Die Stimme von Manfreds altem Kumpel klingt aufrichtig besorgt, als er am Telefon sagt: „Klar kann ich dir Geld schicken. Wie schlimm ist es denn?“ Manfred Groß (Name von der Redaktion geändert) wundert sich über das Angebot, denn er hatte keine Bitte geäußert. Im Gespräch stellt sich heraus: Der Freund hat eine Mail von Manfred Groß bekommen mit dem Wunsch, ihm 500 Euro nach Zypern zu überweisen. Er sei dort im Urlaub überfallen worden und bräuchte nun dringend Geld. Und wie sich weiter herausstellt, hat nicht nur dieser Freund die Mail mit der Bitte um Geld bekommen, sondern alle Kontakte aus dem Adressbuch seines Mailkontos. Ein Freund hat auch schon Geld geschickt. Per Bargeld-Service nach Zypern. Natürlich hat das Geld nicht Manfred Groß bekommen, der zu der Zeit in München war, sondern der Hacker, der sein Mailkonto übernommen hat.
Dieser Fall zeigt deutlich, dass das Knacken des Mailkontos durch Kriminelle dramatische Folgen haben kann. Das Ganze ist deshalb so schlimm, weil extrem viel an einem Mailkonto hängt. Es ist damit nicht nur ein Trickbetrug wie bei Manfred Groß möglich. Wenn ein Hacker Zugang zu einem Mailpostfach hat, kann er damit auch fast jedes andere Online-Konto des Opfers übernehmen – beispielsweise bei Online-Shops, Facebook und Ebay. Denn die Kriminellen müssen bei den Diensten nur die Funktion „Ich habe mein Passwort vergessen“ nutzen. Bei Online-Shops können die Hacker dann fröhlich teuerste Waren bestellen und an eine Tarnadresse senden lassen. Der Log-in in diese Shops genügt den Dieben. Sie benötigen weiter keine Kreditkarte oder Bankverbindung des Opfers. Sie geben einfach die Nummer einer gestohlenen Karte an. Die Kosten der Bestellung bleiben dabei trotzdem bei dem Opfer hängen, dessen Identität genutzt wurde.
So kommen die Hacker an den Log-in zu Ihrem Mailkonto
Die Angreifer haben drei Methoden, um an die Log-in-Daten von Mailpostfächern zu kommen: durch Diebstahl von einem Server, per Phishing und über PC-Viren.Ein Großteil der Passwörter sind in den letzten drei Jahren von Internetservern gestohlen worden. Die Angreifer erbeuten etwa die Log-in-Daten eines großen Forums, bei denen der Benutzername für den Log-in identisch mit einer Mailadresse ist. Verwendet ein Opfer nun für den Log-in zu seinem Mailpostfach dasselbe Passwort wie für das Forum, kennen die Angreifer nun auch diesen Log-in. Im Jahr 2011 konnten Datendiebe etwa beim Elektronikriesen Sony einbrechen und rund 160 Millionen Kundendaten erbeuten. Vergangenen Herbst hackten sich Kriminelle bei Adobe ein und stahlen mindestens 38 Millionen Mailadressen inklusive Passwörter.
Bei einem Phishing-Angriff senden die Angreifer meist gefälschte Mails, die Ihnen Ihre Anmeldedaten entlocken sollen. Die meisten dieser Angriffe zielen allerdings nicht auf Mailkonten, sondern auf Dienste, aus denen sich unmittelbar ein finanzieller Vorteil schlagen lässt, also etwa Paypal, Kreditkartennummer und Ähnliches.
Auch PC-Viren, sogenannte Password Stealer, werden für den Diebstahl des Mailzugangs genutzt. Sie klauen alle sensiblen Daten des PCs und senden sie an den Kriminellen.
Test: Ist Ihr Mail-Log-in bereits gestohlen?
Im schlimmsten Fall werden Sie Opfer eines Trickbetrugs wie Manfred Groß, oder die Diebe kaufen auf Ihre Rechnung ein – und Sie bleiben auf den Kosten sitzen. In weniger dramatischen Fällen wird Ihr Postfach zum Versand von Spam-Nachrichten missbraucht oder die Diebe nutzen die Mailadresse, um Ihre Konten in sozialen Netzen zu übernehmen. Unter Umständen bemerken Sie den Betrug zunächst gar nicht. Deshalb empfiehlt es sich, von Zeit zu Zeit einen Test zu machen, ob die eigene Mailadresse bereits in Untergrundforen kursiert. Dafür gibt es drei empfehlenswerte und sichere Testdatenbanken:
Die Testseite vom BSI finden Sie unter www.sicherheitstest.bsi.de , eine Testseite vom Hasso-Plattner-Institut gibt’s über www.pcwelt.de/kwas und schließlich lohnt sich noch ein Check bei https://shouldichangemypassword.com .
