Ein Passwort ist nicht mehr Schutz genug. Zu einfach kann es gehackt werden. Die Lösung: Die Zwei-Faktor-Authentifizierung. Die lässt sich auch bei Webseiten von IONOS/1&1 einfach einrichten!
Der Schutz eines E-Mail-Kontos mit einem Passwort hat ein gewisses Risiko: Bringt ein Angreifer dieses in Erfahrung, dann kann er auf Ihr Konto zugreifen und es missbrauchen. Besser ist es, einen weiteren Faktor in die Authentifizierung mit aufzunehmen, beispielsweise eine SMS an Ihr Mobiltelefon. Wir zeigen Ihnen, wie das bei Office 365 geht.
Wenn Sie Daten in einem externen Cloudspeicher ablegen, dann wollen Sie möglichst viel Sicherheit dafür erreichen. Viele der Cloud-Anbieter bieten neben dem normalen Schutz des Kontos durch Benutzername und Passwort auch die zusätzliche Absicherung durch einen zweiten Faktor. Diese können Sie in wenigen Schritten einrichten.
Die Zwei-Faktor-Authentifizierung funktioniert wunderbar, wenn der Zugriff über den Webbrowser stattfindet. Greifen Sie aber mit einem Programm auf das Postfach zu, dann kann das Vorgehen von Programm zu Programm abweichen. In der Regel treffen Sie dabei aber nur auf zwei Möglichkeiten. Einmal eingerichtet, ist auch die Mail-Abfrage auf dem PC abgesichert.
Hackern ist es gelungen, in die privaten Konten von Kunden der Ticketbörse Eventim zu hacken und extrem begehrte Tickets für Konzerte von Taylor Swift zu entwenden.
Die Pop-Ikono schlechthin kommt nach Europa: Innerhalb weniger Minuten waren die Tickets für alle „The Eras Tour“-Konzerte von Taylor Swift in Gelsenkirchen, Hamburg und München restlos ausverkauft.
Wer ein Ticket hat, wird von vielen „Swifties“ offen beneidet. Vor allem deswegen, weil ein Schwarzmarkt kaum existiert: Alle Tickets sind auf die Namen der Käufer ausgestellt und können nur auf der Tauschbörse von Eventim weiterverkauft werden.
Das soll einen explodierenden Schwarzmarkt verhindern – macht die Tickets aber noch begehrter. Tickets, die ausschließlich digital existieren.
Betroffenen beklagen Diebstahl auf TikTok
Da die Tickets so begehrt und damit wertvoll sind, haben Hacker versucht, bereits gekaufte Tickets zu entwenden. Vor einigen Tagen gab es erste Berichte von Betroffenen auf TikTok und anderen Plattformen. Offensichtlich haben Hacker erfolgreich einige private Accounts von Eventim-Kunden geknackt – die gekauften Tickets waren weg.
Laut Eventim befinde sich die Zahl der unautorisierten Weiterverkäufe im niedrigen zweistelligen Bereich. Als missbräuchlich identifizierte Transaktionen habe der Online-Verkäufer rückgängig gemacht; den Betroffenen ist damit kein Schaden entstanden. Außerdem sei der Weiterkauf von Swift-Tickets vorübergehend ausgesetzt worden.
Als weitere Sicherheitsmaßnahme hat die Ticketbörse die Passwörter zahlreicher Kundenkonten aus Sicherheitsgründen zurückgesetzt. Betroffene Kunden haben eine E-Mail erhalten, mit entsprechenden Hinweisen erhalten und müssen ein neues Passwort auswählen.
Keine ausreichenden Sicherheitsmaßnahmen
Bedauerlicherweise lässt Eventim heute selbstverständliche Sicherheitsmaßnahmen für Online-Konten vermissen: Selbst wer als Eventim-Nutzer will, kann sein Online-Konto nicht durch eine Zwei-Faktor-Authentifizierung (2FA) absichern.
