Wurden Sie gehackt?
Passwörter werden häufiger geklaut als Velos oder Handtaschen. Darum braucht es Absicherung, Vorsicht und Wissen für den Notfall.
Von Matthias Schüssler
Daten sind leichtes Diebesgut – das zeigt sich immer wieder. Ende letzten Jahres wurde der grösste Datenklau aller Zeiten ruchbar: Bei Yahoo waren schon 2013 persönliche Daten von mehr als einer Milliarde Nutzer entwendet worden Aber das ist nur die Spitze eines riesigen Eisbergs. Wie man in einer – notabene eindrücklichen – Datenvisualisierung erlebt, gibt es kaum ein Angebot mit Rang und Namen im Web, das von Datenlecks verschont geblieben wäre. Yahoo, Adobe.com, Last.fm, Apple, Snapchat, das Sony PSN oder Dropbox.com sind nur einige der prominenten Beklauten.
Haveibeenpwned.com bringt an den Tag, von welchen Hacks man betroffen ist.
Das heisst, dass die meisten Nutzer auch hier in der Schweiz vom einen oder anderen Fall betroffen waren. Meist geht das glimpflich aus, weil Passwörter normalerweise so gespeichert sind, dass sie auch nach einem erfolgreichen Datendiebstahl nicht einfach missbraucht werden können.
Eine Sicherheitsmassnahme, die sich aushebeln lässt
Sie werden üblicherweise als «Hash» gespeichert: Das ist ein Kontrollwert, der nur in eine Richtung funktioniert. Man kann mit ihm eine Passworteingabe auf ihre Richtigkeit überprüfen. Es ist aber nicht möglich, das ursprüngliche Passwort zu rekonstruieren. Unsichere Passwörter lassen sich aber auch anhand des Hashs knacken, indem man für häufig infrage kommende Zeichenfolgen den Hash errechnet und ihn dann mit den gestohlenen Daten vergleicht.
Darum braucht es dreierlei:
Erstens Absicherung: Für jedes Login bei jeder Website muss ein separates Passwort zum Einsatz kommen. Dieses Passwort sollte möglichst lang und schwer zu knacken sein, und sinnvollerweise verwenden Sie für die Verwaltung ein Passwort Manager-Programm.
Unzählige Fälle von Datendiebstahl, visuell dokumentiert.
Eine gute Sache ist auch die 2-Faktor-Authentifizierung. Sie ergänzt die Passworteingabe durch einen nur einmal verwendbaren Code, was die Sicherheit selbst bei nicht sehr guten Passwörtern markant erhöht. Der Code wird per SMS zugestellt, oder er kann über eine Authentifizierungs-App abgerufen werden zum Beispiel über google/s.html» target=»_blank»>Google
Den Hackern nicht in die Hände spielen
Zweitens Vorsicht: Nebst den Datenklaus schaffen es die Cyberkriminellen immer wieder, Nutzern ihre Passwörter zu entlocken. Davor schützt man sich mit einer einfachen Methode – man ruft Websites fürs Einloggen nicht über Links in Mails auf, sondern gibt die Adresse selbst ins Adressfeld des Browsers ein. Oder man verwendet ein Lesezeichen.
Drittens die datenrettenden Massnahmen im Notfall: Wenn es denn passiert ist und sich Fremde Zugang zu Ihrem Konto verschafft haben, dann sollten Sie richtig reagieren. Ändern Sie Ihr Passwort oder setzen Sie es notfalls zurück. Falls Sie das gleiche Passwort auch andernorts benutzt haben, müssen Sie es bei allen betroffenen Webdiensten aktualisieren.
Ist eine Warnung nötig?
Bei einem gehackten Mailkonto müssen Sie unter Umständen alle Kontakte im Adressbuch informieren – es besteht nämlich die Gefahr, dass diese von den Hackern unter einem Vorwand um Geld angegangen werden
Ist ein Social-Media-Konto betroffen, haben die Cyberkriminellen womöglich Postings in Ihrem Namen vorgenommen, die Sie löschen müssen. Wurde ein Webshop-Zugang geknackt, kommen Sie wahrscheinlich nicht darum herum, Ihre Kreditkarte sperren zu lassen. Und wenn nicht ausgeschlossen werden kann, dass die Hacker über Ihren Computer an die Zugangsdaten gelangt sind, führen Sie eine Überprüfung auf Viren durch.
Matthias Schüssler weiss, wovon er spricht – ihm sind schon diverse Passwörter abhandengekommen.Video: Matthias Schüssler