Das Malheur
+
Ich komm' nicht mehr rein, nirgendwo: Wer das einmal erlebt hat, nutzt nie wieder schwache Passwörter.

Gekaperte Konten

Wie schwache Passwörter zum Verhängnis werden

Jeder weiß es: «123456» ist als Passwort so indiskutabel wie «hallo» oder andere simple Zeichenfolgen und Wörter. Trotzdem siegt oft die Bequemlichkeit - mit fatalen Folgen. Ein Leidensbericht.

Berlin (dpa/tmn) - Dieser Text handelt davon, was passieren kann, wenn man es wider besseren Wissens mit den Passwörtern im Internet nicht so genau nimmt. Und von den massiven Problemen, die das nach sich ziehen kann. Das wären: ein gehacktes Mailpostfach, eine Menge Telefonate, ein Check aller Online-Konten und eine Hängepartie bei Facebook.

Viele Menschen erstellen ihre Passwörter nach der Devise «simpel statt sicher». Das zeigt die jährliche Passwort-Hitliste des Hasso-Plattner-Instituts (HPI): Seit Jahren ist die Zahlenfolge «123456» Spitzenreiter, 2020 gefolgt von «123456789» und dem «passwort» auf Platz drei.

Die HPI-Auswertung beruht auf Millionen geleakter Zugangsdaten von .de-Mail-Adressen, mit denen das HPI eine Abfragedatenbank namens Identity Leak Checker füllt. Das heißt: Die Daten sind schon irgendwann einmal frei zugänglich im Netz aufgetaucht und kursieren dort womöglich immer noch. Ob auch eigene Adressen und Passwörter dabei sind, erfährt man, wenn man den Leak Checker mit seiner oder seinen Mail-Adressen füttert.

Einladung für Hacker

Doch selbst wenn Zugangsdaten nicht im Netz kursieren: Wer Zahlenfolgen wie «123456», Tastatur-Buchstabenfolgen à la «asdfgh», Namen oder Begriffe aus dem Wörterbuch nutzt, macht es Hackern sehr einfach. Solche «Passwörter» knacken sie in Windeseile.

Richtig kritisch wird es, wenn man den zweiten Kardinalfehler begeht: Aus Bequemlichkeit überall das gleiche Passwort verwenden. Denn so sind alle Konten in Gefahr, wenn das Passwort einmal geknackt wurde. Mir ist sehr wahrscheinlich eine Mischung beider Nachlässigkeiten zum Verhängnis geworden.

Los ging das Ungemach kurz vor Weihnachten. Der Blick auf die Umsätze meines Bankkontos lieferte eine unangenehme Überraschung: Es gab diverse Abbuchungen von meinem Paypal-Account, darunter zehn dubiose Abbuchungen über die krumme Summe von 12,10 Euro.

Im Nachhinein betrachtet war diese seltsame Häufung ein Glück, denn eine Einzelbuchung hätte ich wohl nicht weiter beachtet. Schließlich bestellt man ja immer wieder mal was online und hat nicht immer alles genau im Blick. Die zehn Abbuchungen fielen aber sofort auf: Ich hatte seit Tagen nichts bestellt, und schon gar nicht öfters.

Also will ich mich bei Paypal einloggen, um die Buchungen zu überprüfen. Doch das geht nicht. Zum Glück lassen sich die Abbuchungen übers Onlinebanking meiner Bank zurückholen. Danach Anruf bei Paypal: Das Konto wird gesperrt.

Fehler beim Anmelden

Dass das Problem noch tiefer geht, bemerke ich erst am nächsten Tag. Meine E-Mail-App auf dem Smartphone verlangt eine Neuanmeldung. Doch bei der Eingabe des Passworts kommt bloß eine Fehlermeldung.

Offenbar haben Hacker mein Konto gekapert, denke ich, und gebe meine Mailadresse auf der Website Haveibeenpwned.com ein. Dort lässt sich, ebenso wie beim Identity Leak Checker des HPI prüfen, ob die Mailadresse auf einer Liste geklauter Daten auftaucht. Und tatsächlich: Die Adresse meines Postfachs war nach einem Datenleck frei im Netz auffindbar gewesen.

Möglich, dass die Hacker so an meine Mail-Adresse gekommen sind und das Passwort geknackt haben. Und ich muss zugeben: Ich habe auch zu den Menschen gehört, die «simpel statt sicher» unterwegs sind. Mein Passwort war eines aus dem Wörterbuch. Dass ich es groß geschrieben und wegen der Sonderzeichen-Vorgabe vieler Dienste noch mit einem Punkt am Ende versehen habe, stellt Hacker, die Passwörter computergestützt knacken, nicht wirklich vor Probleme.

Kein Postfach mehr

Als nächstes also Anruf bei GMX, wo ich mein E-Mail-Konto habe. Überraschende und ernüchternde Antwort des Sachbearbeiters: Das Konto gibt es gar nicht mehr. Es wurde wohl gelöscht. Gelöscht? Geht das so einfach? Ja, lautet die Antwort. Die Option ist in den Einstellungen zu finden und lautet «Postfach löschen».

Dass Hacker so vorgehen, ist aber eher unüblich, teilt GMX auf Anfrage mit. Denn eigentlich wollen sie ja aus dem gekaperten Postfach Kapital schlagen. Beispielsweise, um sich Zugang zu anderen Plattformen und Diensten zu verschaffen. Das läuft meist so ab, dass sie bei der Anmeldung auf diesen Seiten auf «Passwort vergessen» klicken und sich einen Link zum Zurücksetzen des Passwortes an die E-Mail-Adresse schicken lassen. Danach haben sie Zugang zu der jeweiligen Seite, können etwa auf Kosten ihres Opfers einkaufen oder auch Fake-Profile für anlegen.

