XING schützt Ihre Nutzer-Accounts vor Identitätsdiebstahl

Im Laufe der Jahre 2018 und 2019 tauchten an dunklen Orten des Internets hunderte Millionen Zugangsdaten auf. Diese Zusammenstellungen umfassen den Nutzernamen (E-Mail) samt Passwort im Klartext, die bei diversen Online-Diensten im vergangenen Jahrzehnt gestohlen und später entziffert wurden.

Bei uns hat es einen solchen Datendiebstahl nicht gegeben. XING schützt Nutzer-Accounts nach dem Stand der Technik und forscht an immer besseren präventiven Methoden. Wegen der Wiederverwendung von Zugangsdaten besteht allerdings ein Risiko für unsere Mitglieder, auch wenn der eigentliche Datendiebstahl bei anderen Online-Services bereits vor vielen Jahren stattfand.

Kriminelle probieren solche Listen automatisiert durch, und zwar bei einer Vielzahl von Online-Diensten (sog. "Credential Stuffing"). Das Risiko für den Einzelnen, dass einer seiner Accounts dabei übernommen wird, steigt mit der wiederholten Verwendung des immergleichen eigenen Passwortes. Auch das private Netzwerk des Betroffenen kann bei einem Identitätsdiebstahl Schaden nehmen, wenn seine Vertrauensstellung in der Folge für Betrugsversuche ausgenutzt wird.

Wir bei XING können solche Manipulationen recht zuverlässig feststellen. Dabei sperren wir den Account und setzen ihn zusammen mit dem Betroffenen wieder zurück.

Mein Artikel konzentriert sich auf die Frage, wie wir als Betreiber unsere Kunden präventiv schützen können, außer abermals darauf hinzuweisen, kein Passwort mehrfach zu verwenden.

• Wir können lange Passwörter und einen Passwort-Manager empfehlen.

• Mit einem Leakchecker wie https://leakchecker.uni-bonn.de/ können Sie für die eigene E-Mail-Adressen prüfen, ob diese in einer Liste bekannter, gestohlener Zugangsdaten vorkommt.

• Die Verwendung eines zweiten Faktors erhöht die Account-Sicherheit drastisch: https://faq.xing.com/de/einstellungen-sicherheit/zweistufiger-login-zwei-faktor-authentifizierung

XING ist seit 2016 Industriepartner des vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekts zur „Effektiven Information von Betroffenen nach digitalem Identitätsdiebstahl“ (EIDI) https://itsec.cs.uni-bonn.de/eidi/ . Hier arbeiten Informatiker der Universität Bonn, Datenschützer des Unabhängigen Landeszentrums für Datenschutz Kiel, Juristen des FIZ Karlsruhe, Psychologen der Universität Duisburg-Essen und Sicherheitsexperten von XING zusammen an den folgenden Schwerpunkten:

• Wie sammelt das EIDI-Projekt Listen gestohlener Zugangsdaten rechtskonform?

• Wie prüft man sie datenschutzrechtlich unbedenklich bei EIDI-Partnern, also zum Beispiel bei XING?

• Wie können EIDI-Partner ihre Kunden warnen?

Die Bonner Kollegen haben bei diesem Forschungsvorhaben bereits viele Milliarden gestohlene Zugangsdaten im Internet gefunden. Aber die Projektpartner dürfen diese Daten - auch mit ehrenwerten Absichten - nicht unbekümmert untereinander austauschen.

Wir können Passwörter auch technisch nicht einfach so mit unseren Kunden abgleichen: XING kennt die Passwörter seiner Mitglieder nicht. Passwörter werden in eine Art Prüfzahl verwandelt, sogenannte Hashes. Moderne mathematische Hashing-Verfahren sind nur mit unvorstellbar hohem Aufwand zu brechen, weil sie nicht umkehrbar sind. Die anstelle der Passwörter gespeicherten Hashes sind für einen etwaigen Datendieb unbrauchbar, weil er das Passwort daraus nicht zurückrechnen kann.

