Sicherheitsrisiken Bei Web.de und GMX reicht "passwort" als Passwort

"123456", "passwort", "ficken": Bei Daten-Leaks stammen Informationen oft aus schlecht gesicherten E-Mail-Konten. Alles nur die Schuld der Nutzer? Nicht nur. Einige Anbieter machen dumme Fehler viel zu leicht.

Passwort-Wahl bei GMX
SPIEGEL ONLINE

Passwort-Wahl bei GMX

Von


Update, 11. Februar 2019: Mittlerweile nehmen sowohl GMX als auch Web.de "Passwort" und "12345678" nicht mehr als Passwort an. Wählt man eins der beiden Beispiele, kommt seit Anfang Februar ein Hinweis "Passwort unsicher und zu einfach zu erraten - bitte ändern".

Es folgt der unveränderte Original-Artikel.


Wer hat Schuld am Donnerstag bekannt gewordenen großen Daten-Leak? Darüber wird noch immer heftig debattiert: Wie ist es zu erklären, dass jemand, der bisherigen Ermittler-Erkenntnissen zufolge allein handelte, ein solches Potpourri an Informationen über Politiker und Prominente sammeln und ins Netz stellen kann? Wie gelangte der Hacker an Informationen aus so vielen verschiedenen E-Mail- und Social-Media-Accounts?

Während manchen Betroffenen individuelle Fehler unterstellt werden, weil sie - oder wir Internetnutzer allgemein - zu sorglos im Netz agieren, kommt ein anderer Aspekt zu kurz: die Rolle von Webdienst-Anbietern. Sie machen es ihren Nutzern mitunter viel zu leicht, in Sachen IT-Sicherheit zu versagen, ganz unabhängig vom jetzigen Daten-Leak.

Denn natürlich ist es naiv, wenn jemand einen so wichtigen Account wie ein E-Mail-Postfach mit simplen Zahlenfolgen oder "passwort" als Passwort sichert. Zugleich stellt sich aber die Frage: Wieso lassen manche Anbieter solche Passwörter überhaupt zu? Codes, die unbestreitbar ein Sicherheitsrisiko sind?

"Ficken" auf Platz vier

Ob Betroffene des aktuellen Daten-Leaks "passwort" als Passwort nutzten, ist unbekannt. Klar ist aber, dass sich ständig viele Nutzer auf diese Art angreifbar machen - das zeigen Auswertungen zu den beliebtesten Passwörtern Deutschlands. 2018 lagen laut einer davon "123456", "12345" und "123456789" vorn - vor "ficken" auf Platz vier, "hallo" auf Platz sieben und "passwort" auf Platz neun.

Einige Dienste verhindern von vorneherein, dass solche Passwörter gewählt werden können - Googlemail und Mailbox.org zum Beispiel. Bei den zwei angeblich beliebtesten E-Mail-Anbietern Deutschlands, GMX und Web.de, jedoch kommt man mit mancher dummen Eingabe durch: "passwort" wird in einem Test am Mittwoch jeweils angenommen, genau wie "12345678". Bei beiden Anbietern braucht man mindestens acht Zeichen als Passwort, eine weitere Bedingung gibt es nicht.

Bei GMX färbt sich bei "passwort" und "12345678" sogar jeweils ein Balken grün, als wären die Eingaben gut geeignet als Passwort. Und bei Web.de führen beide Kennwörter immerhin zu gelben Ampeln. Bräuchte es nicht eher Stoppschilder?

Passwort-Wahl bei GMX
SPIEGEL ONLINE

Passwort-Wahl bei GMX

GMX und Web.de sind nur zwei Beispiele, weil die Dienste in Deutschland sehr populär sind - und das seit vielen Jahren (zur Frage, ob im Kontext des Daten-Leaks zu Politikern und Prominenten in GMX-Accounts eingedrungen wurde, heißt es von GMX auf Nachfrage nur, dem Unternehmen seien "keine solchen Fälle bekannt").

Mit dem Vorwurf, zu schwache Passwörter zuzulassen, müssen sich auch andere Firmen auseinandersetzen. Das Pay-TV-Angebot Sky Ticket etwa setzt bei seinen Zugangscodes auf vierstellige Pins - und bietet keine Option, mehr als vier Ziffern zu nutzen.

Wo bleibt die Zwei-Faktor-Authentifizierung?