In allen drei Fällen geben Sie Ihre Mailadresse ein, da diese typischerweise als Benutzernamen für Log-ins dient. Sollte diese bereits in den Untergrundforen aufgetaucht sein, erhalten Sie eine Warnung, entweder sofort oder per Mail. Von welcher Website die Mailadresse gestohlen wurde, erfahren Sie in der Regel leider nicht. Sie müssen also alle Passwörter ändern, die zusammen mit der Mailadresse als Log-in dienen.
Mailkonto entführt: Das müssen Sie jetzt tun
Wenn ein Krimineller nicht nur Ihre Log-in-Daten gestohlen, sondern mit Ihrer Identität bereits finanziellen Schaden angerichtet hat, sollten Sie eine Anzeige erstatten. Ist das glücklicherweise nicht der Fall, können Sie die Punkte 2 und 8 überspringen.
Für Eilige: Am Ende dieser Seite finden Sie die nötigen Schritte kurz und knapp zusammengefasst.
Schritt 1: Ändern Sie als Sofortmaßnahme umgehend Ihr Mail-Passwort
Verhindern Sie als Erstes, dass die Kriminellen weiterhin mit Ihrem Namen und Ihrer Mailadresse Nachrichten senden. Ändern Sie dafür das Passwort der Mailadresse. Das geht nicht, wie manche Nutzer denken, im Mailprogramm, sondern zunächst nur online bei Ihrem Mailprovider, ganz gleich, ob das GMX, Gmail, Outlook.com (ehemals Hotmail) oder 1und1 ist. Loggen Sie sich auf der Website des Providers mit Ihrem Benutzernamen (Mailadresse) und Passwort ein. Das Passwort können Sie in der Regel unter „Einstellungen“ ändern.
Diese sofortige Änderung des Passworts ist eine Erste-Hilfe-Maßnahme. Sollten die Kriminellen über einen Spionagevirus auf Ihrem PC an Ihre Log-in-Daten gekommen sein, dann können sie auf diesem Weg auch das geänderte Passwort auslesen. Sie haben also nur etwas Zeit gewonnen. Aber immerhin das. Wer ein Smartphone oder Tablet besitzt, kann die Passwortänderung auch von dort aus vornehmen. Dann bekommt das ein möglicher Spionagevirus nicht mit.
Hat der Passwortdieb das Kennwort zu Ihrem Mailpostfach selber geändert, sind Sie zunächst ausgeschlossen. Nutzen Sie dann die Passwort-Vergessen-Funktion auf der Website Ihres Mailprovider. Abhängig davon, wie viele Informationen Sie über sich bei dem Provider hinterlegt haben, etwa die Handy-Nummer, funktioniert das erstaunlich gut. Bei einem Test mit dem Provider Gmail bekamen wir sogar ein Passwort-Reset, obwohl wir keinerlei Zusatzinfos in dem Konto hinterlegt hatten. Wir mussten dafür rund zehn Fragen zum Postfach beantworten. So sollten wir etwa vier Mailadressen nennen, die in dem Postfach genutzt wurden, wann wir zum letzten Mal eingeloggt waren und wann wir das Konto erstellt hatten. Zuletzt war die Funktion davon überzeugt, dass wir die legitimen Nutzer sind.
Beim Zurücksetzen des Passworts werden Sie über kurz oder lang bei allen Mailkonten erfolgreich sein, mit dessen Anbietern Sie einen kostenpflichtigen Vertrag abgeschlossen haben. Sind Sie zum Beispiel mit Ihrem DSL-Vertrag Kunde bei der Telekom und nutzen als Mailadresse @t-online.de, werden Sie sich gegenüber der Telekom meist leicht mit Ihrem generellen Zugangspasswort legitimieren können, jedenfalls aber sind Sie mit Ihrer postalischen Meldeadresse erkennbar. Ähnliches gilt für Domain-Anbieter wie 1und1 oder Strato. Diesen Anbietern ist ebenfalls Ihre Postadresse und meist Ihre Bankverbindung bekannt – also Fakten, die Sie leicht belegen können.
Wichtig: Löschen Sie nicht einfach Ihre Mailadresse! Denn hat der Kriminelle etwa in Ihrem Namen und über Ihre Mailadresse Waren bestellt, dann können Sie sich gegenüber diesen Firmen viel einfacher erklären, wenn Sie noch oder wieder Herr über Ihre Mailadresse sind. Haben Sie keinen Zugriff mehr auf das Mailkonto, sind Sie etwa beim Telefonsupport eines Händlers zunächst einmal nur ein sich beschwerender Kunde, der sich nicht so einfach identifizieren lässt.
