E-Mail-Konten So wehren Sie sich gegen Identitäts­diebstahl

Anne Westermann – hilf­los in Amsterdam

Völlig mittel­los saß Anne Westermann* in Amsterdam fest. Sie hatte ihre Hand­tasche mit Pass und all ihrem Geld verloren. Verzweifelt schrieb sie E-Mails an Freunde und Bekannte: Sie müsste noch das Hotel bezahlen und dringend den nächsten Flug zurück nehmen. Ob ihre Freunde ihr vielleicht Geld leihen könnten? In Wirk­lich­keit war Westermann gar nicht in Amsterdam, sondern zuhause, wo sie ihrer Arbeit nach­ging. Daten­diebe hatten ihr E-Mail-Konto gekapert und verschickten die Bitte um Geld in ihrem Namen. Sämtlichen E-Mail-Verkehr leiteten sie auf sich um, so dass Westermann aus allen Wolken fiel, als besorgte Freunde bei ihr anriefen. In Deutsch­land wurden allein im vergangenen Jahr bei zwei großen Daten­diebstählen insgesamt 34 Millionen E-Mail-Adressen plus Zugangs­daten gestohlen. Bei einer Umfrage des Bundes­verbands für Informations­wirt­schaft, Tele­kommunikation und neue Medien (Bitkom) im Jahr 2014 gaben 55 Prozent der Befragten an, in den vergangenen zwölf Monaten Opfer von Internetkriminalität geworden zu sein.

Die Stiftung Warentest testet regel­mäßig Antiviren­programme zum Test von Sicherheitssoftware.

Cybercrime in Zahlen

Daten­diebe spähen Rechner aus

Kriminelle haben verschiedene Tricks, mit denen sie an die Zugangs­daten der Nutzer kommen: Oft über­nehmen die Daten­diebe nicht ein einzelnes Konto, sondern gleich hunderte. Sie stehlen komplette Daten­banken von Onlineshops oder sons­tigen Anbietern. Im vergangenen Jahr etwa erbeuteten Diebe vom Internetauktions­haus Ebay 145 Millionen Daten­sätze. Auch Einzel­personen sind vor Daten­dieben nicht sicher. Mit Schad­programmen spähen die Kriminellen den privaten Rechner aus. Die Schad­programme kann sich der Nutzer auf verschiedene Arten einhandeln, etwa über Spam-Mails: Klickt der Empfänger auf den in der E-Mail angegebenen Link, gelangt er auf die manipulierte Webseite und der Rechner infiziert sich auto­matisch. Manche Schad­programme installieren sich, wenn der Nutzer den Datei­anhang einer unerwünschten E-Mail öffnet. Ist der eigene Rechner infiziert, werden die Pass­wörter, die der Nutzer eingibt, unter Umständen einfach mitgelesen.

Pass­wörter in Sekunden geknackt

Wenn die Daten­diebe ihre Schadsoftware nicht platzieren können, bleibt ihnen die Möglich­keit, das Pass­wort zu knacken. Dazu gibt es eigene Programme, die voll­automatisch ganze Wörterbücher, Namen und unzäh­lige Zahlen­folgen einschließ­lich gängiger Kombinationen aus Wörtern und Zeichen durch­gehen. Ein einfaches Pass­wort ist inner­halb von Sekunden geknackt.

Sie wollen auf dem Laufenden bleiben in Sachen Internetsicherheit? Abonnieren Sie hier den kostenlosen Newsletter

Mit Phishing auf Daten­fang

Häufig versenden Kriminelle sogenannte Phishing-Mails. Das sind E-Mails, die Nutzern private Daten wie Pass­wörter entlo­cken sollen. Sie sehen aus wie offizielle Nach­richten, zum Beispiel vom E-Mail-Dienst oder der Bank. Während die Schreiben früher diverse Recht­schreib­fehler enthielten und einen eher unseriösen Eindruck machten, sind sie jetzt derart professionell gestaltet, dass arglose Nutzer schnell darauf herein­fallen – und das oft, obwohl sie das Phishing-Phänomen kennen. Auch Anne Westermann hatte solch eine E-Mail bekommen, die angeblich von ihrem E-Mail-Dienst stammte. Sie loggte sich über die manipulierte Webseite ein und ihre Daten gelangten in die Hände der Kriminellen. Um die Diebe wieder von ihrem Post­fach auszuschließen, versuchte Westermann sofort, ihr Pass­wort zu ändern. Doch als sie sich bei ihrem E-Mail-Anbieter einloggte, fand sie die Konto­einstel­lungen in arabischer Sprache vor. So konnte sie noch nicht einmal mehr das Wort Pass­wort finden. Mithilfe eines Computerfach­manns und eines Über­setzers eroberte sie schließ­lich ihr E-Mail-Konto zurück.