Auch beim Onlinebanking ärgern sich einige Nutzer seit Jahren, dass sich der Log-in in einen Account nur mit einem fünf- oder sechsstelligen Zifferncode schützen lässt, beispielsweise bei der Comdirect Bank. Die allerdings sieht darin kein Problem - und vertröstet in Foren auch Nutzer, die schon lange eine sogenannte Zwei-Faktor-Authentifizierung für den Log-in fordern.

Damit gemeint ist die Option, seinen Account so einzustellen, dass bei jedem Log-in nicht nur nach den sechs Ziffern gefragt wird, sondern auch nach einem Code, der per SMS oder Extra-App zur Verfügung gestellt wird. Nur wer beide Zugangscodes hat, bekommt am Ende Zugriff - das Passwort allein reicht nicht. Bei vielen Anbietern, auch bei Social-Media-Accounts, ist die Zwei-Faktor-Authentifizierung problemlos einrichtbar (mehr dazu hier). Bei anderen, wie dem großen Mail-Anbieter T-Online, fehlt diese Möglichkeit dagegen.

GMX und Web.de, die beide zu United Internet gehören, sehen hierbei ähnlich schlecht aus wie bei den Passwort-Vorgaben: Beide Dienste bieten keine Zwei-Faktor-Authentifizierung an - obwohl auch für sie solch eine Funktion immer wieder gefordert wird. Auf eine SPIEGEL-Nachfrage bei GMX und Web.de heißt es, eine Einführung der Zwei-Faktor-Authentifizierung sei für das zweite Quartal 2019 geplant.

Problematische Vorgaben für Neukunden

Bei einer Testanmeldung bei beiden Diensten fielen am Mittwoch zwei weitere Dinge auf, die zwar keine Sicherheitslücken im technischen Sinne sind, sich aber als Fallstricke für Nutzer ohne große Internetkenntnisse entpuppen könnten:

Vorgegebene Geheimfragen bei Web.de
SPIEGEL ONLINE

Vorgegebene Geheimfragen bei Web.de

  • Web.de fordert von Neuanmeldern die Beantwortung einer Geheimfrage, für den Fall, dass man das Passwort vergisst und über den Support Zugang zu seinem Account bekommen will. Zur Auswahl stehen fünf Fragen, und man kann Nutzern nur davon abraten, irgendeine davon ehrlich zu beantworten (Tipps zum Umgang mit Sicherheitsfragen finden Sie hier).
    Denn, man mag das Risiko unterschätzen, vermutlich könnten doch recht viele Leute herausfinden, wie der Geburtsname Ihrer Mutter lautet, wie ihr Lieblingsfilm ist oder was die letzten vier Ziffern ihrer Kreditkarte sind. Letztere Information liegt sogar schon vor, wenn jemand bereits Ihre Bezahldaten erbeutet hat. GMX bietet Nutzern immerhin direkt die Option, eine eigene Geheimfrage zu erfinden - bei Web.de ist dies zwar auch, aber nur nachträglich über das Menü "Sicherheit" möglich.

  • Das zweite Risiko betrifft GMX, existiert aber auch bei einigen anderen Anbietern: Wer bei der Anmeldung seine Telefonnummer außen vor lassen will, wird zur Angabe einer zweiten E-Mail-Adresse verpflichtet, die im Fall eines Passwort-Vergessens hilft, den Zugang zurückzuerhalten. Aber nirgendwo steht der eigentlich wichtige Hinweis, dass diese Adresse mindestens genauso gut geschützt sein sollte wie der GMX-Account. Denn wer in die Zweitadresse reinkommt, kommt damit auch bei GMX rein, indem er über die Zweitadresse das Passwort zurücksetzt.
Teil der Anmeldung bei GMX
SPIEGEL ONLINE

Teil der Anmeldung bei GMX

Wenn Nutzer also einfach nur Dinge falsch einstellen, können sie ihre Accounts schon damit in Gefahr bringen. Dann muss ein Angreifer weder IT-Spezialist noch erfahrener Hacker sein, um in ihre Accounts einzudringen. Das schafft dann womöglich auch ein rachsüchtiger Ex-Partner - oder irgendein Schüler in seiner Freizeit.

