Pwned: How Often Are Americans' Online Accounts Breached?

Die Studie schätzt anhand von Daten einer repräsentativen US-Stichprobe und der Plattform „Have I Been Pwned", dass mindestens 82,84 % der Amerikaner bereits mindestens dreimal Opfer von Online-Kontobrüchen geworden sind, wobei gebildetere, mittelalte Frauen und Weiße ein höheres Risiko aufweisen.

Das Wesentliche

Titel: Der große Daten-Leck-Check: Wie oft sind Amerikaner online „durchgebrannt"?

Stellen Sie sich das Internet als eine riesige, belebte Stadt vor. In dieser Stadt gibt es Millionen von Häusern (das sind unsere Online-Konten bei Facebook, Amazon, LinkedIn und Co.). Die Bewohner dieser Stadt glauben oft, ihre Häuser seien sicher verschlossen. Aber in den letzten Jahren hat es immer wieder massive Einbrüche gegeben, bei denen Diebe ganze Stadtviertel geplündert haben.

Die Forscher Ken Cor und Gaurav Sood haben sich gefragt: Wie viele Amerikaner haben eigentlich schon einmal erlebt, dass ihr Haus von Dieben geplündert wurde? Und wie oft ist das passiert?

Hier ist die einfache Erklärung ihrer Studie, gespickt mit ein paar Bildern:

1. Die Methode: Der große „Hauseinbruch-Check"

Die Forscher haben eine riesige Gruppe von 5.000 zufällig ausgewählten Amerikanern genommen. Sie haben nicht gefragt: „Haben Sie schon einmal einen Einbruch erlebt?" (denn viele würden das vielleicht vergessen oder nicht zugeben).

Stattdessen haben sie einen cleveren Trick angewendet: Sie haben die E-Mail-Adressen dieser 5.000 Personen genommen und diese in eine riesige Datenbank namens „Have I Been Pwned" (HIBP) eingegeben.

• Was ist HIBP? Stellen Sie sich das wie eine riesige, öffentliche Liste von Diebesbeute vor. Wenn Hacker Daten stehlen, landen diese oft auf dieser Liste. HIBP sammelt diese Listen, damit jeder nachschauen kann: „Hey, war meine E-Mail dabei?"

2. Das schockierende Ergebnis: Fast alle sind betroffen

Das Ergebnis ist erschreckend, aber auch eine wichtige Warnung:

• Fast 83 % aller Amerikaner haben mindestens einmal erlebt, dass ihre Daten gestohlen wurden. Das ist wie eine Stadt, in der fast jedes zweite Haus schon einmal geplündert wurde.
• Im Durchschnitt ist die E-Mail-Adresse einer Person dreimal in einer solchen Liste gelandet.

Warum ist das nur eine „Untergrenze"?
Die Forscher sagen: „Die Zahl ist wahrscheinlich viel schlimmer!"

1. Nicht alle Diebe werden erwischt: Viele Einbrüche werden nie öffentlich bekannt gegeben.
2. Versteckte Listen: HIBP zeigt nicht alle Listen. Wenn ein Einbruch sehr peinlich ist (z. B. bei Dating-Apps oder sensiblen Foren), wird die Liste oft aus der öffentlichen Suche genommen, um die Betroffenen zu schützen.
3. Nur eine Tür: Die Forscher haben nur eine E-Mail-Adresse pro Person geprüft. Aber die meisten Menschen haben mehrere (eine für die Arbeit, eine für private Dinge, eine für Newsletter). Wenn wir nur eine Tür prüfen, sehen wir nicht, ob die anderen Türen auch offen stehen.

3. Wer ist am meisten gefährdet? (Das überraschende Detail)

Man könnte denken: „Nur Leute, die sich nicht auskennen oder wenig Geld haben, werden gehackt." Das ist aber falsch.

Die Studie zeigt ein paradoxes Bild: Die „Besseren" sind am meisten gefährdet.

• Wer? Gebildete Menschen, Weiße, Frauen und Menschen im mittleren Alter (zwischen 35 und 65) haben ihre Daten am häufigsten verloren.
• Warum? Stellen Sie sich vor, Sie sind ein reicher Geschäftsmann. Sie laufen jeden Tag durch die belebtesten, sichersten Straßen der Stadt. Weil Sie dort so oft sind, treffen Sie auch öfter auf Diebe als jemand, der zu Hause bleibt.
  • Gebildete Menschen nutzen das Internet mehr, haben mehr Konten und sind aktiver. Sie sind einfach öfter im „Schussfeld" der Hacker.
  • Frauen und Weiße nutzen bestimmte Plattformen häufiger, die dann auch öfter angegriffen werden.
  • Ältere Menschen (über 65) und sehr junge Leute (unter 25) sind etwas seltener betroffen, vielleicht weil sie weniger Konten haben oder weniger aktiv sind.

