Wurde Dein E-Mail Konto auch schon gehackt?

Immer mehr Meldungen gibt es im Internet, dass die Konten großer Internetanbieter gehackt wurden und die Daten samt Passwörtern auf entsprechenden Listen im Internet kursieren. Dort können sie dann von zahlungskräftiger Kundschaft gekauft werden, welche sie nutzen, um SPAM bzw. Phishing E-Mails über Ihr Konto zu versenden oder es missbrauchen, um sich Ihre Identität anzueignen. Alle Ihre Mails können vom Hacker gelesen und Antworten in Ihrem Namen versendet werden. Also auch Mails mit wichtigen Inhalten wie Benutzernamen für Internetdienste, Bankverbindungen, private und dienstliche Korrespondenz, eventuell sogar Passwörter und natürlich auch alle Fotos, welche Sie versenden oder empfangen. Das macht Sie unter Umständen erpressbar, z. B. mit Fotos einer außerehelichen Beziehung usw. 

Große bekannt gewordene Fälle von Datendiebstahl  (Beispiele)

2003 - ca. 94 Millionen Kunden von TJX (amerikanische Firma) sind betroffen vom Datenklau (Kreditkarteninformationen) 

2009 - 130 Millionen Kreditkartendaten werden bei Heartland Payment Systems in den USA gestohlen

2012 - 164 Millionen Passwörter und Mailadressen werden bei Linkedin gestohlen, was aber erst im Mail 2016 bekannt wird, als die Daten im Darknet angeboten werden

August 2013 - Yahoo wurden wahrscheinlich mehr als 1 Milliarde Konten gestohlen 

Oktober 2013 - 153 Millionen Adobe Konten (Nutzername, Mail, Passwort) werden gestohlen

August 2014 - russische Hacker erbeuten 1,2 Milliarden Anmeldedaten für Webseiten, beispielsweise eBay und Facebook

September 2014 - 56 Millionen Kreditkartendaten und 53 E-Mailadressen werden dem US Händler Home Depot gestohlen 

Jahr 2015 - 80 Millionen Krankenkasseninformationen (Namen, Geburtsdaten,Sozialversicherungsnummern) werden dem Krankenversicherer "Anthem" in den USA gestohlen

Juli 2017 - 500 Millionen E-Mailadresse inklusive Passwörtern wurden im Darknet gefunden

September 2017 - Instagram gehackt und 6 Millionen Konten geklaut

Februar 2019 - rund 18 Millionen YouNow-Kontodaten wurden im Darknet verkauft.

März 2019 - rund 600 Millionen Passwörter von Facebook und Instagram wurden geleakt

2020 - rund 3 Milliarden Fotos von Clearview AI, einer Firma für Gesichtserkennung wurden gestohlen.

April 2020 - Von der Google Playstore-Alternative für Android-Apps Aptoide wurden 22 Millionen Nutzerdatensätze gestohlen.

Quelle: Wikipedia

Neben diesen großen Hacks gibt es unzählige Hacks auf kleine Firmen, welche oft nicht das Geld oder Wissen haben, die Daten Ihrer Kunden entsprechend zu schützen. Dazu kommen unzählige Phishing Attacken, wo die Nutzer bereitwillig Ihre Daten selbst dem Räuber übermitteln. 

Wie finde ich heraus, ob mein E-Mail-Konto gehackt wurde?

Mittlerweile gibt es im Internet einige Dienste, welche die Datensätze gehackter Konten sammeln und eine Suchfunktion anbieten. Wird Ihr Mailkonto bei den Daten gefunden, erhalten Sie eine entsprechende Meldung. Dann sollten Sie das Passwort Ihres Mailkontos sofort ändern. 

