Wie finde und lösche ich vergessene Accounts?

Ein ganz spezieller Online-Shop, ein Forum für das Hobby, das man für einen Sommer verfolgt hat und eine Sprach-Lernplattform, die man schon lange aufgegeben hat: Über die Jahre, in denen man im Internet unterwegs ist, können sich sehr viele Accounts ansammeln. Von manchen hat man vielleicht nach einer Woche vergessen, dass man sie angelegt hat.

Dann schlummern die Accounts und das ist ein potenzielles Sicherheitsrisiko. Denn wird eine Webseite gehackt, können die Zugangsdaten im Netz landen. Nutzt man noch dazu für verschiedene Accounts dieselben Passwörter, sind sie leichte Beute. Manchen Websites hat man vielleicht auch Zugriff auf sensible Informationen wie Telefonnummer, Wohnadresse oder sogar Bankdaten gegeben. Diese sind immer noch hinterlegt, obwohl man die Websites seit Jahren nicht mehr besucht hat.

User*innen sollte also in regelmäßigen Abständen prüfen, welche Accounts sie wirklich noch brauchen. Auch wenn es schön wäre, jetzt eine Lösung parat zu haben, die alles auf Knopfdruck erledigt: Das gibt es leider nicht. Man wird einiges an Zeit und Geduld mitbringen müssen.

Suche bei "Have I been powned?"

Um die größten Sicherheitslücken ausfindig zu machen, kann man die Website haveibeenpowned.com zu Rate ziehen. Dort gibt man seine E-Mail-Adresse ein und das System prüft, ob sie bereits in Datenlecks involviert war. Ist ein Account betroffen, sollte man zumindest dort das Passwort ändern. Damit ist es aber nicht getan, denn man sollte auch überprüfen, ob das gehackte Passwort noch für andere Accounts zum Einsatz kommt und dieses ebenfalls ändern.

Gespeicherte Browser-Daten

Der einfachste Schritt, alte Accounts zu finden, ist das Durchforsten der Browserdaten. Wer sich nicht jedes Mal neu einloggen möchte, nutzt vermutlich die Funktion, Benutzernamen und Passwort zu speichern. Diese Zugangsdaten kann man Stück für Stück durchgehen, um vergessene Registrierungen zu finden.

In Chrome/Edge öffnet man „Einstellungen“ > „Kennwörter“ bzw. „Passwörter“. Hier öffnet sich eine lange Liste an allen gespeicherten Einträgen. Zudem wird ein Sicherheitscheck angeboten, der ähnlich wie HaveIbeenPowned prüft, ob die gespeicherten Daten gefährdet sind.

Bei Firefox findet man diese Liste unter „Einstellungen“ > “Datenschutz & Sicherheit“ > „Zugangsdaten und Passwörter“ und öffnet dann „Gespeicherte Zugangsdaten“. In Safari öffnet man ebenfalls „Einstellungen“ > „Passwörter“ und meldet sich mit der Touch ID an, um die Liste zu öffnen.

Google Passwortcheck

Auf vielen Websites kann man sich über seinen Google-Account anmelden. Wer das gemacht hat, kann einen Sicherheitscheck seiner Passwörter durchführen. Nutzt man Chrome und Android, sind dort zudem alle Zugangsdaten hinterlegt, die man über den Browser oder das Smartphone gespeichert hat.

Dazu loggt man sich auf Google.com ein, klickt auf das Profilbild oben rechts und öffnet dann „Google-Konto verwalten“ und „Sicherheit“. Hier gibt es viele Möglichkeiten. Google prüft, ob gespeicherte Passwörter gehackt wurden. Zudem gibt es eine Übersicht, auf welchen Plattformen man sich mit Google angemeldet hat, wie viele Passwörter gespeichert wurden und wie viele Konten anderer Anbieter mit dem Google Konto verknüpft sind. Auch hier heißt es: Geduldig durcharbeiten.

Apples iCloud Keychain (Schlüsselbund)

Das Apple-Ökosystem bietet die Möglichkeit, Zugangsdaten so zu speichern, dass auf allen Geräten abgerufen werden können. Viele Dienste bieten zudem die Möglichkeit, sich mit einer Apple-ID zu registrieren. Die Übersicht aller gespeicherten Inhalte findet man auf dem Mac in Safari, wie oben beschrieben. Auf iPhone, iPad und iPod Touch findet man sie unter „Einstellungen“ > „Passwörter“ bzw. „Passwörter und Accounts“ bei iOS 13 oder älter.

