Gekaperte Konten Wie schwache Passwörter zum Verhängnis werden
News folgenBerlin (dpa/tmn) - Dieser Text handelt davon, was passieren kann, wenn man es wider besseren Wissens mit den Passwörtern im Internet nicht so genau nimmt. Und von den massiven Problemen, die das nach sich ziehen kann.
Das wären: ein gehacktes Mailpostfach, eine Menge Telefonate, ein Check aller Online-Konten und eine Hängepartie bei Facebook.
Viele Menschen erstellen ihre Passwörter nach der Devise "simpel statt sicher". Das zeigt die jährliche Passwort-Hitliste des Hasso-Plattner-Instituts (HPI): Seit Jahren ist die Zahlenfolge "123456" Spitzenreiter, 2020 gefolgt von "123456789" und dem "passwort" auf Platz drei.
Die HPI-Auswertung beruht auf Millionen geleakter Zugangsdaten von .de-Mail-Adressen, mit denen das HPI eineAbfragedatenbanknamens Identity Leak Checker füllt. Das heißt: Die Daten sind schon irgendwann einmal frei zugänglich im Netz aufgetaucht und kursieren dort womöglich immer noch. Ob auch eigene Adressen und Passwörter dabei sind, erfährt man, wenn man den Leak Checker mit seiner oder seinen Mail-Adressen füttert.
Einladung für Hacker
Doch selbst wenn Zugangsdaten nicht im Netz kursieren: Wer Zahlenfolgen wie "123456", Tastatur-Buchstabenfolgen à la "asdfgh", Namen oder Begriffe aus dem Wörterbuch nutzt, macht es Hackern sehr einfach. Solche "Passwörter" knacken sie in Windeseile.
Richtig kritisch wird es, wenn man den zweiten Kardinalfehler begeht: Aus Bequemlichkeit überall das gleiche Passwort verwenden. Denn so sind alle Konten in Gefahr, wenn das Passwort einmal geknackt wurde. Mir ist sehr wahrscheinlich eine Mischung beider Nachlässigkeiten zum Verhängnis geworden.
Los ging das Ungemach kurz vor Weihnachten. Der Blick auf die Umsätze meines Bankkontos lieferte eine unangenehme Überraschung: Es gab diverse Abbuchungen von meinem Paypal-Account, darunter zehn dubiose Abbuchungen über die krumme Summe von 12,10 Euro.
Im Nachhinein betrachtet war diese seltsame Häufung ein Glück, denn eine Einzelbuchung hätte ich wohl nicht weiter beachtet. Schließlich bestellt man ja immer wieder mal was online und hat nicht immer alles genau im Blick. Die zehn Abbuchungen fielen aber sofort auf: Ich hatte seit Tagen nichts bestellt, und schon gar nicht öfters.
Also will ich mich bei Paypal einloggen, um die Buchungen zu überprüfen. Doch das geht nicht. Zum Glück lassen sich die Abbuchungen übers Onlinebanking meiner Bank zurückholen. Danach Anruf bei Paypal: Das Konto wird gesperrt.
Fehler beim Anmelden
Dass das Problem noch tiefer geht, bemerke ich erst am nächsten Tag. Meine E-Mail-App auf dem Smartphone verlangt eine Neuanmeldung. Doch bei der Eingabe des Passworts kommt bloß eine Fehlermeldung.
Offenbar haben Hacker mein Konto gekapert, denke ich, und gebe meine Mailadresse auf der WebsiteHaveibeenpwned.comein. Dort lässt sich, ebenso wie beim Identity Leak Checker des HPI prüfen, ob die Mailadresse auf einer Liste geklauter Daten auftaucht. Und tatsächlich: Die Adresse meines Postfachs war nach einem Datenleck frei im Netz auffindbar gewesen.
Möglich, dass die Hacker so an meine Mail-Adresse gekommen sind und das Passwort geknackt haben. Und ich muss zugeben: Ich habe auch zu den Menschen gehört, die "simpel statt sicher" unterwegs sind. Mein Passwort war eines aus dem Wörterbuch. Dass ich es groß geschrieben und wegen der Sonderzeichen-Vorgabe vieler Dienste noch mit einem Punkt am Ende versehen habe, stellt Hacker, die Passwörter computergestützt knacken, nicht wirklich vor Probleme.
