Facebook, Apple, Google, Twitter, GMX Das passiert, wenn jemand Ihr Konto hacken will

Würden Sie es merken, wenn jemand in Ihr Nutzerkonto eindringen will? Wir haben es bei Facebook, Apple, Google, Twitter und GMX ausprobiert - mit teils beunruhigenden Ergebnissen.

Login auf Facebook an (Archivbild)
DPA

Login auf Facebook an (Archivbild)

Von


Daten von knapp tausend Politikern und Promis hat Johannes S. alias "0rbit" zusammengestellt und veröffentlicht. Auch wenn er selbst überführt und geständig ist, könnte er Nachahmer inspirieren. Schließlich hat der mutmaßliche Täter keine ausgefeilte Malware entwickelt, um sich Zugang zu den Mail-, Social-Media- und Cloud-Konten seiner Opfer zu verschaffen. Soweit bekannt, hat er vielmehr Passwörter erraten oder in Sammlungen von Passwortleaks gefunden, und er hat Schwächen in den Funktionen "Passwort vergessen" oder "Passwort zurücksetzen" ausgenutzt.

Was Nutzer jetzt tun sollten, steht in zahlreichen Ratgeberartikeln. Aber wie helfen die Anbieter der Onlinedienste ihren Nutzern, wenn Unbekannte versuchen, sich in deren Accounts zu schummeln? SPIEGEL ONLINE hat in einem Experiment überprüft, wie Facebook, Apple, Google, Twitter sowie der deutsche E-Mail-Provider GMX auf ungewöhnliche Aktivitäten rund um Nutzerkonten reagieren.


1. Passwort zurücksetzen

Zunächst haben wir versucht, als quasi unbekannter Nutzer über die Funktionen Passwort vergessen beziehungsweise Passwort zurücksetzen Zugriff auf unsere Konten zu bekommen - und abgewartet, was passiert.

Facebook schickt in diesem Fall eine Benachrichtigungs-E-Mail an die im Profil hinterlegte Adresse. Über einen Link ("teile uns das mit") kann man Facebook signalisieren, dass man die Passwort-Änderung nicht selbst beantragt hat.

Facebook-Warnung
SPIEGEL ONLINE

Facebook-Warnung

Die automatische Antwort darauf öffnet sich im Browser und besagt, dass der Änderungsprozess abgebrochen wurde.

Wer den Link nicht anklickt, sondern schriftlich auf den Betrugsversuch hinweisen will, bekommt in seinem E-Mail-Programm folgendes angezeigt:

Von: Facebook <security@facebookmail.com> Antwort an: noreply <noreply@facebookmail.com>

Diese Adressen sind jedoch nicht zur Kontaktaufnahme mit Facebook gedacht, wie Anke Domscheit-Berg, parteilose Bundestagabgeordnete der Linksfraktion, erfahren musste. Ende Dezember habe jemand versucht, ihr Passwort zurückzusetzen, sagte sie SPIEGEL ONLINE. Auf ihren entsprechenden Hinweis, den sie an security@facebookmail.com schickte, bekam sie nie eine Antwort.

Apple macht das Zurücksetzen des Passworts für die Apple-ID von den jeweiligen Sicherheitseinstellungen der Nutzer abhängig. Hatten wir die Zwei-Faktor-Authentifizierung (2FA) aktiviert, bekamen wir andere Anleitungen, als wenn sie nicht aktiviert war. Wir haben verschiedene Optionen ausprobiert, und jede führte dazu, dass wir als Kontoinhaber über die versuchte Passwort-Änderung informiert wurden.

Twitter und GMX bieten an, einen Freischalt-Link für ein neues Passwort an die hinterlegte (im Fall von GMX alternative) E-Mail-Adresse zu senden. Sofern diese gut gesichert ist, käme ein Angreifer an dieser Stelle nicht weiter. Deshalb bekommt man als Twitter- oder GMX-Nutzer auch nichts davon mit, wenn jemand den Einbruchsversuch schon an dieser Stelle abbricht.

Bei Twitter kann man sich stattdessen - theoretisch - eine SMS mit einem Bestätigungscode schicken lassen. In unserem Test funktionierte das aber nicht, die SMS kam nicht an. Und man kann in den Konto-Einstellungen festlegen, dass Twitter zum Passwort-Zurücksetzen eine Bestätigung der E-Mail-Adresse oder Telefonnummer verlangt - diese Option ist standardmäßig nicht aktiv.

Twitters Sicherheitseinstellungen
SPIEGEL ONLINE

Twitters Sicherheitseinstellungen

Bei GMX kann ein Betrüger alternativ die Telefon-Hotline anrufen. Die verlangt zum Zurücksetzen des Passworts den Vor- und Nachnamen, die Anschrift und das Geburtsdatum. Ist eine Sicherheitsfrage eingerichtet, muss sie am Telefon beantwortet werden. Ist keine hinterlegt, gibt man eine E-Mail-Adresse an, über die man GMX einen Scan des Personalausweises schicken muss.

