Ob durch einen Phishing-Angriff, über ein Datenleck, durch ausspähende Schadsoftware oder durch reines Erraten – immer wieder gelingt es Betrüger:innen, sich in fremde Online-Konten einzuhacken. Damit Ihre Online-Konten vor Hacking-Angriffen geschützt sind, können Sie im Vorfeld einiges tun.
Foto:
Verbraucherzentrale
Das Wichtigste in Kürze:
Der Schutz Ihrer Online-Konten kann Sie und andere vor Identitätsmissbrauch und finanziellen Schäden bewahren.
Wir zeigen Ihnen, wie Betrüger:innen versuchen, an Ihre Daten und Zugänge zu Ihren Online-Konten zu kommen und wie Sie Ihre Online-Konten bestmöglich vor einem Hacking-Angriff schützen können.
Das können Betrüger:innen mit gekaperten Online-Konten tun
Echte Mails von gefälschten Phishings Mails unterscheiden
Schon wieder eine Mail von einem Online-Shop, die Sie zur Zahlung einer Ware auffordert, die Sie nicht bestellt haben. Alles Phishing! Oder doch nicht? In den meisten Fällen können Sie die Mail wahrscheinlich ohne weitere Bedenken in den Papierkorb verschieben. Wenn ein seriöser Anbieter Ihnen eine Zahlungsaufforderung schickt, die Sie nicht zuordnen können, könnte es aber auch sein, dass Betrüger:innen unter Ihrem Namen bestellt haben und der Betrag tatsächlich noch aussteht. Folgendes weist darauf hin, dass es sich um eine echte, sprich nicht gefälschte E-Mail vom Shop handelt, obwohl Sie dort nicht selbst bestellt haben:
Die Absende-Mailadresse ist dieselbe, die der Shop sonst auch verwendet.
Ein Blick in Ihren Online-Shop-Account zeigt, dass eine entsprechende Bestellung tatsächlich aufgegeben wurde.
Ihr Name ist korrekt geschrieben und die Anrede so wie sonst auch. Genauso wie in der vorherigen Kommunikation mit dem Shop werden Sie beispielsweise entweder geduzt oder gesiezt.
Eventuell ist sogar Ihre richtige Kundennummer in der Mail enthalten.
Auch in den sozialen Medien passiert es immer wieder, dass Fremde auf Online-Konten zugreifen. Obwohl in vielen sozialen Netzwerken noch keine Käufe möglich sind, gibt es für Betrüger:innen Möglichkeiten, über Ihr Online-Konto Profit zu machen. Social Media Konten eignen sich für Täter:innen besonders gut, um Schadsoftware oder andere missbräuchlichen Inhalte zu verbreiten, da die Empfänger denken, sie würden von einer bekannten Person kontaktiert. Daher reagieren sie mit entsprechend weniger Misstrauen und erweisen sich somit als leichtere Opfer.
Kriminelle können beispielsweise:
in Ihrem Namen Werbung für Produkte bei Fakeshops machen.
in Ihrem Namen Links zu Schadsoftware posten, auf die Ihre Kontakte dann klicken.
die Kontakte in der Freundesliste des gehackten oder duplizierten Profils anschreiben und per Link und Anhang mit weiterer Schadsoftware infizieren. Außerdem können die Täter:innen in Ihrem Namen durch Vorspiegelung einer erdachten Geschichte versuchen, Ihre Kontakte dazu zu bewegen, Geld zu überweisen oder Bezahlcodes zu verschicken.
Ihre Daten sammeln und für andere Zwecke missbrauchen.
Außerdem erlangen die Betrüger:innen natürlich Einblick in Ihre persönlichen Nachrichten.
Sie sollten also so schnell wie möglich handeln. Wie Sie dabei vorgehen können, beschreiben wir in unserem Artikel „Erste Hilfe bei gehackten Online-Konten“.
