Sicherheitsrisiken Bei Web.de und GMX reicht "passwort" als Passwort
Passwort-Wahl bei GMX
Foto: SPIEGEL ONLINEUpdate, 11. Februar 2019: Mittlerweile nehmen sowohl GMX als auch Web.de "Passwort" und "12345678" nicht mehr als Passwort an. Wählt man eins der beiden Beispiele, kommt seit Anfang Februar ein Hinweis "Passwort unsicher und zu einfach zu erraten - bitte ändern".
Es folgt der unveränderte Original-Artikel.
Wer hat Schuld am Donnerstag bekannt gewordenen großen Daten-Leak? Darüber wird noch immer heftig debattiert: Wie ist es zu erklären, dass jemand, der bisherigen Ermittler-Erkenntnissen zufolge allein handelte, ein solches Potpourri an Informationen über Politiker und Prominente sammeln und ins Netz stellen kann? Wie gelangte der Hacker an Informationen aus so vielen verschiedenen E-Mail- und Social-Media-Accounts?
Während manchen Betroffenen individuelle Fehler unterstellt werden, weil sie - oder wir Internetnutzer allgemein - zu sorglos im Netz agieren, kommt ein anderer Aspekt zu kurz: die Rolle von Webdienst-Anbietern. Sie machen es ihren Nutzern mitunter viel zu leicht, in Sachen IT-Sicherheit zu versagen, ganz unabhängig vom jetzigen Daten-Leak.
Denn natürlich ist es naiv, wenn jemand einen so wichtigen Account wie ein E-Mail-Postfach mit simplen Zahlenfolgen oder "passwort" als Passwort sichert. Zugleich stellt sich aber die Frage: Wieso lassen manche Anbieter solche Passwörter überhaupt zu? Codes, die unbestreitbar ein Sicherheitsrisiko sind?
"Ficken" auf Platz vier
Ob Betroffene des aktuellen Daten-Leaks "passwort" als Passwort nutzten, ist unbekannt. Klar ist aber, dass sich ständig viele Nutzer auf diese Art angreifbar machen - das zeigen Auswertungen zu den beliebtesten Passwörtern Deutschlands. 2018 lagen laut einer davon "123456", "12345" und "123456789" vorn - vor "ficken" auf Platz vier, "hallo" auf Platz sieben und "passwort" auf Platz neun.
Einige Dienste verhindern von vorneherein, dass solche Passwörter gewählt werden können - Googlemail und Mailbox.org zum Beispiel. Bei den zwei angeblich beliebtesten E-Mail-Anbietern Deutschlands , GMX und Web.de, jedoch kommt man mit mancher dummen Eingabe durch: "passwort" wird in einem Test am Mittwoch jeweils angenommen, genau wie "12345678". Bei beiden Anbietern braucht man mindestens acht Zeichen als Passwort, eine weitere Bedingung gibt es nicht.
Bei GMX färbt sich bei "passwort" und "12345678" sogar jeweils ein Balken grün, als wären die Eingaben gut geeignet als Passwort. Und bei Web.de führen beide Kennwörter immerhin zu gelben Ampeln. Bräuchte es nicht eher Stoppschilder?
Passwort-Wahl bei GMX
Foto: SPIEGEL ONLINEGMX und Web.de sind nur zwei Beispiele, weil die Dienste in Deutschland sehr populär sind - und das seit vielen Jahren (zur Frage, ob im Kontext des Daten-Leaks zu Politikern und Prominenten in GMX-Accounts eingedrungen wurde, heißt es von GMX auf Nachfrage nur, dem Unternehmen seien "keine solchen Fälle bekannt").
Mit dem Vorwurf, zu schwache Passwörter zuzulassen, müssen sich auch andere Firmen auseinandersetzen. Das Pay-TV-Angebot Sky Ticket etwa setzt bei seinen Zugangscodes auf vierstellige Pins - und bietet keine Option, mehr als vier Ziffern zu nutzen.
Wo bleibt die Zwei-Faktor-Authentifizierung?
Auch beim Onlinebanking ärgern sich einige Nutzer seit Jahren, dass sich der Log-in in einen Account nur mit einem fünf- oder sechsstelligen Zifferncode schützen lässt, beispielsweise bei der Comdirect Bank. Die allerdings sieht darin kein Problem - und vertröstet in Foren auch Nutzer, die schon lange eine sogenannte Zwei-Faktor-Authentifizierung für den Log-in fordern.
Damit gemeint ist die Option, seinen Account so einzustellen, dass bei jedem Log-in nicht nur nach den sechs Ziffern gefragt wird, sondern auch nach einem Code, der per SMS oder Extra-App zur Verfügung gestellt wird. Nur wer beide Zugangscodes hat, bekommt am Ende Zugriff - das Passwort allein reicht nicht. Bei vielen Anbietern, auch bei Social-Media-Accounts, ist die Zwei-Faktor-Authentifizierung problemlos einrichtbar (mehr dazu hier). Bei anderen, wie dem großen Mail-Anbieter T-Online, fehlt diese Möglichkeit dagegen.
