Mithilfe des Identity Leak Checkers lässt sich ermitteln, ob die eigene E-Mailadresse Teil eines Leaks war, und die eigenen Identitätsdaten frei verfügbar im Netz kursieren. Alles begann 2013 anlässlich eines großen Datenleaks, das die Öffentlichkeit bewegt hat. Das Team um Prof. Meinel und Dr. Feng Cheng fing zunächst an, die betroffenen HPI-Adressen zu extrahieren und gegen weitere Leaks abzugleichen. Schließlich wurde daraus die Idee, diesen Service auch für Externe zugänglich zu machen. Seit seinem Start im Mai 2014 haben mittlerweile mehr als 18,6 Millionen Nutzer:innen von dem Service Gebrauch gemacht.
David Jaeger hat am HPI seinen Bachelor, Master und Doktor gemacht und arbeitet heute als Cyber Security Architect bei Airbus Protect. Von Anfang an betreute er das Projekt federführend, unterstützt von Hendrik Graupner und Chris Pelchen, am Fachgebiet „Internet-Technologien und Systeme“. Heute ist das Projekt am Fachgebiet „Cybersecurity – Enterprise Security“ von Prof. Christian Dörr angesiedelt.
Anlässlich unseres 25-jährigen Jubiläums sprachen wir mit HPI-Alumnus David Jaeger über die Anfänge des ILC und wie seine Arbeit daran ihn auf seinen jetzigen Beruf vorbereitet hat.
Hasso-Plattner-Institut (HPI): Was ist der Identity Leak Checker?
David Jaeger: Der Identity Leak Checker (ILC) ist ein kostenloser Internetdienst des Hasso-Plattner-Instituts. Mit diesem Dienst können Nutzer überprüfen, ob ihre persönlichen Informationen bei bekannten Datendiebstählen entwendet und veröffentlicht wurden. Dazu gibt man seine E-Mail-Adresse auf der Webseite des ILC (https://ilc.hpi.de/) ein. Nach der Bestätigung erhält man dann eine E-Mail mit einer Übersicht aller Datendiebstähle, in denen die eingegebene Adresse gefunden wurde, inklusive der vermuteten Quelle und Art der entwendeten Daten. Bei einem Treffer erhalten die Nutzer zudem Empfehlungen, wie sie sich vor der weiteren Ausnutzung ihrer Daten schützen können.
HPI: Wo lagen die größten Herausforderungen während der Entwicklung und Betreuung?
Jaeger: Die größte Herausforderung bei der Entwicklung des ILC war die schnelle Bearbeitung von Anfragen, insbesondere wenn viele Nutzer gleichzeitig auf den Dienst zugreifen. Da Datenlecks oft Millionen bis Milliarden von Datensätzen umfassen, war die effiziente Speicherung und der Abruf dieser Daten eine wesentliche Schwierigkeit. Der ILC verwaltet mittlerweile über 13 Milliarden Datensätze, was zum Zeitpunkt seiner Entwicklung im Jahr 2014 eine enorme Herausforderung für die gängigen Datenbanksysteme darstellte. Dank SAP hatten wir aber die einzigartige Möglichkeit, die In-Memory-Datenbank SAP HANA nutzen, die Daten im Hauptspeicher vorhält und Anfragen in Millisekunden beantworten kann, selbst bei Milliarden von Datensätzen.
Eine weitere Herausforderung war die hohe Nutzerlast nach Berichterstattungen in den Massenmedien wie Stern TV, Spiegel, ARD Tagesschau und dem internationalen Technologiemagazin Wired. Da wir die sensiblen Daten aus Datenschutzgründen nicht in eine Cloud auslagern wollten, mussten wir eigene Serverkapazitäten bereitstellen. Anfangs hatten wir die Resonanz unterschätzt und daher nur Hardware mit mittelgradiger Rechenleistung eingeplant. Nach einem besonders großen Ansturm nach der Berichterstattung des Spiegels 2017 haben wir dann aber zusätzliche Serverkapazitäten bereitgestellt und Optimierungen in der Anfragenbearbeitung im Webserver als auch im Dienst selbst vorgenommen, um zukünftigen Anstürmen besser gewachsen zu sein.
Mit der erhöhten Medienberichterstattung ging meist auch eine Flut von Nachrichten der Nutzer einher. Teilweise erhielten wir mehrere hundert Anfragen pro Tag und die Telefonleitungen des HPI-Empfangs liefen heiß, was die Kapazitäten unseres kleinen Teams, das den ILC nur nebenbei betreute, an die Grenze brachte. Wir wollten trotzdem für die Fragen der Nutzer da sein und versuchten daher möglichst alle Nachrichten zu beantworten, wenn auch mit etwas Verzögerung. Wir haben uns besonders auch über die vielen positiven Rückmeldungen der Nutzer gefreut.
HPI: Jetzt arbeitest du als Cyber Security Architect bei Airbus Protect. Wie hat deine Arbeit am ILC dich für deine jetzige Aufgabe vorbereitet?
