebstahl bei anderen Online-Services bereits vor vielen Jahren stattfand.

Kriminelle probieren solche Listen automatisiert durch, und zwar bei einer Vielzahl von Online-Diensten (sog. "Credential Stuffing"). Das Risiko für den Einzelnen, dass einer seiner Accounts dabei übernommen wird, steigt mit der wiederholten Verwendung des immergleichen eigenen Passwortes. Auch das private Netzwerk des Betroffenen kann bei einem Identitätsdiebstahl Schaden nehmen, wenn seine Vertrauensstellung in der Folge für Betrugsversuche ausgenutzt wird.

Wir bei XING können solche Manipulationen recht zuverlässig feststellen. Dabei sperren wir den Account und setzen ihn zusammen mit dem Betroffenen wieder zurück.

Gerne erklären wir Dir, wie wir als Betreiber unsere Kunden präventiv schützen wollen, außer abermals darauf hinzuweisen, kein Passwort mehrfach zu verwenden.

Wir können lange Passwörter und einen Passwort-Manager empfehlen.
Mit einem Leakchecker wie https://leakchecker.uni-bonn.de/ kannst Du für die eigene E-Mail-Adressen prüfen, ob diese in einer Liste bekannter, gestohlener Zugangsdaten vorkommt.
Die Verwendung eines zweiten Faktors erhöht die Account-Sicherheit drastisch: https://faq.xing.com/de/einstellungen-sicherheit/zweistufiger-login-zwei-faktor-authentifizierung
XING ist Industriepartner des vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekts zur „Effektiven Information von Betroffenen nach digitalem Identitätsdiebstahl“ (EIDI) https://itsec.cs.uni-bonn.de/eidi/ gewesen. Im Rahmen des Projektes haben von 2016 bis 2020 Informatiker der Universität Bonn, Datenschützer des Unabhängigen Landeszentrums für Datenschutz Kiel, Juristen des FIZ Karlsruhe, Psychologen der Universität Duisburg-Essen und Sicherheitsexperten von XING zusammen an den folgenden Schwerpunkten geforscht:

Wie kann man Listen gestohlener Zugangsdaten rechtskonform sammeln?
Wie prüft man sie datenschutzrechtlich unbedenklich bei EIDI-Partnern, also zum Beispiel bei XING?
Wie können EIDI-Partner ihre Kunden warnen?
Die Bonner Kollegen haben bei diesem Forschungsvorhaben bereits viele Milliarden gestohlene Zugangsdaten im Internet gefunden. Aber die Projektpartner dürfen diese Daten - auch mit ehrenwerten Absichten - nicht unbekümmert untereinander austauschen.

Wir können Passwörter auch technisch nicht einfach so mit unseren Kunden abgleichen: XING kennt die Passwörter seiner Mitglieder nicht. Passwörter werden in eine Art Prüfzahl verwandelt, sogenannte Hashes. Moderne mathematische Hashing-Verfahren sind nur mit unvorstellbar hohem Aufwand zu brechen, weil sie nicht umkehrbar sind. Die anstelle der Passwörter gespeicherten Hashes sind für einen etwaigen Datendieb unbrauchbar, weil er das Passwort daraus nicht zurückrechnen kann.

Bei dem im EIDI-Projekt entwickelten Verfahren werden die gefundenen Zugangsdaten vor der Übermittlung mit einem Partner-Wert verrechnet, sodass nur derjenige Projektpartner (also ein Anbieter wie XING) damit etwas anfangen kann, unter dessen Kunden sich dieser Account befindet. Dann wird aufseiten des Anbieters eine Art technisches Login versucht: Nur der Anbieter kann daher feststellen, ob Zugangsdaten aus einem Datendiebstahl bei einem Kunden passen.

Kein Geheimnis wird mit Dritten geteilt, kein Passwort kann XING verlassen. XING speichert lediglich intern die Information, dass der Kunde betroffen ist, nicht aber, mit welchen Identitätsdaten. Das EIDI-Projekt als Datenlieferant erhält nur eine Statistik-Antwort, ob der gerade gelieferte große Datensatz verwertbar war, also ein „Danke, wir kümmern uns darum".

Mit den Forschungsergebnissen des EIDI-Projektes haben wir begonnen, unsere Mitglieder vorsorglich zu warnen - bevor es zu einer Übernahme des Accounts kommen kann. Seit der Beendung des EIDI-Projekts arbeiten wir nun mit der aus dem Projekt ausgegründeten Identeco GmbH & Co. KG https://www.identeco.de/ zusammen.
 

FAQ ID: 67972