So können Betrüger:innen an Ihre Online-Konten kommen und so schützen Sie sich
Wie Betrüger:innen an Ihre Daten kommen, ist von Fall zu Fall unterschiedlich. Klar ist aber, dass jeder beim Surfen im Internet Daten hinterlässt. Es muss also nicht zwingend ein großer Hacking-Angriff stattgefunden haben, damit Ihre Daten in die falschen Hände geraten.
So könnten Hacker vorgegangen sein:
Vorherige Datenlecks
Schon häufiger wurden Online-Portale, Online-Shops oder die Server der jeweiligen Betreiber gehackt. Die Nutzerdaten, die bei solchen Datenlecks gesammelt wurden, können teilweise von Betrüger:innen gekauft und missbräuchlich genutzt werden. Oft werden solche Daten sogar kostenlos – auf Online-Schwarzmärkten im sogenannten Darknet – zur Verfügung gestellt.
Wenn Sie wissen möchten, ob auch Ihre E-Mail-Adresse von solchen Leaks betroffen waren, können Sie das auf der Webseite Have I been pwned? oder beim Hasso-Plattner-Institut überprüfen.
Was können Sie tun?
Ändern Sie die Passwörter aller betroffenen Accounts. Achten Sie besonders darauf, starke Passwörter zu wählen und nicht das gleiche Passwort für mehrere Online-Dienste zu nutzen.
Damit man sich die Vielzahl unterschiedlicher komplexer Passwörter nicht merken muss und möglichst smart geräteübergreifend synchron einsetzen kann, empfehlen sich der Einsatz eines Passwortmanagers und die Zwei-Faktor-Authentifizierung (2FA) für besonders gefährdete Accounts (weitere Details dazu siehe unten).
Da Ihre Daten ggf. im Umlauf sind, können Sie auch direkt, per E-Mail, SMS, Messenger-Dienste oder Anruf angesprochen werden.
Insbesondere, wenn Bank- oder Kreditkartendaten abhandengekommen sind, sollten Sie Ihr Bankkonto im Blick behalten und auf auffällige Kontobewegungen achten.
Schadsoftware oder Viren, die beispielsweise durch einen Klick auf Links, denen Sie im Internet oder in Textnachrichten begegnen, oder die über Phishing-Mails versendet werden, auf Ihren Rechner oder Ihr mobiles Gerät gelangen, können so einiges anstellen. Ist die Software einmal installiert, können teilweise Daten mitgelesen und zum Zwecke des Identitätsdiebstahls über das Internet verschickt werden.
Was können Sie tun?
Überprüfen Sie Ihren Rechner regelmäßig mit einem seriösen Virenschutzprogramm.
Sorgen Sie dafür, dass Ihr Virenschutzprogramm immer auf dem neusten Stand ist und installieren sie Sicherheitsupdates.
Ist bereits Schadsoftware installiert, unterbrechen Sie die Internetverbindung. Mobile Geräte versetzen Sie dazu am besten in den Flugmodus, da heißt, beenden Sie die Internetverbindung. Folgen Sie dann den Anweisungen der Anti-Viren-Software.
In den meisten Fällen empfiehlt es sich, dass man sich den Rat von Fachleuten einholt. Fachkundige Ansprechpartner finden Sie etwa über das Cyber-Sicherheitsnetzwerk des BSI. Nicht selten empfehlen diese, dass man nach einer Infektion vorsorglich das eigene System mittels einer Datensicherung wiederherstellt.
Bevor Sie diese Wiederherstellung vornehmen und die Infektion beseitigen, sollten Sie noch Anzeige bei der Polizei erstatten. Bei Bedarf sollte die Polizei die Möglichkeit bekommen, das infizierte Gerät zu untersuchen.
Social Engineering
Beim Social Engineering bringen Betrüger:innen Sie dazu, Ihre Daten selbst preiszugeben. Das geschieht beispielsweise durch Phishing per Mail, SMS oder Telefonanrufe im Namen einer Ihnen bekannten Firma, Ihrer Hausbank, von offiziellen Behörden oder Familienangehörigen. Meistens nutzen die Betrüger:innen für Ihre Kontaktaufnahme emotionale Ansprachen oder bauen Druck auf, um Sie dazu zu bringen, Ihre Scheu und jegliche Vorsicht abzulegen
Was können Sie tun?
