Wie Passwörter zum Verhängnis werden
Ein schwaches Kennwort bei Internet-Diensten kann für den Besitzer des Kontos fatale Folgen haben.
(dpa) Viele Menschen erstellen häufig ihre Passwörter nach der Devise „simpel statt sicher“. Das zeigt die jährliche Passwort-Hitliste des Hasso-Plattner-Instituts (HPI). Seit Jahren ist die Zahlenfolge „123456“Spitzenreiter. Im vergangenen Jahr folgten „123456789“und „passwort“. Die Auswertung beruht auf Millionen gestohlener Zugangsdaten von .de-Mail-Adressen, mit denen das HPI seine Abfragedatenbank „Identity Leak Checker“füllt. Die Daten sind irgendwann im Internet aufgetaucht und kursieren dort womöglich immer noch. Ob eigene Adressen und Passwörter dabei sind, erfährt der Nutzer, wenn er seine E-Mail-Adressen eingibt. Doch selbst wenn Zugangsdaten nicht online kursieren: Wer Zahlenfolgen wie „123456“, Buchstabenfolgen auf der Tastatur wie „asdfgh“, Namen oder Begriffe aus dem Wörterbuch nutzt, macht es Hackern einfach. Solche „Passwörter“knacken sie in Sekunden.
Richtig kritisch wird es auch, wenn der Nutzer aus Bequemlichkeit überall das gleiche Passwort verwendet. Denn so sind alle Konten in Gefahr, wenn das Passwort geknackt wurde. Mir ist wahrscheinlich eine Mischung beider Nachlässigkeiten zum Verhängnis geworden. Der Blick auf die Umsätze meines Bankkontos lieferte eine unangenehme Überraschung. Es gab diverse Abbuchungen von meinem Konto beim Bezahldienst Paypal, darunter zehn dubiose Abbuchungen über 12,10 Euro. Im Nachhinein betrachtet war diese Menge ein Glück, denn eine Einzelbuchung hätte ich nicht weiter beachtet. Doch die zehn Abbuchungen fielen sofort auf. Ich hatte seit Tagen nichts bestellt. Um die Buchungen zu überprüfen, versuche ich mich, bei Paypal einzuloggen. Ohne Erfolg. Zum Glück lassen sich die Abbuchungen über das Online-Banking meiner Bank zurückholen. Nach einem Anruf bei Paypal wird zudem der Account gesperrt.
Dass das Problem noch größer ist, bemerke ich am nächsten Tag. Meine E-Mail-App verlangt eine Neuanmeldung. Doch bei der Eingabe des Passworts erscheint eine Fehlermeldung. Offenbar haben Hacker mein Konto gekapert. Ich gebe meine Mailadresse auf der Website Haveibeenpwned.com ein. Dort können Nutzer ebenso wie beim „Identity Leak Checker“des HPI prüfen, ob ihre E-Mail-Adresse auf einer Liste gestohlener Daten auftaucht. Und tatsächlich: Die Adresse meines Postfachs war nach einem Datenleck im Internet zu finden. So könnten die Hacker an meine E-Mail-Adresse gekommen sein und das Passwort geknackt haben.
Als Nächstes folgt daher ein Anruf beim E-Mail-Anbieter GMX. Doch mein Konto gibt es nicht mehr. Es wurde wohl gelöscht. Dass Hacker so vorgingen, sei aber eher unüblich, erklärt GMX. Denn eigentlich wollten sie aus dem gekaperten Postfach Kapital schlagen. Beispielsweise, um sich Zugang zu anderen Diensten zu verschaffen. Meist klicken die Kriminellen bei der Anmeldung auf „Passwort vergessen“, um so das Kennwort zurückzusetzen. Auf die gekaperte E-Mail-Adresse wird dazu ein Link geschickt. Danach haben sie Zugang zum jeweiligen Dienst, können auf Kosten ihres Opfers einkaufen oder gefälschte Profile anlegen.
Mein Postfach wurde mit allen darin abgespeicherten Nachrichten unwiederbringlich gelöscht. Das bringt neue Probleme mit sich. Denn bei weiteren gekaperten Accounts lassen sich die Passwörter nicht ohne Weiteres zurücksetzen, wenn die für diesen Zweck hinterlegte E-Mail-Adresse nicht mehr existiert. Aber bei fast allen Online-Konten funktionieren meine Zugangsdaten noch, sodass ich mich einloggen und E-Mail-Adresse sowie Passwort ändern kann. Dass ich schnell reagiert habe, ist meine Rettung.
Nur bei Facebook komme ich nicht weiter. Das gewohnte Passwort funktioniert nicht mehr. Weil mein hinterlegtes E-Mail-Postfach nicht mehr existiert, lässt sich das Kennwort nicht ändern. Um es wiederherzustellen, seid er Zugang zum E-Mail-Konto unerlässlich, teilt Facebook mit. Es gibt zwar die Optionen, dass Passwort über eine alternative E-Mail-Adresse oder eine Telefonnummer zu ändern. Beides habe ich im Facebook-Konto nicht hinterlegt. Um die alternativen Kontakt informationen neu hinzufügen, braucht der Nutzer das Passwort. Daher habe ich aktuell keinen Zugriff auf meinen Facebook-Account. An dieser Stelle erschöpfen sich die Optionen im Hilfebereich des sozialen Netzwerkes. Eine Telefon-Hotline zu Mitarbeitern, die in solchen Fällen helfen könnten wie bei Paypal oder GMX, bietet das soziale Netzwerk nicht an.
Was ich gelernt habe? Zunächst beherzige ich zwei Grundsätze. Ich nutze nur noch komplizierte, sichere Passwörter und habe für jedes Online-Konto ein anderes Kennwort. Passwortmanager-Programme wie Keepass oder Lastpass helfen dabei, den Überblick zu behalten. Ich habe mich für die analoge Variante entschieden. Anhand von Merksätzen habe ich für jeden Account ein neues Passwort gebildet und auf Zettel geschrieben. Wie bei einer Datensicherung ist eine Kopie an einem sicheren Ort eine gute Idee.
Mit aktivierter Zwei-Faktor-Authentifizierung (2FA) wäre das alles mit großer Wahrscheinlichkeit nicht passiert. 2FA bedeutet, dass bei jeder Anmeldung bei einem Dienst neben dem Passwort die Eingabe eines zweiten Codes verlangt wird. Den generiert oftmals wie auch bei GMX oder Facebook eine sogenannte OTP-App auf dem Smartphone. Ohne diesen Einmal-Code kann niemand das Konto kapern, selbst wenn er das Passwort hat. Der Nutzer muss 2FA nur in den Einstellungen des jeweiligen Dienstes einschalten und auf dem Handy eine OTP-App wie etwa „FreeOTP“oder „Twilio Authy“installieren. sec.hpi.de/ilc haveibeenpwned.com