Deutschland in der Anti Public Combo List
Dieser Artikel ist ein Folgeartikel zu Die Schweiz in der Anti Public Combo List und beschäftigt sich analog mit Accounts aus „dem grossen Kanton“.
Vielleicht gleich zu Beginn: Dieser Leak bzw. dessen Handhabung ist ein Paradebeispiel für ein Grundproblem im Netz. Der Leak selbst ist seit mindestens Anfang Mai 2017 bekannt (vgl. auch Die Schweiz in der Anti Public Combo List). Interessiert hat es in Europa (dazu zählen Deutschland aber auch die Schweiz …) keinen; in der Schweiz wurde bis heute nicht öffentlich über diesen Leak berichtet.
In Deutschland erfolgt die Veröffentlichung durch das BKA 2 Monate zu spät; die Medien nahmen es auf, bauschten es auf (aus 43 Millionen werden „gut 50 Millionen“…) und führten dem gewöhnlichen Benutzer vor „wie unsicher er doch ist“. Nach zwei Tagen war der Spuk vorbei – das Thema Datensicherheit auf den Titelblättern wird wieder durch die üblichen B-Promis ersetzt, die Passwörter bleiben grössenteils diesselben.
Dieser Ablauf war analog bei den Leaks von Dropbox, LinkedIn… – die kurzfristige mediale Aufmerksamkeit zählt mehr als ein nachhaltiges Umdenken.
In Kürze
- Die Anti Public Combo List enthält 43’819’502 Accounts mit der Endung .de
- Die Combo List enthält nur Emailadressen und dazu passende Passwörter im Klartext
- Es sind gemischte Kombinationen von verschiedenen Quellen (also nicht nur Emailpasswörter!)
- Es ist nicht möglich zuverlässig zu bestimmen wie viele deutsche Benutzer tatsächlich in der Combo List sind (z.B. solche mit Email wie @gmail.com, @hotmail.com)
- Es ist fraglich ob alle Emails mit Endungen .de auch tatsächlich Benutzern aus Deutschland gehören
Trotz dieser Einschränkungen ist Anti Public Combo List aber ein interessanter Indikator um die Betroffenheit von Leaks in Deutschland abzuschätzen.
Vorausgesetzt, das Verhalten von Deutschen und Schweizern ist zumindest im Internet ähnlich, kann man mittels der Datensätze von SwissLeak.ch die ungefähre Anzahl von betroffenen Deutschen im Ganzen hochrechnen:
| In Leak enthalten | Anteil | Total | |
|---|---|---|---|
| Schweiz (Anti Public Combo List) | 782'212 | 4.89 | 3'825'420 |
| Deutschland (Anti Public Combo List) | 43'819'502 | 4.89 | 214'299'959 |
| Schweiz (Dropbox) | 378'817 | 10.09 | 3'825'420 |
| Deutschland (Dropbox) | 2'987'472 | 10.09 | 32'563'444 |
Es zeigt sich aber schnell, dass diese Hochrechnung für Deutschland nicht funktioniert. Eine Hochrechnung aufgrund der Anti Public Combo List würde 214 Millonen betroffener deutsche Accounts ergeben, gemäss dem Leak von Dropbox.com etwas mehr als 32 Millionen…
Realistisch betrachtet werden in Deutschland etwa 40 – 50 Millonen Benutzer (nicht Accounts!) von Leaks betroffen sein.
Der Umkehrschluss der Hochrechnung aber bedeutet, dass in der Schweiz verglichen mit Deutschland überdurchschnittlich viele Benutzer betroffen sind.
Die häufigsten Passwörter der deutschen Benutzer
| Passwort | Vorkommen Combo | Vorkommen SwissLeak.ch |
|---|---|---|
| 123456 | 0.5547 | 0.6561 |
| 123456789 | 0.4339 | 0.1178 |
| iloveyou | 0.3943 | |
| 12345678 | 0.3775 | 0.0932 |
| passwort | 0.3699 | 0.0330 |
| 1234567 | 0.3653 | 0.0409 |
| 111111 | 0.3595 | 0.0461 |
| 123123 | 0.3594 | |
| abc123 | 0.3584 | |
| 1234567890 | 0.3571 |
Abbildung: Die häufigsten Passwörter der deutschen Benutzer in der Anti Public Combo List im Vergleich mit Daten aus SwissLeak.ch
Die Verteilung der häufigsten Passwörter ist ähnlich aber nicht identisch mit der Schweiz. Interessanterweise gibt es tatsächlich nationale Unterschiede in der Passwortverteilung (z.B. „iloveyou“) – die Top Passwörter 123456 bzw.123456789 bleiben aber gleich…
Betroffenheit deutscher Benutzer
Betroffen ist ähnlich wie in der Schweiz grundsätzlich jeder deutsche Benutzer. Von Staats – und Bundesbetrieben über Versicherungen bis hin zum privaten Rentner ist eigentlich alles vorhanden.
| Domain | Vorkommen Combo |
|---|---|
| web.de | 25.20 |
| gmx.de | 20.12 |
| yahoo.de | 15.74 |
| lycos.de | 11.89 |
| epost.de | 11.79 |
| yaho.de | 3.21 |
| t-online.de | 2.63 |
| freenet.de | 2.45 |
| live.de | 1.51 |
| arcor.de | 0.79 |
Abbildung: Die am häufigsten betroffenen deutschen Domains in der Anti Public Combo List.