Jaeger: In meiner aktuellen Rolle als Cyber Security Architect bei Airbus bin ich für die Konzeptionierung und Implementierung von Systemen zur Angriffserkennung in den Netzwerken von Airbus, seinen Tochterunternehmen und externen Kunden verantwortlich. Einen großen Teil des Wissens für meine tägliche Arbeit habe ich dabei aus meiner Arbeit und Forschung am HPI während meiner Promotion gezogen. Mein Promotionsthema, die Erkennung von komplexen mehrstufigen Angriffen in Unternehmensnetzen, überlappt sich dabei zu großen Teilen mit meiner jetzigen Arbeit. Zwei wichtige Lektionen habe ich aber besonders durch meine Arbeit am ILC gelernt:
Erstens hat mir der Umgang mit riesigen Datenlecks das komplexe Thema Big Data nähergebracht. Big Data und Data Science sind heute ein gefragtes Thema in der IT-Branche. Ich kann also sagen, dass die Arbeit mich gut für die Zukunft in der Branche vorbereitet hat. Zum Beispiel mussten wir aus den Leaks, zur Bereitstellung im ILC, oft Millionen von Datensätzen auslesen und in ein einheitliches Format überführen. Ähnlich müssen bei der Angriffserkennung Milliarden von Logeinträgen von Computern und Netzwerkgeräten eingelesen und in einem einheitlichen Format in einem zentralen System, dem Security Information and Event Management (SIEM) System, abgelegt werden. Der Prozess der Vorverarbeitung, z.B. durch sogenannte reguläre Ausdrücke, und die effiziente Einspeisung der Daten in einen großen Datenspeicher ist in beiden Bereichen sehr ähnlich.
Zweitens habe ich durch die Arbeit mit großen Mengen von Logindaten erkannt, wie oft Nutzer dasselbe Passwort für verschiedene Dienste verwenden und wie schwach viele der gewählten Passwörter sind. Angreifer nutzen diesen Umstand für sogenannte Credential Stuffing- und Password Spraying-Angriffe. Beim Credential Stuffing verwenden Angreifer in einem Leak gefundene Nutzername-Passwort-Kombinationen, um sich bei anderen Diensten oder Netzwerken anzumelden. Hat der Angreifer Glück, wurde das gleiche Passwort wie in einem der geleakten Dienste verwendet und der Angreifer erhält Zugang. Beim Password Spraying werden häufig verwendete Passwörter, wie etwa Passwort123, ausprobiert. Diese Methoden sind noch immer eine der häufigsten Ursachen für erfolgreiche Angriffe. Das Wissen über die Funktionsweise dieser Angriffe ermöglicht mir deren Erkennung, z.B. durch die Korrelation von Informationen über geleakte Nutzer mit deren Loginverhalten.
HPI: Cybersecurity ist ein wichtiges Thema, nicht nur in der Lehre und Forschung am HPI. Was ist deine eindrücklichste Erinnerung zum Thema?
Jaeger: Das Eindrücklichste für mich ist, dass viele erfolgreiche Angriffe heutzutage nicht auf Software oder Computersysteme abzielen, sondern auf den Menschen als das schwächste Glied in der IT-Sicherheit. Man spricht bei dieser Art von Angriff von Social Engineering, also die wohlbedachte Ausnutzung von menschlichen Schwächen, wie z.B. das ungeprüfte Vertrauen in Autoritäten oder nahestehende Personen. Ein eindrucksvolles Beispiel dafür ist die Hackergruppe Lapsus$, die 2022 durch Manipulation einzelner Unternehmensmitarbeiter selbst große Unternehmen wie Microsoft, Nvidia und Samsung, trotz professionellen Teams zur Cyberabwehr, infiltrieren konnte.
Die Effektivität dieser Angriffsmethode konnten wir auch bei unserem Seminar „Capture-the-Flag“ (CtF) am HPI beobachten. Dabei versuchen Teams, in eine von einem anderen Team vorbereitete Netzwerkumgebung einzudringen. In einem Fall gelang es Studenten durch Spear Phishing und Typosquatting interne Informationen zur nächsten Challenge vom gegnerischen Team und sogar von Lehrkräften zu erlangen. In diesem Setting war Social Engineering explizit von uns Seminarleitern gewünscht. Der Schaden hielt sich somit in Grenzen. In der realen Welt hätte diese Art von Angriff bei einem Unternehmen aber fatal sein können und es zeigt, wie wichtig die Aufklärung und Sensibilisierung von Benutzern über die Gefahren der menschlichen Manipulation durch Cyberkriminelle ist. Während meiner Zeit am HPI haben wir versucht, zu dieser Aufklärung beizutragen, durch unsere Lehre, Seminare und OpenHPI-Kurse zum Thema „Digitale Identitäten“ und natürlich auch durch den Identity Leak Checker.
