Wenn man das Thema Online-Betrug und Identitätsdiebstahl hört, wird einem in der Regel ziemlich mulmig zumute. Vielleicht hat man schon Geschichten von Freunden und Bekannten gehört oder in den Nachrichten gelesen. Gleichzeitig denkt man sich „mich wird es schon nicht treffen“. Dabei ist genau das gar nicht so unwahrscheinlich.
Sie kennen bestimmt die Beispiele aus den Nachrichten, in denen in die Server großer Internet-Konzernen wie Twitter, LinkedIn, Adobe, Yahoo usw. eingebrochen wurde . Dabei wurden Millionenweise Passwörter erbeutet, eventuell war auch Ihr Benutzerkonto dabei. Nehmen wir für einen Moment an, dass Sie von Online-Betrügern als lohnendes Ziel auserwählt wurden. Was werden diese tun? Als erstes natürlich sämtliche Informationen über Sie auswerten, die sich in Ihrem Profil finden lassen: weitere Email-Adressen und Kontaktdaten, Ihren Werdegang, Ihre Geschäftskontakte, Nachrichten usw.
Der nächste Schritt ist aber in der Regel, sich Zugriff auf Ihr Email-Konto zu verschaffen, denn dort laufen alle Fäden zusammen. Zum Glück haben Sie hier ein anderes Passwort gewählt als für LinkedIn, denn das haben Sie irgendwo einmal als sinnvolle Präventivmaßnahme gelesen. Um sich jedoch kein komplett neues Passwort merken zu müssen, haben Sie an das LinkedIn-Passwort zur Sicherheit noch Ihr Geburtsdatum und den Namen Ihrer Ehefrau angehängt. Klingt erst einmal nach einer guten Idee: sicheres LinkedIn-Kennwort plus geheime persönliche Daten, die Sie sich leicht merken können.
Zugriff auf das Email-Konto
Ärgerlich ist nur, dass Ihre Freunde vorgestern reihenweise in Ihr Facebook-Profil „Alles Gute zum 30. !“ gepostet haben und dass unter einem der Posts auch „Deine liebe Ehefrau“ steht.
Eine schockierende Nachricht in diesem Zusammenhang: Chinesische und britische Forscher haben in einer gemeinsamen Studie Methoden entwickelt, um aus gewonnenen „Schwester-Passwörtern“ in Kombination mit persönlichen Daten mit hoher Treffsicherheit Passwörter für weitere Dienste zu errechnen. Die Erfolgsquote von über 73% bei „normalen“ Anwendern und 32% bei Sicherheits-orientierten Anwendern ist erschreckend hoch.
So, nun haben die Ganoven also Ihr Email-Passwort. Was tun sie?
Haben Sie schon einmal für einen Online-Dienst Ihr Passwort vergessen und sich das Passwort per Email zurücksetzen lassen? Genau das tun sie. Mit Zugriff auf Ihr Email-Konto können sich die Betrüger ganz leicht Zugang zu Ihren weiteren Online-Konten verschaffen. Das „Schöne“ an der Methode: Sie als Opfer bekommen zwar eine Email über den erfolgten Passwort-Reset, aber mit Zugriff auf Ihr Konto können die digitalen Bösewichte diese Email unmittelbar wieder löschen, sodass Sie nichts davon mitbekommen.
Zugriff auf meine weiteren Konten
Nicht nur dass sich Ihre Profile in sozialen Medien wie Facebook, Twitter usw. auf diese Weise zurücksetzen lassen – schlimm genug, dass man nun in Ihrem Namen Posts erstellen oder lesen kann. Nein, auch bei Online-Händlern wie Amazon, Ebay usw. können sich die Betrüger neue Passwörter erzeugen lassen. Und was das heißt, können Sie sich vorstellen: freie Auswahl, vollkommen kostenlos für die Diebe – natürlich inklusive Änderung der Lieferadresse.
Das Konzept lässt sich auch noch erweitern, wenn Sie einen PayPal-Account besitzen, in dem Ihre Kontonummer oder Kreditkarte gespeichert ist. Kennen Sie die PayPal-Funktion „Geld an Freunde oder Familie senden“? Dieses Geld wird von Ihrem Konto oder der Kreditkarte genommen und wird mit Sicherheit nicht an Ihre Freunde gesendet.
