merken
PLUS Leben und Stil

Plötzlich alle Konten gesperrt

Bei Passwörtern gibt es zwei Kardinalfehler. Die Folgen können verheerend sein, wie dieser Leidensbericht zeigt.

Ich komm' nicht mehr rein, nirgendwo: Wer das einmal erlebt hat, nutzt nie wieder schwache Passwörter.
Ich komm' nicht mehr rein, nirgendwo: Wer das einmal erlebt hat, nutzt nie wieder schwache Passwörter. © Thomas Geiger/dpa

Von Tom Nebe

Der Blick auf die Umsätze meines Bankkontos lieferte eine unangenehme Überraschung: Es gab diverse Abbuchungen von meinem Paypal-Account, darunter zehn dubiose Abbuchungen über die krumme Summe von 12,10 Euro. Im Nachhinein betrachtet war diese seltsame Häufung ein Glück, denn eine Einzelbuchung hätte ich wohl nicht weiter beachtet. Die zehn Abbuchungen fielen aber sofort auf: Ich hatte seit Tagen nichts bestellt, und schon gar nicht wiederholt.

Familie und Kinder
Familienzeit auf sächsische.de
Familienzeit auf sächsische.de

Sie suchen eine Freizeitplanung oder Erziehungsrat? Wir unterstützen Sie mit Neuigkeiten sowie Tipps und Tricks Ihren Familienalltag zu versüßen.

Also wollte ich mich bei Paypal einloggen, um die Buchungen zu überprüfen. Doch das funktionierte nicht. Zum Glück ließen sich die Abbuchungen über das Onlinebanking meiner Bank zurückholen. Danach rief ich bei Paypal an und mein Konto wurde gesperrt.

Dass das Problem noch tiefer ging, bemerkte ich erst am nächsten Tag. Meine E-Mail-App auf dem Smartphone verlangte eine Neuanmeldung. Bei der Eingabe des Passworts kam bloß eine Fehlermeldung. Offenbar haben Hacker mein Konto gekapert, dachte ich, und gab meine Mailadresse auf der Website Haveibeenpwned.com ein. Dort lässt sich prüfen, ob die Mailadresse auf einer Liste geklauter Daten auftaucht. Und tatsächlich: Die Adresse meines Postfachs war nach einem Datenleck frei im Netz auffindbar gewesen.

„123456“ seit Jahren Spitzenreiter

Zum Verhängnis ist mir sehr wahrscheinlich eine Mischung aus zwei Nachlässigkeiten geworden. Denn ich habe auch zu den Menschen gehört, die ihre Passwörter nach der Devise „simpel statt sicher“ wählen. Ein verbreitetes Problem, wie die jährliche Passwort-Hitliste des Hasso-Plattner-Instituts (HPI) zeigt: Seit Jahren ist die Zahlenfolge „123456“ Spitzenreiter, im Jahr 2020 gefolgt von „123456789“ auf Platz zwei und „passwort“ auf Platz drei. Die HPI-Auswertung beruht auf Millionen geleakter Zugangsdaten von .de-Mail-Adressen, mit denen das HPI eine Abfragedatenbank namens Identity Leak Checker füllt. Das heißt: Die Daten sind schon irgendwann einmal frei zugänglich im Netz aufgetaucht und kursieren dort womöglich immer noch.

Gut möglich also, dass die Hacker an meine Mailadresse gekommen sind und mein Passwort geknackt haben. Es war eines aus dem Wörterbuch. Dass ich es großgeschrieben und wegen der Sonderzeichen-Vorgabe vieler Dienste noch mit einem Punkt am Ende versehen habe, stellte die Hacker wohl nicht wirklich vor Probleme.

Richtig kritisch wird es, wenn man den zweiten Kardinalfehler begeht und aus Bequemlichkeit überall das gleiche Passwort verwendet. So sind alle Konten in Gefahr, wenn das Passwort geknackt wurde.

E-Mail-Konto gelöscht

Als Nächstes rief ich also bei GMX an, wo ich mein E-Mail-Konto habe. Überraschende und ernüchternde Antwort des Sachbearbeiters: Das Konto gibt es gar nicht mehr. Es wurde wohl gelöscht. Dass Hacker so vorgehen, ist aber eher unüblich, teilt GMX auf Anfrage mit. Denn eigentlich wollen sie ja aus dem gekaperten Postfach Kapital schlagen, sich beispielsweise Zugang zu anderen Plattformen und Diensten verschaffen.

Das läuft meist so ab, dass sie bei der Anmeldung auf diesen Seiten auf „Passwort vergessen“ klicken und sich einen Link zum Zurücksetzen des Passwortes an die E-Mail-Adresse schicken lassen. Danach haben sie Zugang zu der jeweiligen Seite, können etwa auf Kosten ihres Opfers einkaufen oder auch Fake-Profile anlegen.

Mein Postfach dagegen wurde mit allen darin abgespeicherten Nachrichten unwiederbringlich gelöscht – und das brachte ganz neue Probleme mit sich. Denn bei möglicherweise weiteren gekaperten Accounts lassen sich die Passwörter nicht ohne Weiteres zurücksetzen, wenn die für diesen Zweck hinterlegte E-Mail-Adresse nicht mehr existiert.

Nur bei Facebook ging nichts mehr

Aber ich hatte Glück im Unglück: Bei fast allen Onlinekonten funktionierten meine Zugangsdaten noch, sodass ich mich dort einloggen und E-Mail-Adresse sowie Passwort ändern konnte. So weit waren die Hacker wohl noch nicht gekommen. Schnell gewesen zu sein, war an dieser Stelle meine Rettung.