4. Woher kommen die Diebe?

Die Forscher haben sich angesehen, welche Webseiten die Daten gestohlen haben. Es waren nicht nur die großen Tech-Giganten.

• Die Liste der „schlechtesten Nachbarn" (die Webseiten mit den meisten Diebstählen) umfasst bekannte Namen wie LinkedIn, Adobe, Dropbox und MySpace.
• Aber es gibt auch seltsame Seiten, die man vielleicht gar nicht kennt, die aber riesige Datenmengen gesammelt haben.

5. Was bedeutet das für uns?

Die Botschaft der Forscher ist klar:
Wir können uns nicht mehr in Sicherheit wiegen. Die Vorstellung, dass „niemand im Internet weiß, wer man ist", ist vorbei. Die Hacker wissen, wer wir sind, was wir mögen und wo wir uns aufhalten.

Die wichtigste Lektion:
Es hilft nicht, sich zu verstecken. Wenn Sie viel online sind (was heutzutage fast jeder tut), sind Sie automatisch ein Ziel. Diejenigen, die das Internet am intensivsten nutzen, tragen die größte Last der Sicherheitslücken.

Zusammengefasst:
Stellen Sie sich vor, Sie haben drei Schlüssel zu Ihrem Haus. Die Studie sagt: „Fast jeder Amerikaner hat mindestens einmal einen dieser Schlüssel verloren." Und je mehr Schlüssel Sie haben und je öfter Sie das Haus betreten, desto wahrscheinlicher ist es, dass Sie einen verlieren. Die Lösung ist nicht, das Haus zu verlassen, sondern die Schlösser besser zu sichern und ständig wachsam zu bleiben.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papiers „Pwned: How Often Are Americans' Online Accounts Breached?" von Ken Cor und Gaurav Sood (Februar 2019) auf Deutsch:

1. Problemstellung

Die Autoren adressieren das wachsende Problem massiver Online-Datenlecks (Breaches). Obwohl Nachrichten über solche Vorfälle alltäglich geworden sind, fehlt es an soliden, repräsentativen Daten darüber, wie stark die durchschnittliche Bevölkerung tatsächlich exponiert ist. Es besteht die Gefahr, dass die Illusion der Anonymität im Internet durch diese massiven Kompromittierungen von Konten zerstört wird. Das Ziel der Studie ist es, eine quantitative Schätzung der durchschnittlichen Anzahl von geleakten Online-Konten pro Person in den USA zu erstellen und zu analysieren, wie sich diese Exposition mit sozioökonomischen Faktoren korreliert.

2. Methodik

Die Studie kombiniert zwei einzigartige Datensätze, um eine repräsentative Analyse durchzuführen:

• Stichprobe: Eine große, repräsentative Stichprobe von 5.000 erwachsenen Amerikanern, gezogen von YouGov im Juli 2018. Die Stichprobe wurde so konstruiert, dass sie dem aktuellen US-Bevölkerungsstand (basierend auf der Current Population Survey) entspricht. Ein entscheidender Vorteil dieser Methode ist die Vermeidung von Non-Response-Bias, da die Daten nicht durch Umfragen, sondern direkt über die mit den Konten verknüpften E-Mail-Adressen abgerufen wurden.
• Datenquelle für Lecks: Die API von „Have I Been Pwned" (HIBP). HIBP ist eine gemeinnützige Datenbank, die Informationen über 293 öffentliche Datenlecks (Stand zum Zeitpunkt der Studie) mit über 5,2 Milliarden betroffenen Konten aggregiert.
• Verknüpfung: Die E-Mail-Adressen der 5.000 YouGov-Teilnehmer wurden über die HIBP-API abgefragt, um festzustellen, in wie vielen der katalogisierten Lecks diese Adressen enthalten waren.
• Dateneinschränkungen (Lower Bound): Die Autoren betonen, dass die Ergebnisse eine untere Schranke (Lower Bound) darstellen. Dies liegt an drei Faktoren:
  1. Nicht alle Lecks werden öffentlich bekannt gegeben.
  2. HIBP verweigert über die öffentliche API Daten zu „sensiblen" Lecks (z. B. Dating-Seiten oder Plattformen mit potenziell reputationsgefährdendem Inhalt), um die Privatsphäre der Betroffenen zu schützen.
  3. Die Studie nutzt nur eine E-Mail-Adresse pro Person, während viele Nutzer mehrere Adressen besitzen.

