Diese Woche hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit bedenklichen Informationen an die Öffentlichkeit gewandt: Hacker haben mit technischen Tricks über 16 Millionen Onlinekonten geknackt. Sie haben die Kombination aus Benutzername und Passwort ermittelt – und das eben im ganz großen Stil. Mögliche Folgen: Identitätsdiebstahl, unter anderem. Was kann einem passieren und wie kann man sich vor so etwas schützen?

  • 16 Millionen Datensätze wurden gehackt. Wie sind die Betrüger dran gekommen?

Ermittler haben die 16 Millionen Datensätze in einem Botnet entdeckt. So ein Botnet ist der Zusammenschluss von gekaperten Rechnern im Internet, oft Tausende von Rechner. Rechner, auf denen Sicherheitslücken ausgenutzt wurden, um ihnen Schad-Software unterzujubeln – und die von den Betrügern ferngesteuert werden können. Wie genau die 16 Millionen Kombinationen aus E-Mail-Adresse und Passwort abgefischt wurden, ist allerdings bislang nicht geklärt. Vielleicht mit Hilfe von Keyloggern, das sind Trojaner, die unbemerkt Tastatureingaben mitschneiden. Vielleicht aber auch auf andere Weise. So genau weiß man das derzeit noch nicht. Allerdings waren die Hacker sehr erfolgreich.

  • Was könnten die Datendiebe mit den Zugangsdaten anstellen?

Die Zugangsdaten werden in der Regel benutzt, um sich in Onlinediensten anzumelden. Es geht nicht nur um E-Mail-Briefkästen, auch bei Facebook, Google und Co. meldet man sich in der Regel mit seiner E-Mail-Adresse an. Die Kriminellen könnten Identitätsdiebstahl begehen: Sie geben sich als eine andere Person aus, als die Person, deren Daten sie haben. Sie könnten im Namen der Opfer einkaufen und das Opfer bezahlen lassen. Sie könnten aber auch kriminelle Aktivitäten vertuschen und vieles mehr. Wer die Zugangsdaten zu wichtigen Onlinediensten kennt, kann nahezu alles damit anstellen.

  • Sind die Daten denn missbraucht worden?

Nein, bislang gibt es keine Erkenntnisse über Missbrauch.

  • Wie kann ich rausfinden, ob ich betroffen bin?

Das BSI hat unter sicherheitstest.bsi.de einen Online-Sicherheitstest online gestellt. Da kann man seine E-Mail-Adresse eingeben und bekommt dann gesagt, ob man betroffen ist.

  • Wie kann man sich denn gegen solche Angriffe schützen?

Generell gesprochen: Betriebssystem, Browser und Software stets auf dem neuesten Stand halten, alle Updates einspielen. Das reduziert das Risiko, ausgeschnüffelt zu werden. Einen Virenschutz zu benutzen ist auf Windows-Rechnern ebenfalls zu empfehlen.

Dann empfehle ich aber vor allem, überall dort, wo es möglich ist, die sogenannte Zwei-Wege-Authentifizierung zu nutzen. Eine besonders sichere Art von Login. Denn hier kommt das Handy des Benutzers mit ins Spiel. Man muss sich nicht nur mit Benutzername und Passwort einloggen, sondern auch noch einen Sicherheitscode eingeben, der jedes Mal neu generiert wird, im Handy – oder einem per SMS zugeschickt wird. So ähnlich wie bei der Mobile-TAN beim Onlinebanking. Ein zusätzlicher Schutz, der kaum Mühe macht, aber ein deutliches Plus an Sicherheit bedeutet. Selbst wenn einem Hacker meine Zugangsdaten in die Hände fallen: Er kann sich trotzdem nicht damit anmelden. Er müsste auch mein Handy haben.

  • Kostet das was und kann das jeder machen?

Das kostet nichts. Alle großen Onlinedienste wie Google, Facebook, Microsoft, Dropbox, Twitter und einige andere bieten diese erweiterte Sicherheit an. Man muss sie allerdings ausdrücklich im Onlinekonto aktivieren. Kann ich wirklich nur dringend empfehlen, um die eigenen Onlinekonten abzusichern. In kleineren Onlinediensten oder Onlineshops gibt es diese zusätzliche Sicherheit allerdings bislang noch nicht.

  • Was kann man denn da machen, um sich abzusichern?

Da empfehle ich den Einsatz von Passwort-Managern wie LastPass. Die gibt es kostenlos oder auf Mobilgeräten für kleines Geld, nicht mal ein Euro im Monat. Passwort-Manager erzeugen für jeden Onlinedienst ein anderes, sicheres Passwort, unknackbar. Die Manager merken sich die Passwörter aber auch und tragen sie automatisch in die Formulare ein. Das ist sehr bequem und auch sicherer. Keylogger haben da zum Beispiel keine Chance. Sollte jeder mal ausprobieren.