Von Tom Nebe

Der Blick auf die Umsätze meines Bankkontos lieferte eine unangenehme Überraschung: Es gab diverse Abbuchungen von meinem Paypal-Account, darunter zehn dubiose Abbuchungen über die krumme Summe von 12,10 Euro. Im Nachhinein betrachtet war diese seltsame Häufung ein Glück, denn eine Einzelbuchung hätte ich wohl nicht weiter beachtet. Die zehn Abbuchungen fielen aber sofort auf: Ich hatte seit Tagen nichts bestellt, und schon gar nicht wiederholt.

Also wollte ich mich bei Paypal einloggen, um die Buchungen zu überprüfen. Doch das funktionierte nicht. Zum Glück ließen sich die Abbuchungen über das Onlinebanking meiner Bank zurückholen. Danach rief ich bei Paypal an und mein Konto wurde gesperrt.

Dass das Problem noch tiefer ging, bemerkte ich erst am nächsten Tag. Meine E-Mail-App auf dem Smartphone verlangte eine Neuanmeldung. Bei der Eingabe des Passworts kam bloß eine Fehlermeldung. Offenbar haben Hacker mein Konto gekapert, dachte ich, und gab meine Mailadresse auf der Website Haveibeenpwned.com ein. Dort lässt sich prüfen, ob die Mailadresse auf einer Liste geklauter Daten auftaucht. Und tatsächlich: Die Adresse meines Postfachs war nach einem Datenleck frei im Netz auffindbar gewesen.

„123456“ seit Jahren Spitzenreiter

Zum Verhängnis ist mir sehr wahrscheinlich eine Mischung aus zwei Nachlässigkeiten geworden. Denn ich habe auch zu den Menschen gehört, die ihre Passwörter nach der Devise „simpel statt sicher“ wählen. Ein verbreitetes Problem, wie die jährliche Passwort-Hitliste des Hasso-Plattner-Instituts (HPI) zeigt: Seit Jahren ist die Zahlenfolge „123456“ Spitzenreiter, im Jahr 2020 gefolgt von „123456789“ auf Platz zwei und „passwort“ auf Platz drei. Die HPI-Auswertung beruht auf Millionen geleakter Zugangsdaten von .de-Mail-Adressen, mit denen das HPI eine Abfragedatenbank namens Identity Leak Checker füllt. Das heißt: Die Daten sind schon irgendwann einmal frei zugänglich im Netz aufgetaucht und kursieren dort womöglich immer noch.

Gut möglich also, dass die Hacker an meine Mailadresse gekommen sind und mein Passwort geknackt haben. Es war eines aus dem Wörterbuch. Dass ich es großgeschrieben und wegen der Sonderzeichen-Vorgabe vieler Dienste noch mit einem Punkt am Ende versehen habe, stellte die Hacker wohl nicht wirklich vor Probleme.

Richtig kritisch wird es, wenn man den zweiten Kardinalfehler begeht und aus Bequemlichkeit überall das gleiche Passwort verwendet. So sind alle Konten in Gefahr, wenn das Passwort geknackt wurde.

E-Mail-Konto gelöscht

Als Nächstes rief ich also bei GMX an, wo ich mein E-Mail-Konto habe. Überraschende und ernüchternde Antwort des Sachbearbeiters: Das Konto gibt es gar nicht mehr. Es wurde wohl gelöscht. Dass Hacker so vorgehen, ist aber eher unüblich, teilt GMX auf Anfrage mit. Denn eigentlich wollen sie ja aus dem gekaperten Postfach Kapital schlagen, sich beispielsweise Zugang zu anderen Plattformen und Diensten verschaffen.

Das läuft meist so ab, dass sie bei der Anmeldung auf diesen Seiten auf „Passwort vergessen“ klicken und sich einen Link zum Zurücksetzen des Passwortes an die E-Mail-Adresse schicken lassen. Danach haben sie Zugang zu der jeweiligen Seite, können etwa auf Kosten ihres Opfers einkaufen oder auch Fake-Profile anlegen.

Mein Postfach dagegen wurde mit allen darin abgespeicherten Nachrichten unwiederbringlich gelöscht – und das brachte ganz neue Probleme mit sich. Denn bei möglicherweise weiteren gekaperten Accounts lassen sich die Passwörter nicht ohne Weiteres zurücksetzen, wenn die für diesen Zweck hinterlegte E-Mail-Adresse nicht mehr existiert.

Nur bei Facebook ging nichts mehr

Aber ich hatte Glück im Unglück: Bei fast allen Onlinekonten funktionierten meine Zugangsdaten noch, sodass ich mich dort einloggen und E-Mail-Adresse sowie Passwort ändern konnte. So weit waren die Hacker wohl noch nicht gekommen. Schnell gewesen zu sein, war an dieser Stelle meine Rettung.

Nur bei Facebook kam ich nicht weiter: Das gewohnte Passwort funktionierte nicht mehr. Und weil mein hinterlegtes GMX-Mail-Postfach nicht mehr existierte, ließ sich das Passwort nicht ändern. Zum Wiederherstellen des Passwortes sei der Zugang zum E-Mail-Konto unerlässlich, teilte Facebook auf Anfrage mit.

Es gibt zwar die Optionen, das Passwort über eine alternative E-Mail-Adresse oder eine Telefonnummer zu ändern. Doch beides habe ich im Facebook-Konto nicht hinterlegt. Und um die alternativen Kontaktinformationen neu hinzufügen, braucht man das Passwort.

Für mich hängt der Account nun gewissermaßen in der Luft. An dieser Stelle erschöpfen sich die Optionen im Facebook-Hilfebereich. Eine Telefonhotline mit Mitarbeitern, die in so verzwickten Fällen helfen könnten, wie etwa Paypal oder GMX sie haben, bietet das soziale Netzwerk nicht.

Für jedes Onlinekonto ein eigenes Passwort

Dennoch: Alles in allem bin ich aus der Nummer mit einem blauen Auge herausgekommen. Was ich gelernt habe? Zunächst beherzige ich zwei Grundsätze, die ich jahrelang aus Bequemlichkeit und wider besseren Wissens ignoriert habe. Ich nutze nur noch komplizierte, sichere Passwörter. Und ich habe für jedes Onlinekonto ein anderes, einzigartiges Passwort.

Passwortmanager-Software hilft hier, den Überblick zu behalten. Ein Zettel tut es aber auch. Ich habe mich für die analoge Variante entschieden: Anhand von Merksätzen habe ich für jeden Account ein neues Passwort gebildet und aufgeschrieben. Klar, es besteht das Restrisiko, dass der Zettel in falsche Hände gerät. Wie beim Daten-Back-up ist eine Kopie an einem sicheren Ort eine gute Idee.

Noch eine Erkenntnis: Mit aktivierter Zwei-Faktor-Authentifizierung (2FA) wäre das alles mit sehr großer Wahrscheinlichkeit nicht passiert. 2FA bedeutet, dass bei jedem Log-in neben dem Passwort die Eingabe eines zweiten Codes verlangt wird. Den generiert oftmals, wie etwa auch bei GMX oder Facebook, eine sogenannte OTP-App auf dem Smartphone.

Ohne Zugriff aufs Smartphone kann also niemand das Konto kapern, selbst wenn er oder sie das Passwort hat. Man muss 2FA nur in den Einstellungen des jeweiligen Dienstes einschalten und auf dem Smartphone eine OTP-App wie etwa FreeOTP oder Twilio Authy installieren. (dpa)