Schritt 2: Anzeige erstatten
Ist Ihnen ein finanzieller Schaden entstanden, erstatten Sie bei der Polizei eine Anzeige gegen unbekannt. So können Sie sich später besser gegen Rechnungen wehren, die die Diebe in Ihrem Namen verursacht haben. Da der Identitätsdiebstahl durch einen Virus auf Ihrem PC geschehen sein kann, ist Ihr Rechner ein mögliches Beweisstück. Ob die Dienststelle Ihren PC als Beweisstück analysieren wird, lässt sich nicht generell vorhersagen.
Schritt: 3 Beweissicherung
Sollte Ihre Dienststelle bei der Anzeige eine PC-Analyse nicht für nötig halten, bleiben immer noch Alternativen. Möglich ist etwa die forensische Untersuchung des Rechners durch Spezialisten. Beispielsweise bietet die Firma Kroll Ontrack (www.krollontrack.de) diesen Dienst. Doch für Privatanwender lohnt sich das aus wirtschaftlichen Gesichtspunkten meist nicht, da die Kosten für die Untersuchung hoch sind und der Nutzen nicht garantiert ist.
Sie selber können aber zumindest ein Image, also ein exaktes Abbild Ihrer Festplatte, erstellen. Das geht entweder mit dem kostenpflichtigen Programm True Image 2014 , das sogar sektorgenaue Abbilder speichert, oder gratis mit dem Tool Macrium Reflect Free . Mit dem Image können Sie später zu Rekonstruktionszwecken den aktuellen Zustand wiederherstellen.
Schritt 4: Virensuche
Sie sollten Ihren Rechner nun mit einer startfähigen Antiviren-DVD scannen. Das geht etwa mit der bootfähigen PC-WELT Notfall-DVD . Eine Anleitung zur Virensuche mit der DVD finden Sie unter www.pcwelt.de/fkp5 . Alternativ oder auch zusätzlich ist ein Scan mit einem Online-Scanner möglich. Allerdings ist das nicht ganz so gründlich wie der Check mit der DVD. Empfehlenswert ist etwa der Online-Scanner von Bitdefender unter https://quickscan.bitdefender.com . Am zuverlässigsten beseitigen Sie Viren allerdings mit einer Neuinstallation von Windows.
Schritt 5: Kontrollieren Sie die angegebenen Daten in Ihrem Mailkonto
Der Dieb, der sich in Ihr Mailpostfach gehackt hat, kann dort wichtige Profilinformationen auf sich selber ummünzen. Sein Ziel dabei wäre, dass er später selber die Passwort-Vergessen-Funktion nutzen kann, nachdem Sie ihm Ihr Konto wieder weggenommen haben. So kann er eine neue Ersatzmailadresse hinterlegen, neue Sicherheitsfragen erstellen und eine gestohlene Handy-Nummer angeben. Kontrollieren Sie also in Ihrem Mailkonto alle Daten unter den Menüpunkten Einstellungen, Profil und Sicherheit (oder ähnlich lautend). Zum Glück werden meisten Kriminellen nicht so viel Aufwand betreiben.
Wenn Sie sicher sind, dass keine fremden Informationen in Ihrem Konto stecken, ergänzen Sie bei Bedarf Ihre eigenen. Vor allem eine Ersatzmailadresse hilft, um sich selber wieder Zugang seinem Postfach zu verschaffen. Aber auch eine Handynummer und die Angaben zu Sicherheitsfragen, deren Antworten am besten nur Sie kennen, sind sinnvolle Infos für das Mailprofil.
Schritt 6: Ändern Sie Ihr Passwort für das Mailkonto erneut
Jetzt, da Sie sicher wissen, dass Ihr PC frei von Spionageviren ist und dass auch das Mailkonto keine Hintertür hat, können Sie das Passwort ändern. Denn nun müssen Sie nicht mehr fürchten, dass ein PC-Schädling auch das neue Passwort stehlen kann.
Schritt 7: Passwörter für alle wichtigen Online-Konten ändern
Ändern Sie die Passwörter aller wichtigen Log-ins, also die zu Online-Shops, Finanzdienstleistern und sozialen Netzen. Möglicherweise hat sich der Angreifer Ihre Log-ins zu diesen Zugängen schon geholt, aber bisher noch nicht für seine Zwecke missbraucht.
Schritt 8: Kontaktieren Sie bei einem finanziellen Schaden einen Rechtsanwalt
Falls Ihnen ein finanzieller Schaden entstanden ist, sollten Sie sich Rat bei einem Rechtsanwalt holen. Denn die betrogenen Online-Shops können recht massiv werden bei dem verständlichen Wunsch, Geld für ihre Ware zu erhalten.