Geben Sie keine Daten an unbekannte Personen weiter. Auch, wenn jemand von einer Ihnen bekannten Firma anruft, sollten Sie überprüfen, ob es sich um einen seriösen Anruf handelt, bevor Sie Ihre Daten preisgeben oder bestätigen.
Geben Sie auch Passwörter und PINs niemals an andere Personen weiter. Schränken Sie auch bei sozialen Medien den Datenzugriff von Apps ein.
Klicken Sie auch nicht auf Links und Anhänge von unbekannten Quellen – egal ob in E-Mails, SMS oder auf Social Media.
Geben Sie keine persönlichen Daten an Unbekannte weiter, auch wenn Sie aufgefordert werden, schnell zu handeln oder unter Druck gesetzt werden.
Öffentliche WLAN-Netzwerke
Wer öffentliche WLAN-Netzwerke ohne Sicherheitsvorkehrungen benutzt, macht sich für Betrüger:innen leicht angreifbar. Diese können sich im gleichen Netz anmelden und dann verhältnismäßig einfach alle gesendeten Daten abgreifen.
Ob im eigenen Haushalt die kostenlosen Schutzsysteme der Mac- oder Windows-Betriebssysteme wie der Defender ausreichen oder ob man zu kostenpflichtigen Softwareanwendungen greifen sollte, kann man anhand dieses "Heise" Artikels ganz gut für sich prüfen.
So bereiten Sie sich auf einen Hacking-Angriff vor
Erstellen Sie eine Übersicht, bei welchen Online-Konten Sie registriert sind. Notieren Sie sich dazu jeweils Ihren Benutzernamen und das Passwort. Eine Musterliste finden Sie hier.
Lassen Sie sich von einen Passwort-Manager helfen. Sie können statt einer Papierliste auch einen Passwort-Manager verwenden.
Ein Passwort-Manager ist ein Programm, mit dem es nicht länger nötig ist, sich dutzende komplexe Passwörter zu merken. Sie können damit die Passwörter Ihrer verschiedenen Online-Konten verwalten. Für den Zugang zu Ihrem Passwort-Manager und zu Ihren Online-Konten müssen Sie sich dann nur ein starkes Passwort merken und dieses zusätzlich mit der Zwei-Faktor-Authentisierung absichern.
Gegenüber einer Papierliste hat der Passwort-Manager zahlreiche Vorteile in der Bedienung, da er leicht auf allen Geräten verfügbar und synchron gehalten werden kann, so dass im Alltagsgeschehen Anmeldevorgänge in wenigen Sekunden und ohne langes Blättern erledigt werden können. Das BSI hat dazu Sicherheitsempfehlungen entwickelt. Die Stiftung Warentest hat Passwortmanager geprüft. (Stand 22.06.2022, kostenpflichtiger Artikel).
Nutzen Sie einen Passwort-Manager, sollten Sie den „Tresorschlüssel“ sehr gut verwahren. Das Passwort dafür sollte besonders stark sein, also komplex oder lang. Damit können Sie dann hunderte verschlüsselte Passwörter für all Ihre Konten jederzeit nutzen.
Wichtig: Da der Passwortmanager ihr Hauptzugang zu all ihren Passwörtern ist, sollte dieser ganz besonders stark gesichert sein – spricht mit einer Zwei-Faktor-Authentisierung (2FA). Was dies ist und wie man sie verwendet, kann hier nachgelesen werden.
Räumen Sie hin und wieder auf. Prüfen Sie, welche Online-Konten Sie noch aktiv nutzen und deinstallieren solche, die Sie nicht mehr benötigen. Achten Sie dabei darauf, dass Sie den entsprechenden Account beim Anbieter selbst löschen, bevor Sie die App deinstallieren.