Wir erinnern uns: Die von Johannes S. veröffentlichten Dokumente enthielten außer Privatanschriften auch einige Kopien von Personalausweisen. Theoretisch hätte er damit also in GMX-Konten eindringen können. Ein Sprecher von GMX schrieb uns allerdings, es gebe "keine Hinweise" darauf, dass Johannes S. mit eingesandten Ausweiskopien Zugriff auf fremde Konten bekommen hat.

Google fragt für die Passwort-Wiederherstellung unter anderem nach dem letzten Passwort, an das man sich erinnert und gegebenenfalls nach der Antwort auf die Sicherheitsfrage. Eine Warnung über den fehlgeschlagenen Versuch bekamen wir aber weder per Mail noch im Google-Konto - obwohl es dort im Menü unter Sicherheit den Bereich Kürzlich aufgetretene Vorkommnisse gibt, der sich dafür anbieten würde.


2. Passwort erraten

In der zweiten Runde haben wir bei allen Diensten immer wieder falsche Passwörter eingegeben, um einen Angreifer zu simulieren, der Passwörter zu erraten versucht.

Facebook erzwingt nach 20 Fehlversuchen eine Pause. Eine Benachrichtigung über den Vorfall kommt wiederum per E-Mail, nach dem gleichen Muster wie beim Passwort-Zurücksetzen.

Apple sperrt ein Konto bereits nach zehn falschen Passwort-Eingaben. Zum Entsperren gibt es verschiedene Optionen. Die einfachste setzt voraus, dass man ein weiteres, bereits eingerichtetes Apple-Gerät besitzt. Über das erfolgreiche Entsperren wird man dann per Mail benachrichtigt. Das ist wichtig, weil Apple darin auch erklärt, wie man sein Passwort ändern kann, wenn man es nicht selbst war, der gerade sein Konto entsperrt hat.

Benachrichtigung über gesperrte Apple-ID
SPIEGEL ONLINE

Benachrichtigung über gesperrte Apple-ID

Twitter erzwingt nach zu vielen falschen Passwörtern - in unserem Test waren es 16 - eine Pause von 60 Minuten, bis man es erneut versuchen kann. Nach der Wartezeit hat man erneut 16 Versuche, gefolgt von einer erneuten Zwangspause von 60 Minuten. Eine Warnung an die hinterlegten E-Mail-Konten gibt es aber auch nach 48 Fehlversuchen nicht.

Das bedeutet, dass ein Angreifer mit genügend Zeit zumindest die wahrscheinlichsten Passwörter durchprobieren kann, ohne dass sein Opfer es bemerkt. Twitter behält sich aber zumindest nach der Eingabe vieler falscher Passwörter Schritte vor, bevor jemand mit dem richtigen Zugriff auf das Konto bekommt.

GMX sperrt das Konto nach mehreren - in unserem Versuch acht - falschen Passwort-Eingaben für 24 Stunden, auch wenn man in dieser Zeit das richtige Passwort benutzt. So lange verweist GMX auf eine Informationsseite. Dort steht, dass der Grund für die Sperrung ein "Verdacht auf Fremdzugriff" sein könne und wie man sich wieder einloggt.

Versucht jemand erfolglos, sich einzuloggen, ohne die 24-Stunden-Sperre auszulösen, zeigt GMX die Zahl der Fehlversuche nach dem nächsten erfolgreichen Log-in an - jedoch nur auf der Startseite der Web-Oberfläche. Wer auf dem Smartphone dauerhaft über die App angemeldet ist oder seine Mails über einen Mail-Client abruft, sieht die Warnung nicht.

Bei Google erscheint nach 25 Fehlversuchen ein Captcha, das man zusätzlich lösen muss. Damit will Google sicherstellen, dass ein Mensch die Passwörter eingibt und kein Skript, das Millionen Passwörter ausprobieren könnte. Allerdings ließe sich das Captcha auch automatisiert erkennen und eingeben, ironischerweise mit Googles eigener Technik. Nach rund 100 falschen Passwort-Eingaben haben wir den Test mit Google beendet. Eine Benachrichtigung über diese Versuche gab es weder per Mail noch im Google-Konto.


3. Anmelden über ein neues Gerät

Schließlich haben wir uns überall mit einem unbekannten Gerät angemeldet, wie es bei kompromittierten Accounts der Fall wäre. Davor würde die 2FA schützen, aber wir sind davon ausgegangen, dass sie nicht aktiviert war - was noch immer der Normallfall ist. Drei der fünf Anbieter könnten in diesem Fall ihre Nutzer besser informieren.