Eine solche Absicherung bedeutet deutlich mehr Sicherheit: Benutzer müssten dann neben Benutzername und Kennwort einen weiteren Code eingeben, der zum Beispiel in einer App erzeugt oder per SMS zugestellt wird.
Nur weil es diesen Sicherheitsstandard bei Eventim nicht gibt, ist es den Hackern so leichtgefallen, offensichtlich mehrere Dutzend Konten zu kapern. Die Kunden hatten kaum eine Möglichkeit, ihre wertvollen Konten besser zu sichern.
Außer dieser: Für jedes Online-Konto ein eigenes, individuelles und sicheres Passwort anzulegen. Wer auf Nummer Sicher gehen will, macht das auch jetzt: Das alte Passwort bei Eventim durch ein neues, individuelles, sicheres Passwort mit mindestens zehn Zeichen inklusive Ziffern und Sonderzeichen ersetzen.
Auch meine Zugangsdaten im Darknet?
Einige Beobachter vermuten, dass die Zugangsdaten aus dem Darknet stammen – was sehr wahrscheinlich ist. Im Darknet kursieren Millionen von ergaunerten Zugangsdaten, die Cyberkriminelle missbrauchen.
Ob sich auch die eigenen Zugangsdaten im Darknet befinden, kann jeder selbst ausprobieren: Auf Webseiten wie „Have I been pawned“ oder dem „HPI Identity Leak Checker“ lässt sich das nachschauen: Einfach E-Mail-Adresse eingeben – und das Ergebnis abwarten. Wer an der Sicherheit seiner Online-Konten interessiert ist, sollte das regelmäßig machen.
Regelmäßig überprüfen und absichern
Tauchen hier Hinweise über erfolgreich abgegriffene Zugangsdaten auf, sollten Betroffene unverzüglich die Passwörter der betroffenen Online-Konten ändern; auch die aller anderen Online-Konten, bei denen dieselben Passwörter zum Einsatz kommen.
Generell gilt: In jedem Online-Konto ein individuelles, möglichst komplexes Passwort verwenden. Passwort-Manager erleichtern diese Herausforderung. Und überall dort, wo es möglich ist, den Zugang über Zwei-Faktor-Authentifizierung absichern, sollte man das auch machen. Auch dabei helfen einige Passwort-Manager, so dass kein Mehraufwand entsteht.
Die Betreiber Online-Konten müssen es nur anbieten.
KI bietet viele interessante Möglichkeiten und ist auch oft sehr nützlich. Doch KI kann auch missbraucht werden, etwa in Form von Deepfakes.
Die Entwicklung von Künstlicher Intelligenz (KI) schreitet weiter voran.
Und während diese Technologie ohne Frage viele neue Möglichkeiten mit sich bringt, kann KI – in den falschen Händen – durchaus auch eine Gefahr darstellen. KI kann zum Beispiel die Gefahr durch Cyber-Angriffe drastisch erhöhen.
Dazu gehören vor allem sogenannte Deepfakes, durch künstliche Intelligenz veränderte Medieninhalte, die Fälschungen ermöglichen, die täuschend echt erscheinen.
Gefahren durch Deepfakes
Mit Deepfakes lassen sich Gesichter auf vorhandene Videos legen und der Ton so manipulieren, dass Betrachter das Gefühl haben, dass das Video authentisch ist.
Das mag Spielereien ermöglichen, die – wenn nicht weiter geteilt oder entsprechend gekennzeichnet – harmlos sind.
Doch im Zuge von Cyberbetrug handelt es sich um eine mächtige Waffe, die effiziente Cyberangriffe und Manipulation ermöglicht.
Mögliche Folgen können sein: Verbreitung von Fehlinformationen, Social-Engineering-Angriffe oder Diffamierung von Personen oder Organisationen. Für private Online-Nutzer besteht insbesondere die Gefahr, dass Deepfakes die Gefahr durch Phishing-Angriffe erhöhen.