Im EIDI-Projekt werden die gefundenen Zugangsdaten vor der Übermittlung mit einem Partner-Wert verrechnet, sodass nur derjenige Projektpartner (also ein Anbieter wie XING) damit etwas anfangen kann, unter dessen Kunden sich dieser Account befindet. Dann wird aufseiten des Anbieters eine Art technisches Login versucht: Nur der Anbieter kann daher feststellen, ob Zugangsdaten aus einem Datendiebstahl bei einem Kunden passen.

Kein Geheimnis wird mit Dritten geteilt, kein Passwort kann XING verlassen. XING speichert lediglich intern die Information, dass der Kunde betroffen ist, nicht aber, mit welchen Identitätsdaten. Das EIDI-Projekt erhält nur eine Statistik-Antwort, ob der gerade gelieferte große Datensatz verwertbar war, also ein „Danke, wir kümmern uns darum".

Mit den Forschungsergebnissen des EIDI-Projektes werden wir in Kürze beginnen, unsere Mitglieder vorsorglich zu warnen - bevor es zu einer Übernahme des Accounts kommen kann.

XING protects your user account against identity theft

In 2018 and 2019, hundreds of millions of user account details were listed in dubious parts of the internet. Details included unencrypted usernames (e-mail addresses) and passwords for a wide range of online services which had been stolen and decrypted during the previous decade.

XING has never experienced such a data breach. We protect user accounts with state-of-the-art technology and constantly monitor for new developments to improve data protection. Nevertheless, you should always take care not to use the same usernames and passwords for multiple platforms as this increases the risk of being hacked, even if a data breach involving other online services occurred several years ago.

Criminals use a method known as credential stuffing where they use automation tools to try lists of user account details with a number of online services. Consequently, using the same username and password for multiple accounts makes you more likely to be hacked. This can also have a knock-on effect: if your online identity gets stolen, others will be less likely to trust you in the future.

Here at XING we have a number of measures in place to reliably identify such manipulations. When we detect any such breaches, we block the affected account and work with the real owner to restore their access.

My article focuses on how we as a platform operator can safeguard our customers other than telling them time and again not to use the same password more than once.

• We recommend long passwords and the use of a password manager.

• You can enter your e-mail address in a leak checker such as https://haveibeenpwned.com/ to see whether it appeared in a list of known stolen account details.

• Using two-factor authentication boosts account security significantly: https://faq.xing.com/en/settings-security/two-factor-login-two-factor-authentication

In 2016, XING became an industry partner for the research project on ‘effective information after an identity theft’ (EIDI) sponsored by the Federal Ministry of Education and Research. The project includes IT experts from the University of Bonn, privacy experts from the Independent Centre for Privacy Protection), lawyers from FIZ Karlsruhe, psychologists from the University of Duisburg-Essen, and security experts from XING who work together on the following subjects:

• How can the EIDI project collect lists of stolen account details in a legally compliant way?

• How can EIDI partners, such as XING, review these lists in line with privacy law?

• How can EIDI partner warn their customers?

This project has already identified billions of user accounts that have been stolen online. But project partners can’t just send each other such data online without taking sufficient precautions.

It’s not easy for us to check passwords for our members because XING doesn’t know their password. Passwords are converted into what’s known as a hash since modern hashing methods are far more difficult to crack because they’re irreversible. This effectively makes hashes unusable to data thieves as they can’t convert them back to plain-text passwords.

Account details identified within the scope of the EIDI project are assigned a partner value before transmission to ensure that only the intended project partner (e.g. a provider such as XING) can do anything with the information. The provider will then attempt a form of technical login as only the provider can determine whether stolen account details match a customer’s details.

That way, no confidential information is shared with third parties, and XING never discloses any passwords. XING only saves information to the effect that a customer has been affected, not which details. The EIDI project only receives a reply confirming whether the transmitted data set can be used or not.

As a precaution we’ve already started warning members based on the results of the EIDI project to prevent their accounts from being hacked.