Ein Viertel (25.20 %) aller betroffenen Accounts läuft über den Provider Web.de, ein Fünftel über gmx.de.
Es liegt nahe, dass viele, technisch weniger versierte Benutzer Web.de als Emailprovider nutzen (vgl. bluewin.ch in der Schweiz).
Staatliche deutsche Behörden
Direkt vom Leak betroffene Benutzer des deutschen Staates (@**.bund.de) sind gerade einmal 747 Stück vorhanden.
Verglichen mit der Schweiz (1315 Stück) und in Anbetracht des wesentlich „grösseren“ Deutschen Staatsapparates ist das erstaunlich. Blocken die deutschen Behörden vielleicht Social Media Plattformen oder sind die deutschen Beamten einfach vorsichtiger im Umgang mit Ihren Daten?
Kommunale deutsche Behörden
Wenn man sich die Mühe macht und die gesamte Anti Public Combo List nach Domains von deutschen Städten und Orten absucht, findet man etwas über 18’000 Accounts. Die Top40 gestalten sich in etwa wie folgt:
| Domain | Anteil | Accounts |
|---|---|---|
| berlin.de | 14.65 | 2687 |
| hamburg.de | 13.09 | 2401 |
| koeln.de | 13.01 | 2386 |
| muenster.de | 6.90 | 1265 |
| wolfsburg.de | 5.40 | 991 |
| bremen.de | 1.88 | 344 |
| list.de | 0.78 | 143 |
| bremerhaven.de | 0.69 | 127 |
| muenchen.de | 0.69 | 126 |
| schwerte.de | 0.63 | 116 |
| eschweiler.de | 0.58 | 107 |
| schwaebisch-hall.de | 0.53 | 98 |
| mannheim.de | 0.43 | 79 |
| bonn.de | 0.29 | 54 |
| stuttgart.de | 0.27 | 50 |
| freudenberg.de | 0.27 | 50 |
| oppenheim.de | 0.24 | 44 |
| solingen.de | 0.22 | 41 |
| schiltach.de | 0.21 | 39 |
| wiesbaden.de | 0.21 | 38 |
| pfaffenhofen.de | 0.19 | 35 |
| heidelberg.de | 0.17 | 32 |
| harsefeld.de | 0.17 | 31 |
| saarbruecken.de | 0.16 | 30 |
| bruchsal.de | 0.16 | 30 |
| potsdam.de | 0.16 | 29 |
| goettingen.de | 0.15 | 28 |
| bochum.de | 0.15 | 28 |
| eppendorf.de | 0.15 | 27 |
| langenfeld.de | 0.14 | 25 |
| vaterstetten.de | 0.14 | 25 |
| fulda.de | 0.13 | 24 |
| dresden.de | 0.13 | 24 |
| darmstadt.de | 0.13 | 23 |
| leipzig.de | 0.13 | 23 |
| kiel.de | 0.12 | 22 |
| vegesack.de | 0.12 | 22 |
| gelsenkirchen.de | 0.11 | 21 |
| halle.de | 0.11 | 21 |
| jena.de | 0.11 | 21 |
| augsburg.de | 0.11 | 21 |
Abbildung: Top40 der enthaltenen Städte mit prozentualem Anteil an deutschen Städten sowie der Anzahl Accounts
Selbstverständlich ist die Liste unvollständig – im Gegensatz zu SwissLeak.ch wurde nur eine sehr grobe Suche durchgeführt (bei 43 Millionen Accounts verständlich…)
Auch nicht berücksichtigt wurde, dass diverse deutsche Städte anscheinend „ihre Domain“ als private Email anbieten (z.B. Berlin). Diesen Service haben wir in der Schweiz nicht…
Passwortlänge
| Deutschland | Deutschland (bereinigt) | Schweiz | |
|---|---|---|---|
| Staat | 8.93 Stellen | 8.72 | 8.21 Stellen |
| Alle | 9.37 Stellen | 9.05 | 8.07 Stellen |
Abbildung: Durschnittliche Passwortlänge der deutschen Accounts sowie Vergleich zur Schweiz
Die durchschnittliche Passwörtlänge der deutschen Benutzer in der Anti Public Combo List beträgt 9.37 Stellen – ein Wert der nur bedingt realistisch ist.
Filtert man die diversen Hash-Werte (= noch nicht entschlüsselte Passwörter), Emailadressen und sonstige, klar nicht passenden Passwörter erhält man ein durchschnittliche Passwortlänge von 9.05 Stellen für deutsche Accounts.
Verglichen mit den Benutzer aus der Schweiz (8.07 Stellen) ist das auf diese Menge immer noch erstaunlich.
PS: Arbeiten Sie bei der deutschen Telekom? Interessenshalber – was genau steht in DOC-383006 ?
Schreibe einen Kommentar