Nur bei Facebook kam ich nicht weiter: Das gewohnte Passwort funktionierte nicht mehr. Und weil mein hinterlegtes GMX-Mail-Postfach nicht mehr existierte, ließ sich das Passwort nicht ändern. Zum Wiederherstellen des Passwortes sei der Zugang zum E-Mail-Konto unerlässlich, teilte Facebook auf Anfrage mit.

Es gibt zwar die Optionen, das Passwort über eine alternative E-Mail-Adresse oder eine Telefonnummer zu ändern. Doch beides habe ich im Facebook-Konto nicht hinterlegt. Und um die alternativen Kontaktinformationen neu hinzufügen, braucht man das Passwort.

Für mich hängt der Account nun gewissermaßen in der Luft. An dieser Stelle erschöpfen sich die Optionen im Facebook-Hilfebereich. Eine Telefonhotline mit Mitarbeitern, die in so verzwickten Fällen helfen könnten, wie etwa Paypal oder GMX sie haben, bietet das soziale Netzwerk nicht.

Für jedes Onlinekonto ein eigenes Passwort

Dennoch: Alles in allem bin ich aus der Nummer mit einem blauen Auge herausgekommen. Was ich gelernt habe? Zunächst beherzige ich zwei Grundsätze, die ich jahrelang aus Bequemlichkeit und wider besseren Wissens ignoriert habe. Ich nutze nur noch komplizierte, sichere Passwörter. Und ich habe für jedes Onlinekonto ein anderes, einzigartiges Passwort.

Passwortmanager-Software hilft hier, den Überblick zu behalten. Ein Zettel tut es aber auch. Ich habe mich für die analoge Variante entschieden: Anhand von Merksätzen habe ich für jeden Account ein neues Passwort gebildet und aufgeschrieben. Klar, es besteht das Restrisiko, dass der Zettel in falsche Hände gerät. Wie beim Daten-Back-up ist eine Kopie an einem sicheren Ort eine gute Idee.

Noch eine Erkenntnis: Mit aktivierter Zwei-Faktor-Authentifizierung (2FA) wäre das alles mit sehr großer Wahrscheinlichkeit nicht passiert. 2FA bedeutet, dass bei jedem Log-in neben dem Passwort die Eingabe eines zweiten Codes verlangt wird. Den generiert oftmals, wie etwa auch bei GMX oder Facebook, eine sogenannte OTP-App auf dem Smartphone.

Weiterführende Artikel

Mehr Schutz vor Anmache im Netz

Mehr Schutz vor Anmache im Netz

Mädchen und Jungen werden im Internet immer häufiger mit intimen Fragen konfrontiert. Eine Initiative fordert ein neues Jugendschutzgesetz.

„Auf Ihrem Computer ist ein Virus“

„Auf Ihrem Computer ist ein Virus“

Mit der Microsoft-Support-Masche gelingt es Betrügern immer wieder, Sachsen abzuzocken. Bei mir haben sie es auch versucht. Ein Erfahrungsbericht.

Dresdner gibt Betrügern Bankdaten

Dresdner gibt Betrügern Bankdaten

Die Täter versuchten den Microsoft-Trick am Telefon. Erst in letzter Sekunde begriff der Mann, mit wem er es zu tun hatte.

Spektakulär erfolgreiche Betrugs-Masche

Spektakulär erfolgreiche Betrugs-Masche

In zwei Fällen gehen Telefon-Betrüger gegen Opfer aus Dresden mit demselben Trick vor - und haben damit zunächst Glück.

Ohne Zugriff aufs Smartphone kann also niemand das Konto kapern, selbst wenn er oder sie das Passwort hat. Man muss 2FA nur in den Einstellungen des jeweiligen Dienstes einschalten und auf dem Smartphone eine OTP-App wie etwa FreeOTP oder Twilio Authy installieren. (dpa)

Der Weg zum sicheren Passwort:

Kauderwelsch statt Wörterbuch, Sprünge auf der Tastatur statt einfacher Zeichenfolgen: So lässt sich der Weg zum sicheren Passwort zusammenfassen. Das Bundesamt für Sicherheit in der Informationstechnik rät zu starken Passwörtern mit mindestens acht, das Hasso-Plattner-Institut (HPI) sogar zu wenigstens 15 Zeichen.

Dabei gilt: Alle Zeichenklassen verwenden, also Groß- wie Kleinbuchstaben, Zahlen und Sonderzeichen. Beim Erstellen und Merken des schwer knackbaren Kauderwelschs helfen Merksätze, bei denen sich aus den Anfangsbuchstaben der Wörter sowie aus den enthaltenen Zahlen und Zeichen das Passwort bildet. Beispiel: „Ich habe eine Wohnung mit drei Zimmern und einem Balkon.“ Das ergibt: IheWm3Z&eB.

Wer sich nicht ständig sichere Passwörter ausdenken möchte oder sie nicht alle behalten kann, greift zu einem Passwortmanager. Die Programme und Apps erstellen automatisch starke wie sichere Passwörter für beliebig viele Konten und speichern sie. Hier muss man sich nur ein Masterpasswort für den Zugang merken. Das sollte selbstredend besonders sicher sein. (dpa)

1 / 3

Mehr zum Thema Leben und Stil