Bei folgenden Diensten können Sie Ihre E-Mail-Adresse überprüfen lassen:

Hasso-Plattner-Institut

Offen gestanden hatte ich bislang noch nie etwas vom Hasso-Plattner-Institut (HPI) gehört. Es ist ein An-Institut der Uni Potsdam und liegt in Potsdam-Babelsberg. Benannt und gegründet wurde es von Hasso Plattner, dem Gründer von SAP (weltweit viertgrößte Softwarehersteller!). Man kann also davon ausgehen, dass die Seite und der Dienst absolut seriös sind. 

Zur Überprüfung Ihrer E-Mail-Adresse rufen Sie die folgende Seite des Hasso-Plattner-Instituts auf: https://sec.hpi.de/ilc/search

Sie erhalten jetzt eine Eingabezeile, in die Sie die zu prüfende Mailadresse eingeben können. Ähnlich wie bei Sicherheitscheck des BSI erhalten Sie auch hier eine Benachrichtigungsmail, ob Ihre Mail in Verbindung mit Datenklau auftaucht. Klicken Sie nun auf die Schaltfläche "E-Mail-Adresse prüfen!". 

Danach schauen Sie in Ihr Postfach, ob eine Mail des HPI angekommen ist. Bei HPI erhalten Sie auf jeden Fall eine E-Mail, egal ob die Mailadresse gehackt wurde oder auch nicht. Falls Ihre Mailadresse betroffen ist, dann finden Sie in der Mail entsprechende Hinweise, worauf sich das Datenleck bezieht und welcher Dienst betroffen ist.

Experte.de

Ein Vergleichsportal für Selbstständige und Unternehmen, welches sich die Mühe gemacht hat, die originalen englischen Texte von https://haveibeenpwned.com/ (siehe nächster Beitrag) ins Deutsche zu übersetzen und nach der Eingabe der E-Mail-Adresse anzuzeigen. 

Sie finden den Dienst unter der Webadresse: https://www.experte.de/email-check

Einen Passwort-Check findet Ihr ebenfalls auf dieser Präsenz unter der Webadresse: https://www.experte.de/passwort-check 

haveibeenpwned - Have I been pwned?

haveibeenpwned  ist ein weiterer Dienst in englischer Sprache, mit dem Sie Ihre E-Mail-Adressen überprüfen können. Diese Seite wurde vom Sicherheitsexperten Troy Hunt 2013 gegründet und ist schnell sehr populär geworden. 

Sie finden den Dienst unter der Webadresse: https://haveibeenpwned.com/. Die Vorgehensweise ist ähnlich wie bei den vorangegangenen Diensten. Allerdings können hier neben E-Mail-Adressen auch Nutzernamen und Webseiten auf Sicherheitslecks hin überprüft werden. Auf Wunsch kann man sich automatisch bei später auftretenden Lecks per Mail benachrichtigen lassen.

Nach dem Aufruf der Webseite muss man in der Eingabezeile die zu prüfende E-Mail-Adresse oder den Nutzernamen eintragen und dann auf die Schaltfläche pwned klicken. Die Ergebnisse erhält man umgehend auf der Webseite angezeigt. Erst die Anzahl der Sicherheitsverletzungen und dann unterhalb eine Liste der betroffenen Dienste. 

Sie können mit diesem Dienst auch Ihr Passwort überprüfen lassen. Dazu ganz oben in der Menüleiste auf "Passwords" klicken. Dann kann man in der Eingabezeile ein verwendetes Passwort eintragen und nach einem Klick auf "pwned?" wird Ihnen angezeigt, ob dieses Passwort bereits verwendet wurde. 

Falls ja, dann umgehend ändern.

Wie kann ich verhindern, dass meine Passwörter und Daten gestohlen werden???

Die Möglichkeiten der Datendiebe sind leider sehr vielfältig. Aber Sie können schon ein wenig dem Datenklau entgegenwirken.

1. Auf jeden Fall ein Antivirenprogramm installieren: 

Es gibt mittlerweile für jedes Betriebssystem und Plattform kostenpflichtige und kostenlose Antivirenprogramme. Ein Antivirenprogramm sollten Sie auf jeden Fall auf Ihrem Endgerät (PC, Notebook, Tablet, Smartphone) installiert haben und auch auf jeden Fall regelmäßig (am besten automatisch) updaten.