Facebook akzeptierte den Log-in (ohne 2FA) in der Standardeinstellung ohne Weiteres. Eine Warnung erfolgt nur, wenn wir das in den Erweiterten Sicherheitseinstellungen unter Erhalte Anmeldungswarnungen bei Logins über unbekannte Geräte so festlegen. In den Einstellungen kann man auch sehen, von wo aus und mit welchen Geräten man aktuell eingeloggt ist.

Bei Apple haben wir zwei Szenarien getestet: die Anmeldung mit der Apple-ID in iCloud über einen Desktop-Computer sowie die Anmeldung mit der Apple-ID an einem neuen iPhone. Im ersten Fall reagierte Apple mit einer hilfreichen E-Mail, in der steht: "Deine Apple-ID wurde verwendet, um sich mit einem Webbrowser bei iCloud anzumelden", gefolgt von Details wie der genauen Uhrzeit der Anmeldung. "Wenn dir die oben aufgeführten Informationen bekannt vorkommen, kannst du diese Nachricht ignorieren. Falls du dich nicht vor kurzem bei iCloud angemeldet hast und der Meinung bist, dass jemand anderes versucht hat, auf deinen Account zuzugreifen, solltest du dein Passwort unter Apple-ID zurücksetzen."

Apple-Warnung
SPIEGEL ONLINE

Apple-Warnung

Im zweiten Fall öffnet sich auf einem anderen Gerät, das schon mit der Apple-ID verknüpft ist, automatisch eine Nachricht. Auf einem iPhone lautete diese: "Deine Apple-ID und Telefonnummer werden jetzt für iMessage und FaceTime auf einem neuen iPhone verwendet. Wenn du dich kürzlich bei 'iPhone für XY' angemeldet hast, kannst du diese Nachricht ignorieren." Als einzige Option steht darunter ein OK zum Wegklicken der Meldung.

Was fehlte, war eine Information darüber, was man tun könnte, wenn man die Nachricht nicht ignorieren will, sondern einen Missbrauchsversuch befürchtet: sein Passwort ändern oder den Apple-Support anrufen.

Twitter verschickte nach dem Log-in vom fremden Gerät eine Nachricht an die im Konto hinterlegte E-Mail-Adresse: "Wir haben kürzlich eine Anmeldung bei deinem Account festgestellt", gefolgt von Informationen zum Gerät und zum ungefähren Standort (auf Basis der IP-Adresse). Dann steht dort: "Falls du das nicht warst: Dein Account ist vielleicht kompromittiert", man solle zunächst sein Passwort ändern.

In den Einstellungen ihres Profils können Nutzer unter Apps und Geräte sehen, wann und über welches Gerät oder welchen Dienst zuletzt ein Zugriff auf das Konto erfolgt ist. Hier lässt sich der Zugriff auch deaktivieren, sprich: Man kann Fremde aus dem eigenen Konto werfen - oder andersherum.

GMX-Nutzer können gleich nach ihrem Log-in auf der Web-Oberfläche (und nur dort) erkennen, wann genau sich zuletzt jemand in dem Konto angemeldet hat. Das steht oben auf ihrer Willkommensseite, wo auch fehlgeschlagene Anmeldeversuche angezeigt werden. Eine neue Anmeldung über ein mobiles Gerät wurde uns im Test allerdings nicht angezeigt. Es wurde auch keine Warnung an die hinterlegte alternative Adresse geschickt.

Wie bei Twitter gilt auch bei GMX: In den Einstellungen können sich Nutzer alle aktiven Sitzungen ansehen und diese auch beenden. Zudem können sie sich dort auch von einem Gerät abmelden, falls ihnen dieses abhanden gekommen ist oder falls es gar nicht ihres ist.

Handelt es sich bei dem verlorenen oder fremden Gerät um ein Smartphone oder Tablet, muss man das allerdings nicht in den Einstellungen, sondern unter Mein Account tun. Das bedeutet: Wer sichergehen will, dass niemand anderes im eigenen Konto angemeldet ist, muss selbst aktiv werden und sich ein wenig durch die Web-Oberfläche von GMX klicken.

Google-Warnung
SPIEGEL ONLINE

Google-Warnung

Von Google bekamen wir nach der Anmeldung über das neue Gerät eine E-Mail an die hinterlegte alternative Adresse, in der es hieß: "Jemand hat sich über ein neues Gerät in Ihrem Google-Konto angemeldet. Sie haben diese E-Mail erhalten, weil wir uns vergewissern möchten, dass es sich hierbei um Sie handelt." Als Option bietet Google den Link "Aktivität prüfen" an.

