Darmstadt (dpa/tmn) - Sie schlummern in den Untiefen des Internet - die alten, seit Jahren nicht genutzten Accounts. Sind diese Karteileichen ein Sicherheitsproblem? Wenn ja, wie findet man sie?
Als Yahoo Ende 2016 einen Hackerangriff auf seine Server meldete, war daran vor allem eins bemerkenswert: die Anzahl der betroffenen Konten. Insgesamt sollen die unbekannten Hacker Daten aus einer Milliarde Accounts erbeutet haben, so das Unternehmen. Dass Yahoo so viele Nutzer hat, scheint zunächst unrealistisch - doch die Mischung aus Suchmaschine und Webportal war einmal einer der Giganten des Internets. Wie viele Accounts allerdings sind seit Jahren ungenutzte Karteileichen?
Und wie viele solcher ungenutzten Konten gibt es noch? Schließlich ist Yahoo längst nicht der einzige Anbieter, an dem im Netz mal kaum ein Weg vorbei führte, der heute aber nur noch ein Schattendasein führt. Sei es ICQ zum Chatten, StudiVZ und Co als Facebook-Vorgänger oder unzählige Webmailer und Portalanbieter im Stil von AOL - Beispiele gibt es genug. Wer schon seit ein paar Jahren surft, hat also womöglich zahlreiche Konten angesammelt, die heute brach liegen.
Ist das ein Problem? "Das hängt vor allem davon ab, was bei den Diensten gespeichert ist und ob Sie das Passwort von diesen Konten noch anderswo nutzen", sagt Prof. Melanie Volkamer, die an der TU Darmstadt die Forschungsgruppe SECUSO (Security, Usability, Society) leitet.
Kritisch sind natürlich Zahlungsdaten aller Art - vor allem, wenn die hinterlegten Konten und Kreditkarten auch heute noch im Einsatz sind. Auch noch aktuelle Adressen oder Telefonnummern können für Kriminelle wertvoll sein. Und ein mehrfach genutztes Passwort dient Hackern als Generalschlüssel für andere Accounts und die Daten darin.
Hier dürfen sich Nutzer auch nicht darauf verlassen, dass jeder Dienst ihre Daten gleichermaßen gut schützt. So sollten die Anbieter Passwörter zum Beispiel stets besonders gut sichern - Experten sprechen von "hashen". "Das war auch vor Jahren schon bekannt", sagt Volkamer. Das vorgerückte Alter eines Dienstes muss also noch kein Indiz für Sicherheitsmängel sein. Es gebe aber immer wieder Firmen, die sich nicht daran halten, so die Expertin - damals wie heute.
Doch wer erinnert sich heute noch an das Passwort eines 15 Jahre alten Accounts? So lange man den alten Nutzernamen noch kennt und Zugriff auf die damit verknüpfte E-Mail-Adresse hat, ist das kein großes Problem - zumindest theoretisch. Denn dann lässt sich meist die "Passwort vergessen"-Funktion oder die Sicherheitsfrage nutzen.
Nur weil man Zugriff auf einen Account hat, lässt er sich aber nicht unbedingt direkt löschen. Einen entsprechenden Link in den Einstellungen gibt es längst nicht immer - auch nicht bei aktuellen Diensten. Google bietet etwa eine entsprechende Option, Facebook auch, bei Skype gibt es immerhin eine entsprechende Webseite. Doch bei Amazon etwa müssen Kunden den Support bemühen.
Bei älteren oder nicht mehr aktuellen Anbietern ist der Weg zur Kontolöschung oft noch umständlicher. Eine Übersicht dazu, was sich wo wie löschen lässt, gibt es auf Seiten wie Accountkiller oder Justdeleteme - oft gleich mit den passenden Links zur Löschfunktion.
Wenn der Nutzer ein Konto schließt oder löscht, sind die Daten darin aber nicht immer weg. 2013 fand der Verbraucherzentrale Bundesverband (vzbv) bei einer Stichprobe heraus, dass viele Dienste Kundendaten nicht konsequent löschen - leicht erkennbar daran, dass diese auch Jahre später bei einer neuen Anmeldung noch vorhanden sind.
Carola Elbrecht vom Verbraucherzentrale Bundesverband glaubt nicht, dass sich das grundlegend geändert hat: "Sie haben als Verbraucher einen Anspruch darauf, dass Ihre Accounts und die darin gespeicherten Daten gelöscht werden", erklärt sie. "Der Verbraucher kann aber oft nicht überprüfen oder nachvollziehen, dass das auch passiert."
Trotzdem kann es sich lohnen, den Rechtsanspruch auf Auskunft über gespeicherte Daten und deren Löschung geltend zu machen - am besten schriftlich und per Post oder Fax. Der Teufel steckt dabei im Detail: Onlineshops etwa dürfen manche Nutzerdaten gar nicht löschen, weil sie diese unter anderem für das Finanzamt brauchen. Darauf weist das Rechtsportal "iRights.info" hin. In solchen Fällen sollte man nicht die Löschung dieser Daten beantragen, sondern ihre Sperrung.
Das Auskunftsrecht kann auch hilfreich sein, wenn man zum Beispiel seinen Nutzernamen bei einem älteren Dienst nicht mehr kennt und deshalb auch nicht mehr auf einen Account zugreifen kann. Wer kennt heute schon noch seine ICQ-Nummer? Der Chatdienst bietet für solche Fälle eine Personensuche, die gibt es aber längst nicht überall.
Daten einsehen
Wer auf der Suche nach Daten ist, die seine Person betreffen, kann sich schriftlich mit der Bitte um Auskunft und Löschung an die jeweiligen Dienste wenden. So zumindest die Theorie. "Versuchen kann man das mal", sagt Carola Elbrecht vom Verbraucherzentrale Bundesverband. "Die Frage ist nur immer, wie gut sich ein Rechtsanspruch durchsetzen lässt." Bei Unternehmen, die ihren Sitz im EU-Ausland haben, sei zum Beispiel noch immer nicht geklärt, welche Datenschutzregeln genau gelten. Und bei Firmen außerhalb der EU ist der Kontakt oft noch komplizierter.
Das gilt für alte Accounts bei ehemaligen Web-Giganten umso mehr. Denn die Dienste dahinter haben oft nicht nur einmal, sondern sogar mehrfach den Besitzer gewechselt, oft wurden die Datensätze mit anderen Beständen zusammengelegt. In diesem Dickicht den richtigen Ansprechpartner zu finden, kann schnell zum Albtraum werden.
Ein Grund mehr, dem Ratschlag von Sicherheitsexpertin Prof. Melanie Volkamer von der TU Darmstadt zu folgen: "Allgemein sollte man bei Diensten im Internet immer nur das nötigste angeben", sagt sie. Und das bedeutet auch, ungenutzte Accounts vorsorglich zu löschen - und zwar so schnell wie möglich. Damit Karteileichen gar nicht erst entstehen. © dpa
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.