Beliebte Antivirenprogramme sind zum Beispiel Norton Security (verschiedene Varianten -kostenpflichtig) oder auch Avira Antivirus bzw AVG Antivirus (kostenfrei). Hier eine Liste. 

2. Das Betriebssystem und alle installierten Softwareprogramme stets aktuell halten. 

Oft haben alte Programme und Betriebssysteme zig Sicherheitslücken. Zwar sind neue Programme auch nicht besser, jedoch sind die Sicherheitslücken erst einmal nicht so bekannt. Spielen Sie daher zeitnah entsprechende Updates auf. Schalten Sie, wenn möglich, die automatischen Updatefunktionen ein. Es gibt im Internet auch kleine Programme, welche dabei helfen können, wie z. B. FileHippo

3. Surfen Sie nur auf sicheren Webseiten.

Viele Antivirenprogramme helfen Ihnen dabei, negative Webseiten mittels Browser-Plugins herauszufiltern. Sie bekommen dann im Browser eine entsprechende Warnung. Vorsicht bei Sex-Seiten und Seiten, deren Inhalte nicht gesetzeskonform sind. Auf diesen wimmelt es in der Regel von Viren, welche nur auf Sie warten. Oft reicht die Anzeige einer solchen Webseite zur Infizierung schon aus.

4. Software nur aus vertrauenswürdigen Quellen laden

Wenn Softwaredownload, dann nur von Webseiten, denen Sie vertrauen können. In der Regel sind das die großen Firmen wie Computerbild, PC-Welt oder auch die Herausgeber der Software selbst. Laden Sie keine Programme von dubiosen Webseiten oder dem Usenet herunter. Diese sind fast immer mit Viren versehen.

5. Sichere Passwörter verwenden, für jeden Dienst andere

Bei Passwörtern bitte nur sichere verwenden. Je wichtiger der Dienst, desto wichtiger sollte das Passwort sein. Da meist heute die E-Mail-Adresse als Benutzernamen verwendet wird, benötigt der Hacker in der Regel nur noch das Passwort. Das kann man oft durch Ausprobieren (BruteForce) herausbekommen. Dabei werden zum einen im Internet erhältliche Passwortlisten benutzt und zum anderen durch den Computer selbst alle möglichen Varianten von Passwörtern generiert. Und der Computer ist sehr schnell darin!

Ihr Passwort sollte mittlerweile mehr als 8 Zeichen haben. Je wichtiger, desto länger. Benutzen Sie nicht nur kleine/große Buchstaben und Zahlen, sondern auch Sonderzeichen wie #~*$§ usw. Die Sonderzeichen nicht nur am Ende, sondern auch im Passwort.

Benutzen Sie keine Worte, wie man sie auch im Wörterbuch findet!

Im Duden findet man doch viele Worte, von denen Sie noch nie etwas gehört haben. Das trifft aber leider nur auf Sie zu. Das Computerprogramm des Hackers kennt alle Einträge des Dudens und in Sekunden ist Ihr doch so schönes Passwort gefunden.

Benutzen Sie keine Passwörter aus Ihrem persönlichen Umfeld, die andere erraten können.

Kennt man ja aus jeden Film. Wie lautet bloß das Passwort - Hmm achso, vielleicht der Name des Hundes, des Kindes oder das Geburtsdatum der verstorbenen Frau.

Benutzen Sie keine Buchstaben oder Tastaturmuster!

Beispiele: QWERTZ, ASDFGHJ, 123456789, 147258, 

Benutzen Sie keine Trivialpasswörter!

Beispiele: password, baseball, dragon, mustang, superman, 696969, abc123

6. Ändern Sie Ihre Passwörter regelmäßig!!!