Mit Facebook verknüpfte Konten

Viele Webseiten bieten an, sich mit einem Facebook-Account zu registrieren. Diese sind im sozialen Netzwerk über den Pfeil oben rechts zu finden, indem man „Einstellungen und Privatsphäre“ > „Einstellungen“ > „Apps und Websites“ aufruft. Hier gibt es 3 Reiter: „Aktiv“, „Abgelaufen“ und „Entfernt“. Dort werden alle Webseiten und Anwendungen angezeigt, die eine Verbindung zu Facebook haben oder hatten. Durch diese kann man sich nun klicken und Verbindungen aufheben.

E-Mails durchsuchen

Wer sich auf einer Website anmeldet, wird dazu eine E-Mail-Adresse hinterlegt haben. Einige nutzen eine eigene Adresse, die nur für Logins verwendet wird, andere nutzen für alle Handlungen die gleiche Adresse. Man kann also sein Postfach nach Phrasen wie „Bestätigen Sie Ihre E-Mail-Adresse“ oder „E-Mail bestätigen“ durchsuchen, um auf alte Accounts zu stoßen.

Größte Herausforderung: Das Löschen

Das Finden der Accounts ist zwar mühsam, aber nicht schwer. Mit dem tatsächlichen Löschen wartet die größere Herausforderung. Mit etwas Glück findet man nach dem Einloggen eine „Löschen“-Option in den Profil-Einstellungen. Das versteckt sich meist oder lässt sich nur finden, wenn man nach „PlattformXY Konto löschen“ in einer Suchmaschine sucht.

Manchmal kann man ein Konto lediglich „schließen“. Das bedeutet, die Betreiber speichern die Daten weiterhin, damit man in Zukunft seinen Account einfach wiederherstellen kann. Möchte man dies nicht, muss man häufig den Support kontaktieren, um ein Konto vollständig entfernen zu können.

Im Zweifelsfall hilft die DSGVO

Wenn Anbieter versuchen, das Löschen besonders herausfordernd zu gestalten, greift die Datenschutzgrundverordnung. Sie verleiht das Recht, über die Verarbeitung der eigenen Daten selbst zu bestimmen und diese damit auch Löschen zu lassen. Die Arbeiterkammer hat dafür etwa Musterbriefe bereitgestellt, einen offiziellen Antrag kann man über die Datenschutzbehörde stellen.

Schafft man es trotzdem nicht, alte Accounts zu entfernen, sollte man herausfinden, ob man das jeweilige Passwort auch bei anderen Accounts verwendet und diese ändern. So verhindert man bei einem Angriff auf die Plattform, dass Hacker mit der erbeuteten E-Mail-Adresse, einem Nutzernamen und dem Passwort auch auf andere Konten zugreifen können.

Externe Tools und Dienste vermeiden

Natürlich ist das alles eine sehr mühsame Angelegenheit. Das wissen auch Anbieter, die aus dem Suchen und Löschen von Accounts ein Geschäft gemacht haben. Dafür muss man ihnen aber Zugang und Passwort zum privaten E-Mail-Account geben. Sie können dann auf alles Zugreifen, was sich im E-Mail-Postfach befindet. Das birgt ein großes Sicherheitsrisiko, auch wenn die beauftragte Firma strenge Datenschutzrichtlinien hat.

Langfristig einen besseren Überblick behalten

Um zukünftig einen besseren Überblick zu behalten, sollte man diese Account-Pflege mehrmals jährlich durchführen. Passwortmanager helfen dabei, alles zentral an einem Ort sicher zu speichern. So behält man auch den Überblick, wo man sich angemeldet hat.

Die E-Mails, mit denen man eine Registrierung bei einem Anbieter bestätigt, sollte nicht gelöscht werden, sondern kann als Erinnerungsstütze dienen, dass man hier einen Account angelegt hat. Das erleichtert später die Suche, wenn man die Anmeldung vergessen hat.