Und was soll ich jetzt tun?
    Drei Anregungen für Nutzer von GMX und Web.de
  • 1. Überlegen Sie, ob Ihr Passwort für das Mail-Konto sicher ist: Mancher GMX- oder Web.de-Kunde dürfte seinen Account schon vor vielen Jahren angelegt und sein Kennwort seitdem nicht mehr geändert haben. Jetzt ist ein guter Zeitpunkt dafür. Tipps zur Passwort-Wahl finden Sie hier. Achten Sie außerdem darauf, ein Passwort zu verwenden, das Sie nirgendwo anders einsetzen.
  • 2. Falls Sie zum Zurücksetzen des Kontos eine E-Mail-Kontaktadresse angegeben haben: Prüfen Sie, ob dieses Mail-Konto für Sie überhaupt noch zugänglich und möglichst gut gesichert ist - am besten per Zwei-Faktor-Authentifizierung. Wer Zugang zur Kontaktadresse hat, kann auf diesem Weg nämlich Ihr GMX- oder Web.de-Passwort zurücksetzen. Überlegen Sie umgekehrt auch, ob Sie Ihr GMX- oder Web.de-Konto irgendwo als Rücksetz-Adresse nutzen und ob das clever ist.
  • 3. Schauen Sie sich an, was Sie beim Punkt "Geheimfrage" angegeben haben: Wissen wirklich nur Sie, was die Antwort auf die dortige Frage ist? Wählen Sie lieber eine eigene Frage als eine der vorgeschlagenen - oder nehmen Sie eine vorgeschlagene, aber in Kombination mit einer fiktiven Antwort, die nur Sie kennen und die Sie sich merken.

Wichtige Zusatz-Info: Wenn Sie Ihr GMX- oder Web.de-Konto schon vor Jahren angelegt, es aber lange nicht mehr verwendet haben, lohnt übrigens eine Prüfung, ob es überhaupt noch existiert. Sowohl GMX, als auch Web.de behalten sich laut ihren AGB nämlich vor, Adressen nach zwölf Monaten ohne Log-in neu zu vergeben. Das muss nicht geschehen, kann aber. Und im schlimmsten Fall hat dann jemand anderes jene E-Mail-Adresse, die manche Kontakte oder Dienste weiter für ihre halten, und kann damit allerlei Ärger auslösen.


insgesamt 132 Beiträge
Alle Kommentare öffnen
Seite 1
sh.stefan.heitmann 09.01.2019
1. Sorry aber BS...
Wenn ich gerne asdf1234 als Passwort nutzen möchte dann hat das gefälligst auch von dem Dienst aktzeptiert zu werden. Das ist mein Passwort und ich suche mir das aus und bin auch ganz alleine für die Sicherheit dieses Passwortes verantwortlich.
GoaSkin 09.01.2019
2. bitte nicht ablenken!
Die Accounts zahlreicher Politiker und Prominenter wurden bestimmt nicht deshalb gehackt, weil jeder von ihnen ein banales Passwort hatte. Es hat bestimmt nicht jeder von ihnen ein Passwort wie "passwort" oder "123456" gehabt. Man sollte lieber den wirklichen Tatsachen auf den Grund gehen, statt über die Banalität von Passwörtern zu sprechen. Abgesehen davon: Viele Leute nutzen digitale Brieftaschen bzw. Schlüsselbunde, um schwierig zu merkende Passwörter mit einfacheren Passwörtern abrufbar zu machen. Das ist ein viel größeres Problem, insbesondere da Google Android-User so lange herum nervt, Passwörter in der Cloud zu speichern, bis die Leute es machen - wenn auch nur, um die Meldung "Passwörter sind schwer zu merken - bla bla bla" endlich loszuwerden.
flytogether 09.01.2019
3. Immer die gleiche Leier
und die Schuld bei anderen suchen, in diesem Falle bei den Providern. Wer zu dämlich ist ein sicheres Passwort zu generieren dem gehört es nicht anders als dass sein Account gehackt wird. Dieses Verhalten, wonach das Gehirn vor der Tastatur abgegeben wird führt dazu dass ich heute bei jeder Bestellbestätigung ellenlange Belehrungen anhängen muss (die eh keiner liest) nur damit der Vollpfosten später doch noch irgendwie Gelegenheit bekommt, seine Transaktion zu widerrufen.
RudiRastlos2 09.01.2019
4.
Zwei-Faktor-Authentisierung, nicht Zwei-Faktor-Authentifizierung !!!!
keine Zensur nötig 09.01.2019
5. Bitte geben Sie hier ihr Passwort ein, wir wollen es sichern
Nein - wieder wird einem Anbieter über gebügelt, dass er das betreute Denken und Leben durchsetzen soll. Entweder wir leben in Freiheit und sind mündige Bürger oder wir werden komplett durch gute Menschen gepampert. Ein entmündigender Artikel aus einer bösen Mottenkiste.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.