Mit Passwort und E-Mail-Adresse übernehmen Kriminelle eine andere Identität. Sie verschicken Spam oder kaufen online ein. Finanztest erklärt, was geschehen kann, wie der Identitätsdiebstahl funktioniert – und wie man sich dagegen schützt.
Anne Westermann – hilflos in Amsterdam
Völlig mittellos saß Anne Westermann* in Amsterdam fest. Sie hatte ihre Handtasche mit Pass und all ihrem Geld verloren. Verzweifelt schrieb sie E-Mails an Freunde und Bekannte: Sie müsste noch das Hotel bezahlen und dringend den nächsten Flug zurück nehmen. Ob ihre Freunde ihr vielleicht Geld leihen könnten? In Wirklichkeit war Westermann gar nicht in Amsterdam, sondern zuhause, wo sie ihrer Arbeit nachging. Datendiebe hatten ihr E-Mail-Konto gekapert und verschickten die Bitte um Geld in ihrem Namen. Sämtlichen E-Mail-Verkehr leiteten sie auf sich um, so dass Westermann aus allen Wolken fiel, als besorgte Freunde bei ihr anriefen. In Deutschland wurden allein im vergangenen Jahr bei zwei großen Datendiebstählen insgesamt 34 Millionen E-Mail-Adressen plus Zugangsdaten gestohlen. Bei einer Umfrage des Bundesverbands für Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) im Jahr 2014 gaben 55 Prozent der Befragten an, in den vergangenen zwölf Monaten Opfer von Internetkriminalität geworden zu sein.
Die Stiftung Warentest testet regelmäßig Antivirenprogramme zum Test von Sicherheitssoftware.
Cybercrime in Zahlen
Datendiebe spähen Rechner aus
Kriminelle haben verschiedene Tricks, mit denen sie an die Zugangsdaten der Nutzer kommen: Oft übernehmen die Datendiebe nicht ein einzelnes Konto, sondern gleich hunderte. Sie stehlen komplette Datenbanken von Onlineshops oder sonstigen Anbietern. Im vergangenen Jahr etwa erbeuteten Diebe vom Internetauktionshaus Ebay 145 Millionen Datensätze. Auch Einzelpersonen sind vor Datendieben nicht sicher. Mit Schadprogrammen spähen die Kriminellen den privaten Rechner aus. Die Schadprogramme kann sich der Nutzer auf verschiedene Arten einhandeln, etwa über Spam-Mails: Klickt der Empfänger auf den in der E-Mail angegebenen Link, gelangt er auf die manipulierte Webseite und der Rechner infiziert sich automatisch. Manche Schadprogramme installieren sich, wenn der Nutzer den Dateianhang einer unerwünschten E-Mail öffnet. Ist der eigene Rechner infiziert, werden die Passwörter, die der Nutzer eingibt, unter Umständen einfach mitgelesen.
Passwörter in Sekunden geknackt
Wenn die Datendiebe ihre Schadsoftware nicht platzieren können, bleibt ihnen die Möglichkeit, das Passwort zu knacken. Dazu gibt es eigene Programme, die vollautomatisch ganze Wörterbücher, Namen und unzählige Zahlenfolgen einschließlich gängiger Kombinationen aus Wörtern und Zeichen durchgehen. Ein einfaches Passwort ist innerhalb von Sekunden geknackt.
Sie wollen auf dem Laufenden bleiben in Sachen Internetsicherheit? Abonnieren Sie hier den kostenlosen Newsletter
Mit Phishing auf Datenfang
Häufig versenden Kriminelle sogenannte Phishing-Mails. Das sind E-Mails, die Nutzern private Daten wie Passwörter entlocken sollen. Sie sehen aus wie offizielle Nachrichten, zum Beispiel vom E-Mail-Dienst oder der Bank. Während die Schreiben früher diverse Rechtschreibfehler enthielten und einen eher unseriösen Eindruck machten, sind sie jetzt derart professionell gestaltet, dass arglose Nutzer schnell darauf hereinfallen – und das oft, obwohl sie das Phishing-Phänomen kennen. Auch Anne Westermann hatte solch eine E-Mail bekommen, die angeblich von ihrem E-Mail-Dienst stammte. Sie loggte sich über die manipulierte Webseite ein und ihre Daten gelangten in die Hände der Kriminellen. Um die Diebe wieder von ihrem Postfach auszuschließen, versuchte Westermann sofort, ihr Passwort zu ändern. Doch als sie sich bei ihrem E-Mail-Anbieter einloggte, fand sie die Kontoeinstellungen in arabischer Sprache vor. So konnte sie noch nicht einmal mehr das Wort Passwort finden. Mithilfe eines Computerfachmanns und eines Übersetzers eroberte sie schließlich ihr E-Mail-Konto zurück.
Zum FAQ Internetsicherheit Antworten auf Ihre Fragen.