Manche Nutzer verwenden jahrelang immer das gleiche Passwort. Damit machen sie es Hackern sehr leicht. Ist das Passwort erst einmal bekannt, wird es im Darknet schnell zum Verkauf angeboten und tausendfach verkauft und das über Jahre hinweg. Machen Sie es den Dieben schwer, indem Sie regelmäßig (wenigstens ein Mal im Jahr) das Passwort ändern. Passwortlisten mit nicht funktionierenden Passwörtern verlieren schnell an Attraktivität im Netz. Wer will schon Geld für wertlose Listen bezahlen.

7. Verwenden Sie für jeden Dienst ein separates Passwort!

Nichts ist schlimmer, als wenn für jeden Dienst immer das gleiche Passwort verwendet wird. Damit lädt man die Diebe geradezu ein. Irgendwann macht man immer mal einen Fehler oder ein relativ unwichtiger Dienst wird gehackt und mit den nun erbeuteten Passwörtern kann dann der Hacker auch alle anderen Dienste von ihnen benutzen. 

Beispiel für ein sicheres Passwort: VEbsSuBddFh,bB.

Gemäß der Webseite: https://howsecureismypassword.net/ würde ein Computer mit der BruteForce Methode derzeit 5 Billion Jahre zur Entschlüsselung benötige. Ich denke, damit kann man es als sicher bezeichnen ;-)

Wie kann man sich nun so ein Passwortmonster merken? Das ist ganz einfach. Hinter dem oben genannten Passwort steht der Anfang des Osterspazierganges von Goethe, der da lautet: Vom Eise befreit sind Strom und Bäche durch des Frühlings holden, belebenden Blick.

Sicherlich fällt Ihnen eine ähnliche Zeile ein. Das kann ein Gedicht sein, ein Zitat oder ein Stück aus einem Lied, was Sie kennen. Damit machen Sie Ihr Passwort so gut wie unknackbar. 

Testen können Sie Ihre Passwörter auf der Seite: https://howsecureismypassword.net/

Haben Sie sehr viel Passwörter, dann kann die Verwendung eines Passwortmanagers hilfreich sein. Ich persönlich verwende seit vielen Jahren das kostenpflichtige Programm "Roboform" und bin damit sehr zufrieden. 

8. Passen Sie bei verdächtigen E-Mails auf. Klicken Sie nicht auf Links in solchen E-Mails und öffnen Sie keine Anhänge.

Viele E-Mails, welche man bekommt, stammen gar nicht von der Sparkasse, Facebook, PayPal oder dem Internetprovider, sondern von Hackern. In denen werden Sie regelmäßig aufgefordert, Ihr eingeschränktes Konto zu verifizieren oder aber andere Angaben zu machen. Möglicherweise befinden  sich auch Anhänge in der Mail, mit einer angeblichen Rechnung usw. Nicht immer ist es so einfach solche Mails von echten zu unterscheiden. Folgende Indizien weisen auf eine gefälschte Mail hin:

- es gibt in der Mail keine Anrede, oder nur eine allgemeine Anrede ohne Nennung des Namens

- der Text der Mail setzt den Empfänger unter Zeitdruck: "Wenn Sie nicht innerhalb von...., dann"

- es gibt in der Mail viele Rechtschreib- und Grammatikfehler

- enthaltene Hyperlinks verweisen auf dubiose Webseiten. Gehen Sie in z. B. in Outlook mit dem Mauszeiger über den Hyperlink, dann wird die wahre Adresse angezeigt. Diese liegt dann oft irgendwo in Russland oder Karibikinseln. 

Falls Sie solche Mail bekommen, dann klicken Sie niemals auf solch einen Link, sondern wählen Sie die betreffende Webseite im Browser direkt an, z. B. www.paypal.de, www.ebay.de usw. 

Anhänge schicken Sie am besten zur Überprüfung an Avira. Benutzen Sie dazu den folgenden Link: https://analysis.avira.com/de/submit