Zum FAQ Internetsicherheit Antworten auf Ihre Fragen.

Sofort Zugangs­daten ändern

Westermann hatte den richtigen Impuls. Betroffene sollten sofort ihr Pass­wort ändern, wenn sie von dem Daten­diebstahl erfahren – ob von Freunden, dem Anbieter oder aus den Medien. „Wer dasselbe Pass­wort für mehrere Internet­dienste verwendet, muss es über­all ändern“, sagt Tim Griese vom Bundes­amt für Sicherheit in der Informations­technik (BSI). Zu groß ist die Gefahr, dass die Diebe die ihnen bekannte Kombination aus E-Mail-Adresse und Pass­wort auf gut Glück bei beliebten Onlineshops oder sozialen Netz­werken eingeben. Dann können sie unter dem fremden Namen nicht nur Spam verschi­cken, also unerwünschte E-Mails mit eindeutig zweideutigen Angeboten oder mit Viren und Trojanern, die Daten auf dem befallenen PC auslesen. Sondern sie können auch im Namen des anderen einkaufen oder mit dessen Freunden in Kontakt treten. Ratsam ist es, die Adress­buch­kontakte zu informieren. Links oder Anhänge, die der Betroffene vermeintlich verschickt, sollte der Empfänger nicht öffnen, um nicht selbst das nächste Opfer der Daten­diebe zu werden. Die beste Reaktion: die E-Mails löschen. „Kommt es zu strafbaren Hand­lungen, sollte der Betroffene Anzeige bei der Polizei erstatten“, rät Tim Griese.

Für bestellte Ware haftet Nutzer nicht

Mit den gestohlenen Zugangs­daten können die Daten­diebe möglicher­weise über das fremde Nutzer­konto bei einem Onlineshop einkaufen oder Ware bei Ebay versteigern. Der Inhaber des Kontos haftet für die Ansprüche aus dem Kauf­vertrag normaler­weise nicht: Er muss weder den Kauf­preis bezahlen noch schuldet er die Über­gabe einer Sache, die er nicht verkaufen wollte. Ebenso wenig muss er Schaden­ersatz zahlen. Denn der wahre Inhaber des Nutzer­kontos und die Gegen­seite haben keinen Vertrag geschlossen (Bundes­gerichts­hof, Az. VIII ZR 289/09). Eine Ausnahme besteht, wenn der Nutzer weiß, dass jemand anderes in seinem Namen handelt oder wenn er das hätte wissen und verhindern können. Unter Umständen haftet der Nutzer für Rechts­verletzungen, die von seinem Nutzer­konto aus begangen werden, etwa für Urheber- und Marken­rechts­verletzungen (Bundes­gerichts­hof, Az. I ZR 114/06).

Software und Argwohn schützen

Um nicht selbst Opfer eines Daten­diebstahls zu werden, rät Tim Griese vom BSI: „Internetnutzer sollten immer auf dem neuesten Stand der Sicher­heits­technik sein, um Schad­programmen keine Chance zu geben. Antivirensoftware und eine Firewall sind ein Muss“ zum Test von Sicherheitssoftware. Gegen Phishing und andere Betrügereien hilft hingegen nur ein gesundes Maß an Argwohn. Im Fall von Anne Westermann hatte das ein Angestellter der Post­bank. Er riet ihrer Freundin, bei Westermann anzu­rufen, bevor sie 800 Euro an die Western Union Bank über­weist. Es könnte sich um einen Betrugs­versuch handeln.

*Name von der Redak­tion geändert.