Interview: „Auch das stärkste Passwort bietet keinen hundertprozentigen Schutz“

In einem persönlichen E-Mail-Konto lagert oft ein wahrer Schatz an sensiblen Daten: Rechnungen, Verträge, Social Media-Notifications, Shopping-Mails oder private Konversationen. Klar ist: Wenn Unbefugte ein solches E-Mail-Konto übernehmen, können sie jede Menge Schaden anrichten. Was dabei konkret passieren kann und wie man den Zugang zum eigenen Postfach am besten absichert, erklärt Philipp Haag, Senior Produkt Manager im User Management bei WEB.DE und GMX.

21. November 2022 von Christian Friemel

Den eigenen E-Mail-Account sollte man besonders gut absichern. (c) Shutterstock

Was ist denn das Schlimmste, das passieren kann, wenn jemand fremdes in mein E-Mail-Konto kommt?

„Viele glauben, dass ihre privaten Nachrichten gelesen werden oder dass sie keinen Zugang mehr zum E-Mail-Postfach haben, wäre schon schlimm. Das ist aber nur die Spitze des Eisbergs: Deutlich drastischer ist der meist damit einhergehende Identitätsdiebstahl. Bei einem Identitätsdiebstahl nutzen die Angreifer fremde, personenbezogene Daten für kriminelle Zwecke oder um ihre Opfer zu diskreditieren. Das sieht im Einzelnen zum Beispiel so aus, dass mit der gekaperten E-Mail-Adresse neue Accounts bei anderen Plattformen angelegt werden. So kann man unter fremdem Namen agieren, und beispielsweise auf Rechnung Dinge im Internet einkaufen.

Gerade bei der Übernahme eines E-Mail-Postfachs kommt eine weitere Gefahr hinzu: Bei den meisten Plattformen kann man das Passwort per E-Mail zurücksetzen. Online-Kriminelle können also über das Postfach neue Passwörter für andere Websites wie beispielsweise von Amazon oder Zalando vergeben, sich dann im Namen des Opfers anmelden und die neusten Handys oder Schuhe kaufen. Die Ware geht dann einfach an eine Packstation. Oft sind in den Shopping-Accounts ja sogar Bezahldaten wie die Bankverbindung oder das PayPal-Konto hinterlegt.

Ein anderes Szenario sind Geschäfte auf Secondhand-Plattformen. Dort bieten die Online-Kriminellen dann unter falschem Namen Fake-Produkte an, die sie gar nicht besitzen, kassieren das Geld und verschwinden auf Nimmerwiedersehen. Der Käufer bleibt auf den Kosten sitzen und der eigentliche Besitzer der E-Mail-Adresse hat den Ärger. Kurzum: Mit einem E-Mail-Zugang kann man deutlich mehr Schaden anrichten als mit einem gehackten Facebook- oder Instagram-Konto. Deswegen muss der eigene E-Mail-Account mindestens genauso gut geschützt sein, wie ein Online-Banking-Zugang.” 

Was ist der sicherste Schutz vor Fremdzugriff?

„Die wichtigste Regel lautet generell: Jeder Onlinedienst bekommt ein eigenes, sicheres Passwort, und das vor allem beim E-Mail-Konto. Für ein sicheres Passwort gilt: Länge hilft. Am besten verwendet man einen ganzen Satz oder eine Mischung aus Buchstaben, Symbolen und Zahlen.
Allerdings: Auch das stärkste Passwort bietet keinen hundertprozentigen Schutz und kann vom Angreifer unter gewissen Umständen herausgefunden werden. Deshalb sollte wo immer möglich zusätzlich eine Zwei-Faktor-Authentifizierung, kurz 2FA aktiviert werden. Ist die 2FA eingerichtet, reicht das Passwort allein für einen Login nicht mehr aus. Zusätzlich muss ein zweiter Faktor eingegeben werden, das kann beispielsweise ein individueller Einmal-Code sein, der mit einer App ausschließlich auf dem Smartphone des Kontoinhabers generiert wird. Selbst wenn die Angreifer also das richtige Passwort haben – ohne den zweiten Faktor kommen sie nicht ins Postfach.
Ein weiterer wichtiger Punkt: Die persönlichen Daten im Account, also Name, Geburtsdatum, Adresse oder Handynummer sollten immer echt sein und aktuell gehalten werden. Das hilft bei der Identifizierung des rechtmäßigen Account-Inhabers und so bei der Wiederherstellung des Zugriffs auf das E-Mail-Konto.”
 