GMX und Web.de, die beide zu United Internet gehören, sehen hierbei ähnlich schlecht aus wie bei den Passwort-Vorgaben: Beide Dienste bieten keine Zwei-Faktor-Authentifizierung an - obwohl auch für sie solch eine Funktion immer wieder gefordert wird. Auf eine SPIEGEL-Nachfrage bei GMX und Web.de heißt es, eine Einführung der Zwei-Faktor-Authentifizierung sei für das zweite Quartal 2019 geplant.
Problematische Vorgaben für Neukunden
Bei einer Testanmeldung bei beiden Diensten fielen am Mittwoch zwei weitere Dinge auf, die zwar keine Sicherheitslücken im technischen Sinne sind, sich aber als Fallstricke für Nutzer ohne große Internetkenntnisse entpuppen könnten:
Vorgegebene Geheimfragen bei Web.de
Foto: SPIEGEL ONLINE- Web.de fordert von Neuanmeldern die Beantwortung einer Geheimfrage, für den Fall, dass man das Passwort vergisst und über den Support Zugang zu seinem Account bekommen will. Zur Auswahl stehen fünf Fragen, und man kann Nutzern nur davon abraten, irgendeine davon ehrlich zu beantworten (Tipps zum Umgang mit Sicherheitsfragen finden Sie hier).
Denn, man mag das Risiko unterschätzen, vermutlich könnten doch recht viele Leute herausfinden, wie der Geburtsname Ihrer Mutter lautet, wie ihr Lieblingsfilm ist oder was die letzten vier Ziffern ihrer Kreditkarte sind. Letztere Information liegt sogar schon vor, wenn jemand bereits Ihre Bezahldaten erbeutet hat. GMX bietet Nutzern immerhin direkt die Option, eine eigene Geheimfrage zu erfinden - bei Web.de ist dies zwar auch, aber nur nachträglich über das Menü "Sicherheit" möglich.
- Das zweite Risiko betrifft GMX, existiert aber auch bei einigen anderen Anbietern: Wer bei der Anmeldung seine Telefonnummer außen vor lassen will, wird zur Angabe einer zweiten E-Mail-Adresse verpflichtet, die im Fall eines Passwort-Vergessens hilft, den Zugang zurückzuerhalten. Aber nirgendwo steht der eigentlich wichtige Hinweis, dass diese Adresse mindestens genauso gut geschützt sein sollte wie der GMX-Account. Denn wer in die Zweitadresse reinkommt, kommt damit auch bei GMX rein, indem er über die Zweitadresse das Passwort zurücksetzt.
Teil der Anmeldung bei GMX
Foto: SPIEGEL ONLINEWenn Nutzer also einfach nur Dinge falsch einstellen, können sie ihre Accounts schon damit in Gefahr bringen. Dann muss ein Angreifer weder IT-Spezialist noch erfahrener Hacker sein, um in ihre Accounts einzudringen. Das schafft dann womöglich auch ein rachsüchtiger Ex-Partner - oder irgendein Schüler in seiner Freizeit.
Drei Anregungen für Nutzer von GMX und Web.de1. Überlegen Sie, ob Ihr Passwort für das Mail-Konto sicher ist: Mancher GMX- oder Web.de-Kunde dürfte seinen Account schon vor vielen Jahren angelegt und sein Kennwort seitdem nicht mehr geändert haben. Jetzt ist ein guter Zeitpunkt dafür. Tipps zur Passwort-Wahl finden Sie hier. Achten Sie außerdem darauf, ein Passwort zu verwenden, das Sie nirgendwo anders einsetzen.2. Falls Sie zum Zurücksetzen des Kontos eine E-Mail-Kontaktadresse angegeben haben: Prüfen Sie, ob dieses Mail-Konto für Sie überhaupt noch zugänglich und möglichst gut gesichert ist - am besten per Zwei-Faktor-Authentifizierung. Wer Zugang zur Kontaktadresse hat, kann auf diesem Weg nämlich Ihr GMX- oder Web.de-Passwort zurücksetzen. Überlegen Sie umgekehrt auch, ob Sie Ihr GMX- oder Web.de-Konto irgendwo als Rücksetz-Adresse nutzen und ob das clever ist.3. Schauen Sie sich an, was Sie beim Punkt "Geheimfrage" angegeben haben: Wissen wirklich nur Sie, was die Antwort auf die dortige Frage ist? Wählen Sie lieber eine eigene Frage als eine der vorgeschlagenen - oder nehmen Sie eine vorgeschlagene, aber in Kombination mit einer fiktiven Antwort, die nur Sie kennen und die Sie sich merken.
Wichtige Zusatz-Info: Wenn Sie Ihr GMX- oder Web.de-Konto schon vor Jahren angelegt, es aber lange nicht mehr verwendet haben, lohnt übrigens eine Prüfung, ob es überhaupt noch existiert. Sowohl GMX , als auch Web.de behalten sich laut ihren AGB nämlich vor, Adressen nach zwölf Monaten ohne Log-in neu zu vergeben. Das muss nicht geschehen, kann aber. Und im schlimmsten Fall hat dann jemand anderes jene E-Mail-Adresse, die manche Kontakte oder Dienste weiter für ihre halten, und kann damit allerlei Ärger auslösen.