Verwenden Sie für jeden Ihrer Online-Accounts ein eigenes Passwort. Jedes Passwort ist ein Schlüssel. Mit jedem Schlüssel schützen Sie Ihre Online-Konten vor digitalen Einbrechern. Je mehr Passwörter Sie verwenden, desto sicherer sind die einzelnen Online-Konten. In Ihrem Zuhause haben Sie auch nicht für alle Räume den gleichen Schlüssel. Sie sichern Ihr Zuhause außerdem noch mit einem Haustürschlüssel ab.
Richten Sie überall starke Passwörter ein. Passwörter sollten mindestens 14 Zeichen lang sein, so die Digitalcourage. Das BSI unterscheidet zwischen langen und weniger komplexen Passwörtern mit mindestens 25 Zeichen und kurzen komplexen Passwörtern aus mindestens 8 Zeichen.
Sichere Passwörter müssen zufällig sein. Das bedeutet, Buchstaben, Zahlen und Sonderzeichen müssen zufällig angeordnet sein. Rückschlüsse auf Persönliches, Wörter oder Satzanfänge sind nicht zufällig. Passwort-Manager helfen dabei, sichere Passwörter zu finden. Weitere Regeln zu starken Passwörtern gibt es hier.
Achtung: "Leetspeak" ist nicht sicher
Bei Leetspeak ersetzen Sie Buchstaben durch ähnlich aussehende Ziffern (Passwörter - Passw03r73r) oder Sonderzeichen. Angreifer kennen Leetspeak und binden dieses System in ihre Attacken mit ein.
Riskant: Sicherheitsfragen bei vergessenem Passwort
Sicherheitsfragen bei vergessenem Passwort sind eher ein Sicherheitsrisiko als ein Gewinn. Meistens lauten die zu beantwortenden Fragen: "Wie ist der Mädchenname Ihrer Mutter" oder "Wo haben Sie Ihren Ehepartner kennen gelernt?".
Der Haken an der Sache: Viele Menschen vergessen, welche Frage sie bei den unterschiedlichen Diensten haben stellen lassen. Zudem können Angreifer solche Abfragen ausnutzen, da die entsprechenden Informationen leicht herauszufinden sind – beispielsweise in sozialen Netzwerken.
Reservieren Sie den jährlichen „Ändere dein Passwort“-Tag am 01. Februar in Ihrem Kalender und nutzen Sie diesen Tag, um Ihre Passwortlisten durchzuschauen und schwache Passwörter zu ändern, nicht mehr benötigte Online-Konten zu löschen oder neue Online-Konten zu ergänzen. Nutzen Sie bereits starke Passwörter, ist eine Änderung nicht nötig. Aktualisieren Sie bei dieser Gelegenheit auch Ihre persönlichen Daten, wo das nötig ist.
Erweitern Sie Ihre Passwörter – wo möglich – mit der Zwei-Faktor-Authentisierung (2FA). Wenn Sie das gemacht haben, brauchen Sie künftig zwei Schlüssel, um an Ihr Online-Konto zu kommen. Der erste Schlüssel ist ein sicheres Passwort. Der zweite Schlüssel kann eine beliebigen Ziffernfolge sein, die Sie auf Ihr Handy zugeschickt bekommen, oder ein Scan Ihres Gesichtes oder Fingerabdrucks sein. Es gilt als unwahrscheinlich, dass Hacker in den Besitz beider Schlüssel kommen. Mehr zum Thema „Zwei-Faktor-Authentisierung“ finden Sie hier.
Bewahren Sie Back-Up-Codes gut auf. Diese zusätzlichen Sicherheitscodes vergeben manche Unternehmen, wenn Sie eine Zwei-Faktor-Authentisierung einrichten. Sie sind wie ein Ersatzschlüssel zu Ihrer Wohnung und dienen dazu, wieder Zugriff auf das Konto zu erhalten, wenn zum Beispiel das Handy verloren oder das Passwort vergessen wurde. Manche Unternehmen vergeben sogar zehn Sicherheitscodes auf einmal. Jeder Code verliert nach der Verwendung seine Gültigkeit. Sind alle Sicherheitscodes eines Unternehmens aufgebraucht, müssen Sie neue anfordern.