Mein Postfach dagegen wurde mit allen darin abgespeicherten Nachrichten unwiederbringlich gelöscht. Und das bringt ganz neue Probleme mit sich. Denn bei möglicherweise weiteren gekaperten Accounts lassen sich die Passwörter nicht ohne weiteres zurücksetzen, wenn die für diesen Zweck hinterlegte E-Mail-Adresse nicht mehr existiert.

Aber ich habe Glück im Unglück: Bei fast allen Online-Konten funktionieren meine Zugangsdaten noch, so dass ich mich dort einloggen und E-Mail-Adresse sowie Passwort ändern kann. So weit waren die Hacker wohl noch nicht gekommen. Schnell gewesen zu sein, war an dieser Stelle meine Rettung.

Das Facebook-Problem

Nur bei Facebook komme ich nicht weiter: Das gewohnte Passwort funktioniert nicht mehr. Und weil mein hinterlegtes GMX-Mail-Postfach nicht mehr existiert, lässt sich das Passwort nicht ändern. Zum Wiederherstellen des Passworts sei der Zugang zum E-Mail-Konto unerlässlich, teilt Facebook auf Anfrage mit.

Es gibt zwar die Optionen, dass Passwort über eine alternative E-Mail-Adresse oder eine Telefonnummer zu ändern. Doch beides habe ich im Facebook-Konto nicht hinterlegt. Und um die alternativen Kontaktinformationen neu hinzufügen, braucht man das Passwort - was ich ja nicht mehr kenne.

Für mich hängt der Account nun gewissermaßen in der Luft. An dieser Stelle erschöpfen sich die Optionen im Facebook-Hilfebereich. Eine Telefon-Hotline mit Mitarbeitern, die in so verzwickten Fällen helfen könnten, wie etwa Paypal oder GMX sie haben, bietet das soziale Netzwerk nicht.

Ein blaues Auge

Dennoch: Alles in allem bin ich aus der Nummer mit einem blauen Auge herausgekommen. Was ich gelernt habe? Zunächst beherzige ich zwei Grundsätze, die ich jahrelang aus Bequemlichkeit und wider besseren Wissens ignoriert habe. Ich nutze nur noch komplizierte, sichere Passwörter. Und ich habe für jedes Online-Konto ein anderes, einzigartiges Passwort.

Passwortmanager-Software hilft hier, den Überblick zu behalten. Ein Zettel tut es aber auch. Ich habe mich für die analoge Variante entschieden: Anhand von Merksätzen habe ich für jeden Account ein neues Passwort gebildet und aufgeschrieben. Klar, es besteht das Restrisiko, dass der Zettel in falsche Hände gerät. Wie beim Daten-Backup ist eine Kopie an einem sicheren Ort eine gute Idee.

Noch eine Erkenntnis: Mit aktivierter Zwei-Faktor-Authentifizierung ( 2FA) wäre das alles mit sehr großer Wahrscheinlichkeit nicht passiert. 2FA bedeutet, dass bei jedem Log-in neben dem Passwort die Eingabe eines zweiten Codes verlangt wird. Den generiert oftmals - wie etwa auch bei GMX oder Facebook - eine sogenannte OTP-App auf dem Smartphone.

Ohne Zugriff aufs Smartphone kann also niemand das Konto kapern, selbst wenn er oder sie das Passwort hat. Man muss 2FA nur in den Einstellungen des jeweiligen Dienstes einschalten und auf dem Smartphone eine OTP-App wie etwa «FreeOTP» oder «Twilio Authy» installieren.

© dpa-infocom, dpa:210205-99-319590/3

BSI: Tipps für sichere Passwörter

BSI: Zwei-Faktor-Authentifizierung

Identity Leak Checker des HPI

Haveibeenpwned.com

Leak Checker der Uni Bonn

GMX: Infos zur Zwei-Faktor-Authentifizierung

Facebook: Hilfe zur Zwei-Faktor-Authentifizierung

Facebook: Passwort zurücksetzen ohne Zugriff auf Mailadresse

HPI: Passwort-Hitliste 2020

Der Weg zu sicheren Passwörtern

Kauderwelsch statt Wörterbuch, Sprünge auf der Tastatur statt einfacher Zeichenfolgen: So lässt sich der Weg zum sicheren Passwort zusammenfassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zu starken Passwörtern mit mindestens 8, das Hasso-Plattner-Institut (HPI) sogar zu wenigstens 15 Zeichen.

Dabei gilt: Alle Zeichenklassen verwenden, also Groß- wie Kleinbuchstaben, Zahlen und Sonderzeichen. Beim Erstellen und Merken des schwer knackbaren Kauderwelschs helfen Merksätze, bei denen sich aus den Anfangsbuchstaben der Wörter sowie aus den enthaltenen Zahlen und Zeichen das Passwort bildet. Beispiel: «Ich habe eine Wohnung mit drei Zimmern und einem Balkon.» Das ergibt: «IheWm3Z&eB.»

Wer sich nicht ständig sichere Passwörter ausdenken möchte oder sie nicht alle behalten kann oder will, greift zu einem Passwortmanager. Die Programme und Apps erstellen automatisch starke wie sichere Passwörter für beliebig viele Konten und speichern sie. Hier muss man sich nur ein Masterpasswort für den Zugang merken. Das sollte selbstredend besonders sicher sein. Ein Fall für den Merksatz also.

Allermindestens acht Zeichen, alle Zeichenklassen und unterm Strich Kauderwelsch, wie er nicht im Buche steht: So sieht ein sicheres Passwort aus.
Zweistufige Authentifizierung ist das Zauberwort: Wer etwa mit dem Smartphone einen zweiten Zugangscode neben dem Passwort generiert, lebt deutlich sicherer.

Auch interessant

Kommentare