Phishing-Attacken mithilfe von Deepfakes lassen sich in zwei Kategorien unterteilen: Angriffe in Echtzeit und Nicht-Echtzeit-Angriffe.
Bei Angriffen in Echtzeit könnten die Kriminellen das Opfer mit gefälschten Video- oder Audiodaten davon überzeugen, dass die Person am anderen Ende ein vermeintlicher Kollege, Vorgesetzter oder Kunde ist.
Das ist vor allem bei Spear-Phishing effektiv, wenn das Opfer zuvor gezielt ausgesucht wurde und mithilfe vorab gesammelter Informationen ein Phishing-Angriff erfolgt.
Nicht-Echtzeit-Angriffe hingegen basieren darauf, dass der Täter ebenfalls eine Video- oder Audiodatei fälscht und sich als eine bestimmte Person ausgibt, wie zum Beispiel einen Prominenten.
Diese Datei teilt er dann über E-Mail, soziale Medien oder Chats, um die Empfänger zur Preisgabe von Informationen zu drängen oder bestimmte Handlungen ausführen zu lassen. Diese Angriffe, die nicht in Echtzeit erfolgen, ermöglichen es, mehrere Personen gleichzeitig zu attackieren.
So kannst du dich schützen
Es gibt mehrere Möglichkeiten, sich gegen Cyberangriffen mithilfe von KI und Deepfakes zu schützen:
Bleibe informiert: Informiere dich ausgiebig und regelmäßig über Deepfakes und Cyberbedrohungen durch KI, um Angriffe frühzeitig erkennen zu können. Sei außerdem skeptisch, wenn du Nachrichten oder Anrufe von scheinbar bekannten Personen erhältst, dessen Inhalte aber widersprüchlich zum gewöhnlichen Verhalten oder Inhalten der Person sind.
Sichere deine Konten: Cyberkriminelle haben es oft auf Kontodaten und andere persönliche Informationen abgesehen.
Sichere deine Accounts daher mit starken und individuellen Passwörtern. Ein Passwort-Manager kann dir helfen, deine Logindaten zu speichern und zu verwalten und starke Kennwörter zu erstellen.
Aktiviere eine Zwei-Faktor-Authentifizierung (2FA): Zusätzlich zu starken Kennwörtern solltest du deinen Konten mit einer 2FA eine zusätzliche Sicherheitsschicht hinzufügen. Das bedeutet, um dich in dein Konto einzuloggen, benötigst du neben den Logindaten einen Code, der per App oder SMS generiert wird.
Schulungen innerhalb von Unternehmen: Da solche Deepfakes für Spear-Phishing-Attacken genutzt werden können, die gezielt Unternehmen treffen, sollten regelmäßige Schulungen stattfinden, um die Mitarbeiter über die Gefahren von KI und Deepfakes für Cyberattacken aufzuklären.
Wer seine Online-Konten optimal absichern will, ist gut beraten, auf „Multifaktor Authentifizierung“ (MFA) zu setzen. Neben einem Passwort muss noch ein Code eingegeben werde, der in der Regel im Smartphone generiert wird.
Viele Webseiten und Dienste verwenden die Zwei-Faktor-Authentifizierung (2FA). Dabei braucht ihr nicht nur das Passwort, sondern auch noch einen Code, der stetig wechselt. Der ist alleine nicht kritisch, sollte aber geheim bleiben.
Nutzt Ihr Microsoft/Office 365? Verlasst ihr euch auf die Standard-Sicherheitseinstellungen? Ein wenig Kontrolle ist trotzdem ratsam, zumal Microsoft einiges an Hilfsmitteln mitliefert! Wie zeigen euch, wo ihr diese findet.
Meine am liebsten wiederholte Empfehlung in punkto Sicherheit für Onlinekonten: Zwei-Faktor-Authentifizierung verwenden. Immer noch wichtig, doch inzwischen versuchen Angreifer, einige Zwei-Faktor-Verfahren trickreich aushebeln.