Wer ihn anklickt, bekommt Details zum (verdächtigen) Log-in auf dem neuen Gerät, darunter den Gerätetyp, wann der Log-in erfolgte sowie die IP-Adresse des neuen Geräts und damit den ungefähren Standort. Dann fragt Google: "Ist Ihnen diese Aktivität bekannt?". Als Antwortmöglichkeiten stehen ein einfaches "Ja" und "Nein, Konto sichern" zur Verfügung. Letzteres führt zur Aufforderung, das Google-Passwort zu ändern. Weitere Tipps gibt Google hier.


Fazit

Von ungewöhnlichen Aktivitäten rund um ihre Konten bei Facebook, Apple, Google, Twitter und GMX bekommen Nutzer nicht unbedingt immer etwas mit. Das ist gewollt. Jeder Anbieter muss abwägen, welche Warnungen hilfreich und welche kontraproduktiv sein können.

Stephan Somogyi, Googles Produktmanager für Sicherheit, sagt: "Wir wissen durch unsere mehrjährige Forschungsarbeit, dass gerade Sicherheitswarnungen am besten nur spärlich eingesetzt werden. Die sogenannte 'Warning Fatigue', also die zunehmende Abstumpfung des Nutzers, die direkt zum Ignorieren wichtiger Sicherheitsinfos führt, hat sich als echtes Problem erwiesen."

Für die Nutzer bedeutet das:

  • Sie sollten erstens die Warnungen, die sie bekommen, ernst nehmen und genau lesen. Natürlich in erster Linie dann, wenn sie unerwartet kommen, wenn man also nicht soeben sein Passwort zurückgesetzt oder sich von einem neuen Gerät angemeldet hat.
  • Zweitens sollten sich Nutzer mit den Details der Sicherheitseinstellungen ihrer Accounts beschäftigen. Die in den GMX-Einstellungen sichtbaren aktiven Sitzungen zum Beispiel dürften nicht jedem bekannt sein, ähnliches gilt wohl für Googles Kürzlich aufgetretene Vorkommnisse und Twitters optionale Bestätigung der Passwortzurücksetzung.
  • Drittens sollten sich Nutzer nicht auf die Sicherheitsmaßnahmen der Anbieter allein verlassen, sondern die Qualität ihrer Passwörter überprüfen und, falls noch nicht geschehen, die Zwei-Faktor-Authentifizierung beziehungsweise die bestätigte Anmeldung aktivieren.


insgesamt 41 Beiträge
Alle Kommentare öffnen
Seite 1
azigomon 26.01.2019
1.
Die Quinzessenz sowohl des Datendiebstahls als auch dieses Tests sollte sein, einerseits sichere Passwörter zu nutzen und zweitens - noch wichtiger - die Zwei-Faktor-Authentifizierung zu nutzen. Eine Sicherheitsschranke ist heutzutage eben leider zu wenig, falls tatsächlich jemand in den Account einsteigen möchte. Und gerade bei Daten wie E-Mail-Adressen oder Online-Banking sichere ich mich lieber gegen solche Gefahren ab.
genau.du 26.01.2019
2. Eigenen Artikel nicht verstanden?
Wie kann das Fazit lauten, u.a. bei Apple bekäme man ungewöhnliche Aktionen ums Konto nicht mit wenn im Artikel steht, dass bei jedem Versuch mind eine Email bekommt bzw. Benachrichtigung auf einem anderen dem Account zugeordneten Gerät angezeigt wird?! Vielleicht einfach mal den Artikel lesen., würde helfen!
moonstruckannalist 26.01.2019
3. GMAIL untersucht den Standort und prüft je nach Browser
(Chrome) die IP Adresse. Damit erhält man bei einem log in von oder auf einem fremden Rechner selten bis gar keinen Zugriff. Ob Chrome die richtige Browserwahl ist, naja - aber wer GMAIL nutzt, dem kann es auch egal sein.
marc123445789 26.01.2019
4. Mailinfos unsinnig
Ich empfinde diese Benachrichtigungen über ein neues Gerät, Anmeldeversuch als sinnlos. Wenn jemand meinen Account gehackt hat, ist es doch ein einfaches, auch diese Mails zu löschen und schon erfahre och nichts mehr. Bei Nutzung von Privatsphäre- Modus in Firefox erhalten ich diese Mails bei jedem login, da ist bei mir auch schon eine gewisse fatigue entstanden.
Ökofred 26.01.2019
5. Naja
Fehlt der Hinweis, dass die Warnungen auch gerne von Hackern verwendet werden, um auf Malware Seiten zu locken. Bekomme täglich eine Warnung, mein Amazon/DHL/Paypal Konto sei gesperrt "wg. verdächtiger Aktivitäten" mit der Bitte doch den mit versandten link zu verwenden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.