Mail-Accounts: So schützen Sie sich vor Daten-Diebstahl
Nach dem millionenfachen Diebstahl von Mail-Accounts befürchten Experten der Bundesregierung, dass es so etwa künftig immer öfter geben wird. Hier beantwortet die AZ alle Fragen rund um Online-Sicherheit.
München - Nach dem millionenfachen Klau von Online-Zugangsdaten steigt die Zahl der Anfragen besorgter Internetnutzer beim zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI). Es habe auf einer eigenes eingerichteten Webseite inzwischen 12,6 Millionen Anfragen erhalten, sagte Behördenchef Michael Hange am Mittwoch bei einer Konferenz zur Cybersicherheit in Berlin. Die Menschen können dort überprüfen, ob ihre E-Mail-Daten gekapert wurde.
Die Zahl der Betroffenen liege mittlerweile bei 884000, sagte Hange. Das BSI gehe von etwa acht Millionen Betroffenen in Deutschland aus. Zum Teil handele es sich bei den gestohlenen Daten aber auch um veraltete und ausländische Mailadressen. Die oberste Behörde für IT-Sicherheit in Deutschland hatte am Dienstag mitgeteilt, dass 16 Millionen Benutzerkonten gehackt worden seien (AZ berichtete). Die BSI-Webseite zur Überprüfung der Daten ging schon kurz darauf unter der Flut der Anfragen in die Knie. Die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe, sagte bei der Konferenz mit Blick auf den massenhaften Identitätsdiebstahl: „Wir müssen damit rechnen, dass wir in Zukunft öfter solche Vorfälle haben werden.“
So können Sie sich schützen: Fragen und Antworten
Wie kann ich feststellen, ob mein eigenes Mail-Konto gehackt wurde?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat unter www.sicherheitstest.bsi.de eine Webseite eingerichtet. Hier können Sie Ihre E-Mail-Adresse eingeben und bekommen, falls Sie betroffen sind, vom BSI eine Mail zugesendet. Im Betreff dieser Mail steht dann ein für Sie eigens generierter Code, der Ihnen vorher vom BSI mitgeteilt wurde. In dieser Mail werden Ihnen erste Schritte zur Sicherheit Ihres Kontos empfohlen.
Was passiert mit meiner Identität, wenn sie gestohlen wurde?
Wahrscheinlich wurden in diesem aktuellen Fall die gehackten E-Mail-Konten dazu genutzt, um an weitere Mailadressen aus dem Adressbuch zu kommen. Hat jemand Zugang zum Konto, kann er über die Funktion „Passwort vergessen“ ein neues anfordern und sich so die Mailadresse inklusive Konto komplett zu eigen machen. Der ursprüngliche Inhaber dieses Kontos hat dann keine Handhabe mehr.
Können Hacker darüber hinaus mit meinen Daten noch mehr Online-Dienste anzapfen?
Ja, denn bei Online-Shops wie Amazon oder bei sozialen Netzwerken wie Facebook meldet man sich mit einer aktuellen E-Mail-Adresse und einem Passwort an. Hat man hier das gleiche Passwort wie beim E-Mail-Konto vergeben, ist es für Hacker leicht, auch das Amazon- oder Facebook-Konto einzusehen. Auch wegen solcher Fällen ist es immer sinnvoll, unterschiedliche Passwörter für verschiedene Dienste zu haben – und eben nicht das gleiche für alle.
Über den Button „Passwort vergessen“ kann der Hacker sich dann ein neues Passwort für den Account vergeben. Besonders ärgerlich ist das, wenn Kreditkartendaten für das Konto gespeichert sind, denn dann kann der Hacker mit Ihrem Geld einkaufen gehen. Er kann ohne weiteres die Ware an eine andere, nämlich seine Postadresse schicken lassen und Sie haben den finanziellen Schaden.
Was muss ich tun, wenn ich gehackt wurde?
Ändern Sie alle Passwörter. Diese Funktion finden Sie eigentlich immer hinter dem Button „Einstellungen“. Ändern Sie zuerst das Passwort Ihres Mailaccounts und dann auch das bei allen weiteren Diensten, bei denen Sie mit dieser Mailadresse angemeldet waren (soziale Netzwerke, Online-Shops, andere Benutzerkonten). Wichtig dabei ist, dass die Passwörter mehr als acht Stellen haben, Groß- und Kleinschreibung, Zahlen und Sonderzeichen verwenden. Vermeiden Sie zu einfache Passwörter.
Muss ich im Nachhinein auch meinen PC neu schützen, wenn ich gehackt wurde?
Der BSI empfiehlt, alle Rechner, über die Sie sich mit dem gehackten Passwort auf Webseiten eingeloggt haben, auf Virenbefall mit einem Virenschutzprogramm zu prüfen.
Was passiert, wenn meine E-Mail-Adresse nicht mehr existiert, ich sie aber noch als Benutzername bei einem Online-Dienst nutze?
Da Sie in diesem Fall nicht benachrichtigt werden können, rät das BSI davon ab, nichtexistierende Mailadressen als Benutzernamen bei Online-Diensten zu verwenden. Denn gerade dann, wenn der Diensteanbieter eine mit der E-Mail-Adresse verknüpfte Passwort-Zurücksetzungsfunktion zugeschickt hat, kann der Hacker die betroffene E-Mail-Adresse selber registrieren und mittels der Passwort-Zurücksetzungsfunktion das Konto übernehmen.
Lesen Sie hier: Gestohlene Online-Zugänge - das müssen Sie jetzt beachten
Welche Nutzer sind bei diesen Hacker-Attacken betroffen? Nur die, die über Windows ins Netz gehen?
Online-Kriminelle sind an der digitalen Identität ihres Opfers interessiert, die sie für ihre kriminellen Zwecke missbrauchen können. Den Zugriff erhalten Sie in der Regel über Schadsoftware, die sie auf die Rechner der Opfer aufgespielt haben. Aufgrund der immer noch sehr hohen Verbreitung von Windows stehen diese Nutzer nach wie vor im Fokus der Angreifer. Allerdings ist auch der Befall mit Schadsoftware bei Rechnern mit Linux oder Apple OS X nicht ausgeschlossen.
Was ist mit Smartphones?
Der Befall von Smartphones muss ebenfalls beachtet werden. Da nämlich der Gebrauch von Smartphones oder Tablets rasant steigt und viele mit diesen portablen Geräten in sozialen Netzwerken oder bei Online-Shops aktiv sind, geraten auch vor allem Android- oder Apple-Nutzer ins Visier von Hackern. Da Android aber viel weiter verbreitet ist, ist die Gefahr dort auch größer.
Wenn das BSI doch alle Accounts kennt, die gehackt wurden, warum schreibt es dann nicht alle betroffenen E-Mail-Accounts an?
Eine direkte Benachrichtigung der Betroffenen ist laut BSI nicht zielführend. Es ist nämlich nicht auszuschließen, dass Kriminelle daraufhin ähnliche E-Mails versenden, um Informationen abzugreifen oder Viren zu verteilen. Daher hat sich das BSI dazu entschlossen, einen Dienst anzubieten, den der Nutzer selbst anfordern kann, wenn er es denn möchte.
