BSI hilft: So versuchten die Hacker an meine Daten zu kommen

Kriminelle erbeuten 18 Millionen E-Mail-Passwörter : So versuchten Hacker an meine Daten zu kommen

Die Staatsanwaltschaft Verden hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) 18 Millionen E-Mail-Adressen übergeben, die von Kriminellen gehackt worden sind. Unter den drei Millionen Betroffenen in Deutschland war auch ein RP-Redakteur.

Die E-Mail, die vermeintlich vom Online-Bezahlsystem Paypal, an mich geschickt worden ist, sieht verdächtig aus — und mir dämmert sofort, dass ich eines der drei Millionen deutschen Opfer der E-Mail-Hacker geworden bin.

Dabei gaukeln die Absender der E-Mail vor, Gutes im Sinn zu haben. Sie seien von Paypal und hätten auf meinem Konto eine verdächtige Zahlung erkannt. 98,54 Euro sollen für einen Artikel der Website alles-mit-stecker.de abgebucht worden sein. Die Ware soll zu einem Dennis Strunk nach Schmalkalden geschickt werden.

Schmalkalden kenne ich ebenso wenig wie Dennis Strunk und alles-mit-stecker.de. Sollte ich also schnell den Link in der E-Mail anklicken? "Klicken sie hier um ihre Daten abzugleichen", steht da. Mir fällt auf, dass in dem Satz ein Komma fehlt, und man in der persönlichen Ansprache eigentlich mit "Sie" statt mit "sie" angeschrieben wird. Außerdem verschicken Unternehmen wie Paypal eher selten einen Link, auf den man klicken soll, sondern bitten darum, sich auf deren Seite anzumelden.

Zur Kontrolle bietet sich der Anruf beim Kundenservice an. Keine Wartezeit, direkt gefragt, ob wirklich jemand auf mein Konto zugegriffen hat, gleich die E-Mail vorgelesen — und nach wenigen Sekunden unterbrochen worden. "Löschen Sie diese Mail", sagt die freundlich klingende Frau. "Wir schreiben unsere Kunden direkt mit ihrem Namen an, und nicht mit 'Paypal-Kunde'." Mit meinem Konto sei alles in Ordnung, die E-Mail auf keinen Fall von Paypal.

Nächster Schritt: Testen lassen, ob ich wirklich Opfer der Hacker geworden bin, oder ob der Zufall es so will, dass andere Kriminelle zur gleichen Zeit Schindluder mit meiner E-Mail-Adresse treiben. Phishing-Mails bekommt man ja auch alle paar Monate. Auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (www.sicherheitstest.bsi.de) gebe ich meine E-Mail-Adresse ein, und schon wenige Minuten später werde ich informiert, dass ich eines der weltweit sogar 18 Millionen Opfer bin. Das ist beunruhigend, da das Mail-Passwort das wichtigste ist, weil das Mail-Konto zumeist der Schlüssel zu allen anderen Diensten ist und Authetifizierungsprozesse und Passwort-Vergessen-Abfragen stets über dieses Konto laufen.

Ich ändere direkt alle meine Passwörter — allerdings ist es bei der Flut von Codes, die man im Laufe der Jahre gesammelt, variiert und immer wieder verändert hat, wesentlich mehr Aufwand als ein Anruf beim Kundenservice. Zumal keines der Passwörter exakt gleich ist, sondern sie alle variieren, mit Groß- und Kleinbuchstaben, Zahlenkombinationen und Sonderzeichen hier und da. Wenn man die Phrasen ohnehin, wie empfohlen, alle paar Monate ändert, ist es sogar noch ein bisschen komplizierter.

Immerhin hat diese Vorsicht dazu geführt, dass es recht schwierig ist, mit einem Mal auf alle Daten zuzugreifen. Sicher ist man im Internet aber nie — aber diese Erkenntnis hatte ich auch schon vor dem Hacker-Angriff.

Hier geht es zur Infostrecke: Online-Shopping: Sieben goldene Regeln

(spol)
Mehr von RP ONLINE