Passwörter dürfen nicht zu simpel sein

Angriffe von E-Mail-Piraten immer häufiger

Als sie eine E-Mail von ihr auf Englisch erhielten, waren einige von Isabel Frenzels Freunden überrascht. Noch mehr wunderten sie sich darüber, dass sich die Studentin nicht nur nach dem Befinden erkundigte, sondern auch gleich eine Internetseite empfahl, die elektronische Produkte verkaufe. Tatsächlich hatte ein obskurer Anbieter namens "365eurbuy.com" ihr Postfach gekapert.

Solche Fälle kämen im Moment sehr häufig vor, sagt Jens Heider, Leiter des IT-Sicherheitslabors beim deutschen Fraunhofer-Institut für Sichere Informationstechnologie. Passwörter auszuspionieren gehöre mittlerweile zum Standardrepertoire jeder Schadsoftware. Viele Nutzer machten es den Angreifern aber allzu leicht, indem sie ein zu simples Passwort ohne Zahlen und Sonderzeichen auswählen. So bekommen Programme, die einfach Buchstabenkombinationen durchprobieren, das Postfach schnell geknackt.

Für dieses Haupteinfallstor sind viele Nutzer zwar mittlerweile sensibilisiert. Doch die Hintertür vernachlässigen ebenso viele weiterhin: Das sogenannte Recovery-Passwort. Mit dessen Hilfe gelangen sie in ihr Postfach, wenn sie das Haupt-Passwort vergessen haben. In der Regel ist es die Antwort auf eine persönliche Frage, etwa nach der Lieblingsfarbe oder dem Mädchennamen der Mutter.

Viele Nutzer gäben sich bei der Auswahl ihres Recovery-Passworts zu wenig Mühe, sagt Jens Heider. Wenn sie es am Ende der Registrierungsprozedur nennen müssen, seien sie erschöpft oder genervt. "Da sollten die Leute viel mehr Kreativität aufbringen." Lässt ein Nutzer etwa seinen Geburtsort abfragen, muss ein Angreifer nur die Liste der Krankenhäuser in Deutschland durchprobieren. In letzter Zeit hätten die Angriffe auf die Hintertür stark zugenommen. Auf diese Weise knackten Hacker auch das Postfach von Paris Hilton.

Doch wie handelt man sich Schadsoftware, die Passwörter ausspäht, überhaupt ein? Gern schmuggeln Hacker über Trojaner Spionageprogramme auf die Rechner ihrer Opfer, warnt Matthias Gärtner vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie hängen die Trojaner an Mails an, die Gewinne anpreisen, Lösungen für Erektionsstörungen und Haarausfall versprechen oder mit Mahnungen in Panik versetzen wollen.

Andere Internetkriminelle fälschen Webseiten von Kreditinstituten, fragen bei der Registrierung ein Passwort oder die Geheimnummer des Bankkontos ab - und entlarven sich damit als Bauernfänger. "Sowas fragt kein seriöser Anbieter ab", erklärt Gärtner. Bekommt ein Nutzer eine solche Mail, gilt: "Erst denken, dann klicken". Im Zweifel sei es besser, lieber mal eine E-Mail zu viel zu löschen.

Bevor Nutzer selbst Mails verschicken, sollten sie prüfen, ob ihre Verbindung durch eine SSL-Verschlüsselung geschützt ist. Denn eine unverschlüsselte E-Mail sei genauso leicht zu manipulieren wie eine mit Bleistift geschriebene Postkarte, sagt Matthias Gärtner. Um sich vor Passwortspionen zu schützen, sollten Anwender außerdem regelmäßig ihr Virenschutzprogramm und ihre Firewall aktualisieren.

Beim Surfen in der Öffentlichkeit ist extreme Vorsicht geboten. Zu Hause bildet der Router mit seiner Hardware-Verschlüsselung einen ersten, starken Schutzwall, wie Heider erläutert - am Hotspot gilt das nicht. Besonders dringend warnt der Experte Nutzer davor, sich von kostenlosen Drahtlosnetzwerken locken zu lassen: Jeder Betrüger könne aus dem Netz eine CD herunterladen, die er nur in seinen Laptop einlegen muss, um sich als Gratis-Hotspot auszugeben. Nimmt ein Argloser das Angebot an, kann der Datendieb seine Kommunikation mitlesen. "In fünf Minuten hat man so sein erstes Passwort."

Wer feststellt, dass sein elektronisches Postfach gekapert wurde und dass jemand E-Mails in seinem Namen versendet, sollte zuerst die Personen im Adressbuch warnen, sagt Gärtner. Danach muss er sofort das Passwort ändern - oder ein neues Konto anlegen, wenn es nicht zu viel Aufwand erfordert. Sinnvoll sei auch, für verschiedene Zwecke eigene E-Mail-Fächer anzulegen: eines für Freunde und Familie und eines für Buchungen, Einkäufe und Registrierungen etwa. Dabei sollte nicht immer das gleiche Passwort verwendet werden.

Auch für Konten bei Providern, Sozial-Netzwerken oder Onlineshops denken sich Nutzer besser jeweils eigene Passwörter aus. Sonst gelte: Ist eines geknackt, sind alle geknackt. Auch wenn die Täter häufig in Übersee sitzen und kaum erwischt werden, rät Heider, bei der Polizei Anzeige zu erstatten. "Dann hat man schriftlich etwas in der Hand, wenn noch schlimmerer Schaden entsteht."

Isabel Frenzel ist auch so schon bedient: In ihrem Adressbuch standen 250 Personen, einige hat sie Jahre nicht mehr gesehen. "Und jetzt bekommen sie so einen Quatsch von mir, das ist schon peinlich." Sie hat nun erstmal ein Virenschutzprogramm gekauft und sich ein neues Passwort ausgedacht.