Und wenn man gerade dabei ist, kann man sich auch noch Zugriff auf Ihre persönlichen Fotos, Daten oder sonstigen Dateien usw. verschaffen, die Sie in der Apple iCloud oder Telekom, Unitymedia oder sonstigen Online-Cloud abgelegt haben. Die Konsequenzen können verheerende Ausmaße annehmen.
Zu guter Letzt könnte das Szenario auch noch weiter gehen und sich sogar auf Ihren Arbeitsplatz erstrecken, wenn Sie dort ein ähnliches „Schwester-Passwort“ einsetzen.
Die Folgen
Nun können Sie natürlich sagen „Diese ganzen Bestellungen und Transaktionen habe ich ja gar nicht begangen“ und bei der örtlichen Polizei Anzeige erstatten, was Sie auch unbedingt tun sollten.
Allerdings ist dann das Kind schon in den Brunnen gefallen und es sind bis dahin sicherlich schon hohe Summen zusammen gekommen, möglicherweise wurden die Rechnungen für die bestellte Ware auch nicht bezahlt, weil das Konto irgendwann nicht mehr hergab. Als Folge steht vor Ihrer Tür der Gerichtsvollzieher oder das Inkasso-Unternehmen, Ihre Kreditkarte wird gesperrt. Ihre privaten Fotos tauchen im Internet auf, die Konten sind leer geräumt, Ihr Chef steht auf der Matte, weil sich Unbekannte Zugang zu Ihrem Firmen-Account verschafft haben.
Dieses Schreckensszenario und den damit verbundenen Aufwand sollten Sie unbedingt vermeiden.
Unterschiedliche Passwörter für unterschiedliche Dienste!
Auch wenn Sie es vielleicht schon zu oft gehört haben – wählen Sie sichere Passwörter, wechseln Sie diese regelmäßig und nehmen Sie vor allem unterschiedliche Passwörter für unterschiedliche Dienste. Ja, das ist Arbeit. Aber die Arbeit, die Sie unfreiwillig am Hals haben, wenn Ihre Online-Konten missbraucht wurden, ist weit höher. Und weitaus unangenehmer.
Sie haben im obigen Beispiel gesehen, dass das Email-Konto in der Regel der zentrale Dreh- und Angelpunkt für viele Dienste ist. Achten Sie unbedingt darauf, hier etwas Sicheres zu verwenden.
Unser S3curity-T1pp
Sicher bedeutet: keine Namen, keine persönlichen Daten, keine Phrasen, Orte oder Wörter aus dem Wörterbuch.
Optimal und leicht zu merken sind Sätze, aus denen Sie ein Passwort mit mindestens 14 Zeichen bilden. Wie wäre es also mit OulzmsS,adSePmm14Zb ? Gar nicht so schwer, oder? Aber ziemlich sicher.
Außerdem könnten Sie sich angewöhnen, für besonders kritische Dienste eine andere Email-Adresse zu verwenden, die die Betrüger nicht direkt erraten oder erschließen können.
Ein ganz anderes ziemlich effizientes Hilfsmittel sind Passwort-Manager, die es für die unterschiedlichen Betriebssysteme oder Plattformen gibt, wie beispielsweise KeePass, LastPass oder 1Password. Diese sind nicht nur in der Lage, für jeden Ihrer Dienste ein eigenes (zufällig generiertes !) Passwort zu vergeben, sondern tippen dieses auch noch bequem für Sie in den Browser ein, wenn Sie sich anmelden möchten. Die Passwörter werden verschlüsselt abgelegt, und der Zugriff ist nur über ein Passwort möglich. AdSd,ahegPmm16Zzv,udSsazs!
Dipl.-Inf. Max Ziegler, Leiter der Skytale Online Akademie für IT-Sicherheit
Die Skytale Online Akademie für IT-Sicherheit bietet Kurse zur Mitarbeitersensibilisierung, zum sicheren Umgang mit dem Internet sowie zur Absicherung von Web-Applikationen und Systemen an. Skytale ist eine Marke der Audiocation GmbH und das Qualitätsmanagement ist nach DIN EN ISO 9001 zertifiziert. Die Kurse der Online-Akademie werden zugelassen von der Staatlichen Zentralstelle für Fernunterricht (ZFU) und nach der Akkreditierungs- und Zulassungsverordnung Arbeitsförderung (AZAV). Dadurch können die Kursteilnehmer durch unterschiedlichste Maßnahmen öffentlicher Träger wie der Bundesagentur für Arbeit gefördert und finanziell unterstützt werden.