Kein Postfach mehr
Als nächstes also Anruf bei GMX, wo ich mein E-Mail-Konto habe. Überraschende und ernüchternde Antwort des Sachbearbeiters: Das Konto gibt es gar nicht mehr. Es wurde wohl gelöscht. Gelöscht? Geht das so einfach? Ja, lautet die Antwort. Die Option ist in den Einstellungen zu finden und lautet "Postfach löschen".
Dass Hacker so vorgehen, ist aber eher unüblich, teilt GMX auf Anfrage mit. Denn eigentlich wollen sie ja aus dem gekaperten Postfach Kapital schlagen. Beispielsweise, um sich Zugang zu anderen Plattformen und Diensten zu verschaffen. Das läuft meist so ab, dass sie bei der Anmeldung auf diesen Seiten auf "Passwort vergessen" klicken und sich einen Link zum Zurücksetzen des Passwortes an die E-Mail-Adresse schicken lassen. Danach haben sie Zugang zu der jeweiligen Seite, können etwa auf Kosten ihres Opfers einkaufen oder auch Fake-Profile für anlegen.
Mein Postfach dagegen wurde mit allen darin abgespeicherten Nachrichten unwiederbringlich gelöscht. Und das bringt ganz neue Probleme mit sich. Denn bei möglicherweise weiteren gekaperten Accounts lassen sich die Passwörter nicht ohne weiteres zurücksetzen, wenn die für diesen Zweck hinterlegte E-Mail-Adresse nicht mehr existiert.
Aber ich habe Glück im Unglück: Bei fast allen Online-Konten funktionieren meine Zugangsdaten noch, so dass ich mich dort einloggen und E-Mail-Adresse sowie Passwort ändern kann. So weit waren die Hacker wohl noch nicht gekommen. Schnell gewesen zu sein, war an dieser Stelle meine Rettung.
Das Facebook-Problem
Nur bei Facebook komme ich nicht weiter: Das gewohnte Passwort funktioniert nicht mehr. Und weil mein hinterlegtes GMX-Mail-Postfach nicht mehr existiert, lässt sich das Passwort nicht ändern. Zum Wiederherstellen des Passworts sei der Zugang zum E-Mail-Konto unerlässlich, teilt Facebook auf Anfrage mit.
Es gibt zwar die Optionen, dass Passwort über eine alternative E-Mail-Adresse oder eine Telefonnummer zu ändern. Doch beides habe ich im Facebook-Konto nicht hinterlegt. Und um die alternativen Kontaktinformationen neu hinzufügen, braucht man das Passwort - was ich ja nicht mehr kenne.
Für mich hängt der Account nun gewissermaßen in der Luft. An dieser Stelle erschöpfen sich die Optionen im Facebook-Hilfebereich. Eine Telefon-Hotline mit Mitarbeitern, die in so verzwickten Fällen helfen könnten, wie etwa Paypal oder GMX sie haben, bietet das soziale Netzwerk nicht.
Ein blaues Auge
Dennoch: Alles in allem bin ich aus der Nummer mit einem blauen Auge herausgekommen. Was ich gelernt habe? Zunächst beherzige ich zwei Grundsätze, die ich jahrelang aus Bequemlichkeit und wider besseren Wissens ignoriert habe. Ich nutze nur noch komplizierte,sichere Passwörter. Und ich habe für jedes Online-Konto ein anderes, einzigartiges Passwort.
Passwortmanager-Software hilft hier, den Überblick zu behalten. Ein Zettel tut es aber auch. Ich habe mich für die analoge Variante entschieden: Anhand von Merksätzen habe ich für jeden Account ein neues Passwort gebildet und aufgeschrieben. Klar, es besteht das Restrisiko, dass der Zettel in falsche Hände gerät. Wie beim Daten-Backup ist eine Kopie an einem sicheren Ort eine gute Idee.
Noch eine Erkenntnis: Mit aktivierter Zwei-Faktor-Authentifizierung (2FA) wäre das alles mit sehr großer Wahrscheinlichkeit nicht passiert. 2FA bedeutet, dass bei jedem Log-in neben dem Passwort die Eingabe eines zweiten Codes verlangt wird. Den generiert oftmals - wie etwa auch bei GMX oder Facebook - eine sogenannte OTP-App auf dem Smartphone.
Ohne Zugriff aufs Smartphone kann also niemand das Konto kapern, selbst wenn er oder sie das Passwort hat. Man muss 2FA nur in den Einstellungen des jeweiligen Dienstes einschalten und auf dem Smartphone eine OTP-App wie etwa "FreeOTP" oder "Twilio Authy" installieren.
