Gastkommentar: E-Mail-Hack, sauer aufgestoßen

Ein Kommentar von Udo Schneider, Sicherheitsexperte und Pressesprecher beim IT-Sicherheitsanbieter Trend Micro, zu den Lehren aus der jüngsten BSI-Warnung. [...]

Die Warnung des BSI vom 21. Januar, dass 16 Millionen E-Mail-Konten in Deutschland gehackt wurden, hat die Bevölkerung aufgeschreckt. Und das zu Recht. Denn betroffen waren nicht nur E-Mail-Daten, sondern in vielen Fällen auch Konten auf Online-Shops oder in sozialen Netzwerken, wenn dort das Passwort des gehackten E-Mail-Kontos verwendet wurde. Die Opfer dieses Informationsdiebstahls haben so kaum eine Chance, den Schaden vollständig und ohne Hilfe zu bereinigen.

Es dürfte wohl kaum jemanden geben, der den vollständigen Überblick darüber hat, auf welchen Online-Seiten er oder sie sich in den vergangenen fünf Jahren mit persönlichen Zugangsdaten registriert hat. Und gerade weil ein Computernutzer in der Regel eine Vielzahl solcher Konten angelegt hat, ist es naheliegend, sich nicht jedes Mal neue Zugangsdaten auszudenken, sondern das Passwort des eigenen E-Mail-Kontos zu verwenden. Aber genau dieses nachvollziehbare Verhalten macht den Cyberkriminellen das Spiel so leicht und gleichzeitig lukrativ. Zumindest einige der Opfer dieses Hacks dürften also noch böse Überraschungen erleben, was mit ihren Daten auf längst vergessenen Online-Konten in diesen Tagen und Wochen angestellt wird.

Die Hauptlehre aus dem Vorfall lautet deshalb: Es kann immer wieder passieren – und wir alle müssen unser Verhalten ändern.

PASSWORT ÄNDERN REICHT NICHT
Freilich ist dies leichter gesagt als getan. Denn Empfehlungen, stets unterschiedliche und komplexe Passwörter anzulegen, sind im Alltag wenig praktikabel. Außerdem hätte diese Maßnahme im konkreten Fall den Schaden nur bedingt begrenzt. Selbst wenn nur das E-Mail-Konto gehackt wurde, reicht das Ändern des alten Passworts in den von Trend Micro untersuchten Fällen nicht aus. Denn die Kriminellen haben in den gekaperten Konten E-Mail-Aliase angelegt und können mit deren Hilfe das gekaperte Konto weiter für ihre Zwecke missbrauchen, selbst wenn das Passwort geändert wurde. Erst nach dem Löschen aller von den Kriminellen angelegter Aliase ist der Missbrauch beendet. Ob die bis dahin entwendeten E-Mails vom Provider wiederhergestellt werden können, steht freilich auf einem anderen Blatt.

Was können wir also tun? Die Forderung nach individuellen und sehr komplexen Passwörtern, die in regelmäßigen und nicht zu großen Abständen geändert werden, bleibt gültig. Der Mensch braucht daher wie immer Unterstützung durch die Technik, um die Schwächen der Technik an anderer Stelle auszugleichen. Mittlerweile gibt es Passwortmanager, die den Anwendern die Verwaltung vieler unterschiedlicher, starker Passwörter erleichtern und für jedes einzelne Konto ein starkes Passwort erstellen, ohne dass der Anwender sich die einzelnen Passwörter merken muss.

Ferner sollten Anwender auf jeder Website, die eine Zweifaktorauthentisierung, also zum Beispiel per Benutzername und Kennwort sowie über Smartphone, anbietet, diese auf jeden Fall nutzen. Außerdem sollten sie sich ausschließlich von ihren eigenen Geräten aus anmelden, die sie zudem mit einer stets aktuellen Schutzsoftware ausstatten. Manche Online-Dienste registrieren diese Geräte sogar und verweigern den Zugriff für unbekannte Rechner oder Smartphones. Schließlich sollten die Anwender im Idealfall mindestens zwei E-Mail-Konten bei unterschiedlichen Anbietern unterhalten, um sich im Falle eines Hacks mit der nicht gekaperten E-Mail-Adresse beim Provider melden und als legitimer Besitzer ausweisen zu können. Denn dann gehen etwaige Bestätigungs-E-Mails an das E-Mail-Konto, das die Cybergangster nicht kontrollieren.

* Udo Schneider ist Senior Manager PR Communications DACH bei Trend Micro.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*