 Und wie kommen die Angreifer überhaupt an mein Passwort?

Da gibt es diverse Möglichkeiten: Häufig sind Datenlecks bei anderen Plattformen die Quelle für gültige Passwörter. Immer wieder sind in der Vergangenheit solche Leaks mit hunderttausenden Login-Daten großer Internetseiten wie Facebook, Instagram oder Yahoo aufgetaucht. Diese Datenbanken bestehen meist aus langen Listen mit Nutzernamen und zugehörigen Passwörtern. Onlinekriminelle, die eine solche Liste in die Hände bekommen, probieren dann die Kombinationen einfach bei anderen Websites aus – und haben leider oft Erfolg damit. Deswegen ist es so wichtig, Passwörter auf keinen Fall doppelt zu nutzen! 

Eine andere, häufig genutzte Methode, um an fremde Passwörter zu kommen, sind sogenannte Phishing-Mails. Solche E-Mails sehen den Nachrichten von Onlinebanken oder großen Internetdiensten wie Amazon, Ebay oder auch DHL oft täuschend ähnlich und haben alle nur ein Ziel: Der Empfänger soll dazu verleitet werden, auf einen Link in der E-Mail zu klicken und seine Anmeldedaten einzugeben. Diese Links führen dann auf gut gefälschte Websites, die zum Beispiel wie die Startseite von Amazon aussehen. Gibt man seinen Usernamen und das dazugehörige Passwort dort ein, landen diese Daten direkt bei den Betrügern.  

Und zum Schluss gibt es natürlich auch die Möglichkeit, ein zu einfaches oder zu kurzes Passwort durch Ausprobieren zu erraten. Für IT-erfahrene Angreifer ist es ein Leichtes, mit speziellen Programmen viele Buchstabenkombinationen automatisch auszuprobieren. Gute Passwörter sind deswegen möglichst lang und komplex, dann dauert es einfach deutlich länger, bis die richtige Kombination gefunden wird – und die Angreifer geben einfach auf.   

Können Sie erkennen, wenn ein Hacker Zugang zum E-Mail-Account hat und den Kunden dann warnen? 

Zur Absicherung unserer Infrastruktur haben wir vielfältige Sicherheitssysteme im Einsatz. Eine ganze Menge passiert da automatisiert. So werden zum Beispiel verdächtige IP-Adressen oder auch auffällige Accounts von unseren Sicherheitssystemen erkannt und können gegebenenfalls temporär gesperrt werden. Das ist beispielsweise dann der Fall, wenn sich die Nutzerin oder der Nutzer in Berlin einloggt und fünf Minuten später ein Login aus Guatemala erfolgt. Da ist sofort klar, dass etwas nicht stimmt.
Sobald unsere Systeme die temporäre Sperre setzen, erfolgt gleichzeitig eine Information an den User: Entweder, er bekommt beim nächsten Login ein spezielles Fenster angezeigt mit einer Telefonnummer, unter der er sich an uns wenden kann, oder er erhält eine Benachrichtigung per SMS, sofern eine gültige Handynummer im Postfach hinterlegt ist. Nutzerinnen und Nutzer, die unsere Mail App unter iOS verwenden, werden bei Auffälligkeiten direkt auf dem Smartphone per Pushnachricht informiert und haben dann die Möglichkeit sich direkt in der App selbst zu helfen.
 

Vielen Dank für das Gespräch!  

Kategorien: News, Sicherheit

Verwandte Themen

Medienberichte über Angriffe auf WEB.DE und GMX

Aktuell melden verschiedene Online-Medien, es käme verstärkt zu Angriffen auf E-Mail-Konten bei WEB.DE und GMX. Das stimmt nur zum Teil: Wie jeder Online-Dienst sind WEB.DE und GMX Angriffen aus dem Internet ausgesetzt, es gibt aber aktuell keine erhöhte Angriffsaktivität. In den Berichten ist vor allem von einer hohen Anzahl fehlgeschlagener Logins die Rede. Wir erklären, wie es dazu kommt, und zeigen, was Nutzerinnen und Nutzer tun können, um ihre E-Mail Accounts abzusichern. mehr

Logout aus dem Postfach – notwendig oder nicht?

Würden Sie Ihre Haustür offenlassen, wenn Sie aus dem Haus gehen? Vermutlich nicht. Das Gleiche gilt auch im Internet. Wir erklären, warum man sich nach dem E-Mail-Check im Web besser ausloggt – und ob man den Logout in der WEB.DE Mail App einfach weglassen kann. mehr