Sofort Zugangsdaten ändern
Westermann hatte den richtigen Impuls. Betroffene sollten sofort ihr Passwort ändern, wenn sie von dem Datendiebstahl erfahren – ob von Freunden, dem Anbieter oder aus den Medien. „Wer dasselbe Passwort für mehrere Internetdienste verwendet, muss es überall ändern“, sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Zu groß ist die Gefahr, dass die Diebe die ihnen bekannte Kombination aus E-Mail-Adresse und Passwort auf gut Glück bei beliebten Onlineshops oder sozialen Netzwerken eingeben. Dann können sie unter dem fremden Namen nicht nur Spam verschicken, also unerwünschte E-Mails mit eindeutig zweideutigen Angeboten oder mit Viren und Trojanern, die Daten auf dem befallenen PC auslesen. Sondern sie können auch im Namen des anderen einkaufen oder mit dessen Freunden in Kontakt treten. Ratsam ist es, die Adressbuchkontakte zu informieren. Links oder Anhänge, die der Betroffene vermeintlich verschickt, sollte der Empfänger nicht öffnen, um nicht selbst das nächste Opfer der Datendiebe zu werden. Die beste Reaktion: die E-Mails löschen. „Kommt es zu strafbaren Handlungen, sollte der Betroffene Anzeige bei der Polizei erstatten“, rät Tim Griese.
Für bestellte Ware haftet Nutzer nicht
Mit den gestohlenen Zugangsdaten können die Datendiebe möglicherweise über das fremde Nutzerkonto bei einem Onlineshop einkaufen oder Ware bei Ebay versteigern. Der Inhaber des Kontos haftet für die Ansprüche aus dem Kaufvertrag normalerweise nicht: Er muss weder den Kaufpreis bezahlen noch schuldet er die Übergabe einer Sache, die er nicht verkaufen wollte. Ebenso wenig muss er Schadenersatz zahlen. Denn der wahre Inhaber des Nutzerkontos und die Gegenseite haben keinen Vertrag geschlossen (Bundesgerichtshof, Az. VIII ZR 289/09). Eine Ausnahme besteht, wenn der Nutzer weiß, dass jemand anderes in seinem Namen handelt oder wenn er das hätte wissen und verhindern können. Unter Umständen haftet der Nutzer für Rechtsverletzungen, die von seinem Nutzerkonto aus begangen werden, etwa für Urheber- und Markenrechtsverletzungen (Bundesgerichtshof, Az. I ZR 114/06).
Software und Argwohn schützen
Um nicht selbst Opfer eines Datendiebstahls zu werden, rät Tim Griese vom BSI: „Internetnutzer sollten immer auf dem neuesten Stand der Sicherheitstechnik sein, um Schadprogrammen keine Chance zu geben. Antivirensoftware und eine Firewall sind ein Muss“ zum Test von Sicherheitssoftware. Gegen Phishing und andere Betrügereien hilft hingegen nur ein gesundes Maß an Argwohn. Im Fall von Anne Westermann hatte das ein Angestellter der Postbank. Er riet ihrer Freundin, bei Westermann anzurufen, bevor sie 800 Euro an die Western Union Bank überweist. Es könnte sich um einen Betrugsversuch handeln.
*Name von der Redaktion geändert.
-
Phishing-Gefahr für Bürorückkehrer
- Derzeit kehren viele Beschäftigte an ihren Arbeitsplatz zurück, und es entstehen neue Einfallstore für Cyberkriminelle. test.de sagt, worauf Sie achten sollten.
-
So funktioniert Zwei-Faktor-Authentifizierung
- Passwörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...
-
10 Tipps für sicheres Surfen
- Hacker, Viren, Sicherheitslücken – im Internet wimmelt es nur so vor Gefahren. Mit den folgenden 10 Tipps der Stiftung Warentest schützen Sie PC, Smartphone und andere...
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
HBCI und die Weiterentwicklung FinTS gelten als sehr sicher. Dafür braucht man eine Chipkarte mit Pin und ein Chipkarten-Lesegerät mit Tastatur. HBCIplus, bzw. HBCI 2.2 oder HBCI Pin/Tan genannt sind leider ein Rückschritt, was die Sicherheit betrifft. Denn hier wird nicht per Chipkarte verschlüsselt, sondern per SSL -Verbindung. Details dazu finden Sie unter: https://www.test.de/Onlinebanking-So-minimieren-Sie-das-Risiko-4096971-4096977/ und wikibanking.net (SG)
HBCI gilt als sicher. Die Passwörter werden im Browser zwar verschlüsselt gespeichert, aber um auf Nummer Sicher zu gehen, sollte das Bankpasswort dort nicht unbedingt gespeichert werden. Ohne TANs besteht aber zumindest kein Diebstahlrisiko. Zu Emails: Ihre Adresse könnte im BCC stehen. Eine genaue Antwort kann man aber nur geben, wenn man die Emailheader hätte.
Danke für das Thema !
Frage ist das HBCI bankverfahren sicher ?
ist der Passwortsafe vom Firefox sicher ?
Warum bekomm ich Mails von Deutschen Internetanbietern an meine Mailadresse ohne
das meine Mailadresse drin steht ?
-------------------------------------------------------------------------------------------------------------------------
@ test4wolfgang
der Bergiff Freunde beinhaltet für mich mehr wisssen um die Personen so das ich so eine Mail sofort lösche kann ohne drüber nachzudenken !
@Jhessler vom 28.04.2015 um 14:17 Uhr:
Die dortige Empfehlung muß wohl eher heißen, am Telefon nachhaken (also nachfragen) --- und beileibe nicht auch noch "nachhacken"!
Mir ging es Ähnlich, bei einem Besuch bei Freunden in Osteuropa habe ich auch leider an einem ungesicherten PC (war mir nicht bekannt) mein Web.de zugang besucht. Leider wurde daraufhin mein Web de zugang gehackt und alle Freunde von mir angeschrieben. Ich wurde darauf hin von meinen Freunden sofort via SMS unterrichtet das ich "kommische" Mails schicken wurde. Hier empfieht sich richtig wie beim Vorrredner am besten kurz via Telefon nachzuhacken.