Schritt: 9 Ändern Sie wichtige Passwörter routinemäßig
Damit Sie sich die vielen verschiedenen und komplizierten Passworte für Ihre Log-ins merken können, sollten Sie einen Passwortmanager nutzen. Er hilft Ihnen beim Erstellen eines komplizierten und langen Passworts und merkt sich diese auch gleich für Sie. Beim Log-in auf Websites kann ein guter Passwortmanager die Daten auch einfügen. Einige Passwortmanager erinnern Sie auch an das regelmäßige Ändern Ihrer Log-in-Kennworte. Ein empfehlenswerter kostenloser Online-Passwortmanager ist Lastpass . Die dazugehörige kostenpflichtige Android-App kann Passwörter sogar in Apps einfügen. Eine gute Offline-Alternative ist das Open-Source-Programm Keepass .
Übrigens: Bei der Länge eines Passwortes sollten Sie nicht kleinlich sein. Sechzehn Zeichen oder mehr sollten es schon sein. Zwar rechnen Experten gerne vor, dass es schon Jahre dauert, ein Passwort mit zwölf Zeichen zu knacken, doch ist das eigentlich nicht der Punkt. An Log-in-Daten kommen die Kriminellen immer wieder über Einbrüche in Internetserver. Dort sind die Passworte zwar meist nur als Hash-Wert abgelegt, also nur als ein Fingerabdruck des Passworts, doch unter Umständen genügt das den Dieben. Denn über sogenannte Rainbow Tables, eine Art Telefonbuch für Passwort-Hashes, lassen sich die echten Kennworte ermitteln. Die Telefonbücher kennen aber nicht beliebig lange Passworte. Bei vielen ist bei zwölf Zeichen Schluss. Ist Ihr Passwort länger, können die Diebe es nicht knacken.
Wenn Sie den Passwortmanager konsequent nutzen, also für jedes Passwort, liefert er Ihnen außerdem einen perfekten Überblick über alle Ihre jemals genutzten Dienste.
Schritt 10: Zwei-Faktor-Authentifizierung
Eine sehr effektive Methode, das Mailkonto künftig zu schützen, ist die Zwei-Faktor-Authentifizierung. Infos dazu finden Sie etwa über www.pcwelt.de/1935646 .
Außerdem: Wenn Sie mehr als eine Mailadresse registriert haben, sollten Sie bei den wenig genutzten Konten das Adressbuch ausmisten. So verhindern Sie, dass ein Einbrecher in diese Konten an Ihre Kontakte kommt und diese anschreibt.
Für Eilige: Der Notfallplan kurz und knapp
Wenn Ihnen der Log-in zu Ihrem Mailkonto gestohlen wurde, können die Diebe online Ihre Identität annehmen. Gehen die Diebe dann in Ihrem Namen shoppen, sollten Sie zur Polizei gehen. Wenn kein finanzieller Schaden entstanden ist, können Sie die Punkte 2 und 8 überspringen. Ausführliche Tipps zu jedem Schritt finden Sie oberhalb.
1. Ändern Sie das Passwort für Ihren Mail-Log-in sofort. Am besten von einem Tablet oder Smartphone aus. So bekommt ein möglicherweise vorhandener PC-Schädling das nicht mit.
2. Hat ein Dieb mit Ihrer Identität eingekauft, sollten Sie Anzeige bei der Polizei erstatten.
3. Wenn Ihr PC nicht von der Polizei untersucht wird, erstellen Sie ein Image Ihrer Festplatte.
4. Prüfen Sie Ihren Rechner mit der PC-WELT Notfall-DVD auf Viren, für den Fall, dass ein PC-Schädling die Log-in-Daten gestohlen hat.
5. Kontrollieren Sie online die Einstellungen in Ihrem Mailkonto auf neue Weiterleitungen, Ersatzmailadressen oder hinterlegte Handynummern. Fügen Sie Ihre eigenen Daten dort ein.
6. Wenn Ihr PC garantiert virenfrei ist, ändern Sie erneut das Passwort für Ihren Mail-Log-in.
7. Ändern Sie die Passwörter aller wichtigen Log-ins, also die zu Online-Shops, Finanzdienstleistern und sozialen Netzen.
8. Holen Sie sich Rat bei einem Rechtsanwalt, wie Sie sich gegen die Rechnungen von Online-Shops und Inkasso-Unternehmen wehren können, wenn mit Ihrer gestohlenen Identität eingekauft wurde.
9. Ändern Sie von nun ab routinemäßig die Passworte für wichtige Log-ins.
10. Aktivieren Sie, falls möglich, eine Zwei-Faktor-Authentifizierung.
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.