Beispiel: Wenn Sie sich bei einem Ihrer Online-Konten nicht mit der 2FA einloggen können, weil Sie Ihr Smartphone verloren haben, können Sie einen Back-Up-Code nutzen.
Verwenden Sie bei der Registrierung nur korrekte Daten. Im Falle eines gehackten Online-Kontos ist es in der Regel nötig, dass Sie von dem Unternehmen, bei dem Sie das gehackte Online-Konto haben, identifiziert werden. Weicht dann beispielsweise Ihr tatsächliches Geburtsdatum von dem beim Unternehmen hinterlegten ab, erschwert das die Identifizierung unnötig. Sie sollten aber aus Gründen des Datenschutzes bei der Registrierung nur so viele Daten angeben wie für eine spätere Identifizierung unbedingt nötig sind. Ist es Ihnen egal, ob das Konto im Falle eines Hacker-Angriffs wiederhergestellt werden kann, können Sie bei der Registrierung auch anonym bleiben.
Nutzen Sie verschiedene E-Mail-Adressen für unterschiedliche Zwecke. Die E-Mail-Adresse ist ein wichtiges Element für den Zugang zu den meisten Online-Konten und daher ein beliebtes Angriffsziel von Hackern. Daher sollten auch E-Mail-Adressen nach Möglichkeit mit 2FA abgesichert sein.
Verwenden Sie außerdem verschiedene E-Mail-Adressen bei unterschiedlichen Anbietern. Sie können zum Beispiel eine E-Mail-Adresse für private Mails nutzen und eine andere für die Zugänge zu Online-Shops und wieder eine andere für Ihr Online-Banking. Das hat zum einen den Vorteil, dass nicht alle E-Mails, seriös oder weniger seriöse oder sogar betrügerische, in einem Postfach landen. Zum anderen bietet das die Möglichkeit, dass Sie weiterhin Mails schreiben können, selbst wenn ein E-Mail-Postfach gehackt wurde.
Achten Sie bei der Wahl Ihres E-Mail-Anbieters darauf, dass dort Datenschutz ernst genommen wird. Mehr dazu finden Sie hier.
Sicher im Internet - Handy, Tablet und PC schützen
Cybercrime betrifft längst nicht mehr nur eine geringe Anzahl von Menschen. Wie Sie sich vor Datenklau, Viren und unsicheren Netzwerken schützen können, lesen Sie hier.
Klage wegen service-rundfunkbeitrag.de gegen SSS-Software Special Service GmbH
Die SSS-Software Special Service GmbH macht auf service-rundfunkbeitrag.de nicht ausreichend kenntlich, dass sie Geld für eigentlich kostenlosen Service verlangt. Der Verbraucherzentrale Bundesverband klagt vor dem OLG Koblenz auf Unterlassung und hat eine Sammelklage eingereicht.
Warnung vor Cleverbuy: Auszahlung lässt auf sich warten
"Clever Technik kaufen und verkaufen" heißt es auf der Website der Ankaufplattform Cleverbuy. Gar nicht clever ist die oft lange Zeit, die verstreicht, bis Nutzer:innen ihr Geld für Smartphone und Co. ausgezahlt bekommen. Der Verbraucherzentrale Bundesverband (vzbv) warnt daher vor dem Anbieter.
Der vzbv stellt fest: Banken tun nicht genug gegen Kontobetrug
Opfer von Kontobetrug bleiben in vielen Fällen auf dem Schaden sitzen, denn: Banken werfen ihnen grobe Fahrlässigkeit vor. Aus Sicht des Verbraucherzentrale Bundesverbands (vzbv) müssten Banken jedoch mehr tun, um Verbraucher:innen zu schützen.