3. Wichtige Beiträge

• Quantifizierung der Exposition: Erstmals wird eine repräsentative Schätzung für die USA geliefert, wie oft die Konten durchschnittlicher Bürger kompromittiert wurden.
• Sozioökonomische Analyse: Die Studie widerlegt die gängige Annahme des „Digital Divide" (digitale Kluft) in Bezug auf Sicherheitsrisiken. Sie zeigt, dass nicht die technisch weniger versierten oder ärmeren Gruppen am stärksten betroffen sind, sondern diejenigen, die Online-Dienste am intensivsten nutzen.
• Differenzierung nach Leck-Typ: Die Analyse unterscheidet zwischen verifizierten Lecks, unverifizierten Lecks und „SpamList"-Daten (Daten, die für gezielten Spam genutzt werden, aber nicht unbedingt aus einem direkten Systemleck stammen).

4. Ergebnisse

Die Analyse der 5.000 E-Mail-Adressen ergab folgende Kernbefunde:

• Gesamtexponiertheit: Mindestens 82,84 % der Amerikaner hatten mindestens einmal ihre Konten kompromittiert.
• Häufigkeit: Die 5.000 Accounts waren insgesamt mit 14.979 Lecks verknüpft. Das bedeutet im Durchschnitt 3 Lecks pro Person (Median ebenfalls 3).
• Sozioökonomische Korrelationen:
  • Bildung: Es besteht eine monotone Beziehung; je höher der Bildungsgrad, desto mehr Lecks. Personen ohne Highschool-Abschluss hatten im Durchschnitt 2,35 Lecks, während Personen mit einem Postgraduierten-Abschluss im Durchschnitt 3,20 Lecks aufwiesen.
  • Alter: Die Beziehung ist kurvenförmig (invers U-förmig). Junge Erwachsene (18–25) und Senioren (65+) sind am wenigsten betroffen, während die Altersgruppe 35–50 am stärksten exponiert ist.
  • Geschlecht: Frauen sind 1,2-mal häufiger betroffen als Männer (Durchschnitt 3,17 vs. 2,82 Lecks).
  • Ethnie: Weiße (3,16) und Afroamerikaner (3,12) haben die höchsten Raten, gefolgt von Asiaten (2,82). Hispanics/Latinos haben mit 2,50 die niedrigste Rate.
• Herkunft der Lecks: Die Lecks stammen von 156 verschiedenen Domains. Eine starke Schiefe ist erkennbar: 21 Domains allein waren für 11.783 der Lecks verantwortlich. Zu den häufigsten Quellen gehörten River City Media, LinkedIn, Modb Solutions, MySpace und Adobe.
• Verifizierung und Spam: Von den insgesamt 15.837 erfassten Vorfällen waren 94,58 % verifizierte Lecks. Etwa ein Drittel wurde als „SpamList" kategorisiert. Bei der Fokussierung auf verifizierte, nicht als Spam gelistete Lecks bleiben die Trends bei Bildung und Alter ähnlich, während sich die Raten bei Ethnien verschieben (z. B. sinkt die Rate bei Afroamerikanern relativ gesehen, was darauf hindeutet, dass sie häufiger in unverifizierten oder Spam-Listen-Lecks auftauchen).

5. Bedeutung und Fazit

Die Studie liefert einen wichtigen empirischen Beleg dafür, dass die Nutzung digitaler Dienste ein inhärentes Sicherheitsrisiko darstellt, das nicht durch sozioökonomischen Status abgeschirmt werden kann. Im Gegenteil: Die Gruppen, die am meisten online sind (höher Gebildete, Weiße, Mittlere Altersgruppen), tragen die größte Last der Datenlecks.

Die Autoren betonen, dass die tatsächliche Zahl der geleakten Konten aufgrund der oben genannten Einschränkungen (versteckte Lecks, multiple E-Mails, sensible Daten) wahrscheinlich deutlich höher liegt als die hier ermittelten „3 Lecks pro Person". Die Ergebnisse unterstreichen die Notwendigkeit für eine stärkere Sicherheitsbewusstsein und robustere Schutzmechanismen, da die Exposition fast die gesamte aktive Online-Bevölkerung betrifft.