1,2 Milliarden Login-Daten geklaut Vier Regeln, wie sich Schaden abwenden lässt

Mehr als 1,2 Milliarden Login-Daten sollen russische Kriminelle erbeutet haben. Wer ein paar Grundregeln beachtet, kann sich vor all zu großem Schaden schützen.

Erinnerung an den Passwortwechsel: Lieber öfter mal ein neues Kennwort
SPIEGEL ONLINE

Erinnerung an den Passwortwechsel: Lieber öfter mal ein neues Kennwort

Von


Details gibt es zwar nicht, dafür aber große Zahlen: 420.000 angegriffene Websites, 1,2 Milliarden gestohlene Logindaten, meldet eine Sicherheitsfirma. Angeblich sollen russische Hacker dahinterstehen.

Das Unternehmen, das den Datenklau aufgedeckt hat, will bislang weder veröffentlichen, wessen Daten Opfer des Diebstahls wurden, noch, von welchen Firmen die Daten gestohlen wurden. Stattdessen wirbt es lieber für eigene kostenpflichtige Services. So stehen neben den Zahlen vor allem Fragezeichen im Raum.

Bislang sollen die Angreifer die erbeuteten Informationen nur für den Versand von Spam-E-Mails mit Werbung oder mit Links zu Schadprogrammen benutzt haben, heißt es. Noch ist völlig unklar, wer überhaupt von dem Passwortdiebstahl betroffen ist. Aber mit ein paar grundlegenden Tipps können Nutzer solchen Fällen gelassener begegnen.

Beantworten Sie dafür einfach kurz die folgenden vier Fragen:

1. Haben alle wichtigen Dienste ordentliche Passwörter?

123456 oder der Vorname des Ehepartners sind sehr schlechte Passwörter. Tipps für wirklich sichere Passwörter finden Sie hier. Im Januar haben uns außerdem fünf Sicherheitsexperten verraten, wie sie ihre Accounts schützen.

Bei besonders wichtigen Accounts - E-Mail-Adresse, Facebook, Karrierenetzwerk, Online-Bezahldienst - ist es wichtig, jeweils ein einzigartiges Passwort zu nutzen. Können Kriminelle ein Passwort erbeuten, können sie damit dann nicht gleich auf alles zugreifen.

Vor allem das E-Mail-Postfach muss abgesichert sein, weil man bei vielen Diensten uneingeloggt sein Passwort zurücksetzen kann - daraufhin bekommt man per E-Mail einen Link, über den man ein neues Kennwort festlegen kann.

2. Wann habe ich meine wichtigen Passwörter zum letzten Mal geändert?

Noch ist unklar, wann die Angriffe stattfanden. Wahrscheinlich ist also genau jetzt ein guter Zeitpunkt, wichtigere Passwörter zu aktualisieren. Das sollte man ohnehin alle paar Monate machen, da es ständig Angriffsversuche auf alle größeren Dienste gibt. Hilfreich ist dafür zum Beispiel eine kleine Erinnerung im Kalender.

Ist Ihnen das händische Aktualisieren diverser Zugangsdaten zu anstrengend, können Sie - am besten abgesehen vom E-Mail-Account - auch einen Passwortmanager verwenden. Das ist eine Software, die Ihnen viel Arbeit abnimmt, beim Verwalten von Login-Daten, aber auch beim Kreieren sicherer Passwörter. Mehr über Passwortmanager und deren Vor- und Nachteile lesen Sie hier und hier.

3. Nutze ich eigentlich schon die Zwei-Faktor-Authentifizierung?

Fast jeder größere Anbieter wie Google, Facebook oder Yahoo bietet mittlerweile eine sogenannte Zwei-Faktor-Authentifizierung. Wird sie aktiviert, heißt das in der Regel: Um sich bei einem der Dienste anzumelden, brauchen Sie künftig nicht nur Ihr Passwort und Ihren Benutzernamen, sondern auch einen Code, den Sie auf Ihr Smartphone geschickt bekommen. Das funktioniert wie beim Online-Banking, wo Sie neben dem Passwort noch einen Code brauchen, der auf einem Zettel steht oder per SMS geschickt wird.

Über diesen Umweg wird das Einloggen in die Dienste an unbekannten Rechnern zwar ein wenig anstrengender - dafür bringt es Cyberkriminellen fortan deutlich weniger, wenn diese nur Ihren Benutzernamen und Ihr Passwort erbeuten. Denn Ihr Handy, an das die Codes geschickt werden, haben ja noch immer Sie selbst.

4. Gibt es noch gefährliche Hintertüren, über die man an meine Daten kommt?

Werden Ihre Daten bei einem Anbieter gestohlen, können Sie nichts dagegen machen. Im Alltag gibt es aber noch viel simplere Wege, wie Cyberkriminelle an Zugangsdaten kommen können. Ein unterschätzter Weg ist die "Passwort vergessen"-Funktion, die oft auf Sicherheitsfragen basiert. So wird der Nutzer zum Beispiel nach seinem Wohnort, dem Namen seines Haustiers oder dem Mädchennamen seiner Mutter gefragt und muss die entsprechende Antwort kennen.

Von solch trivialen Fragen-Antwort-Kombinationen sollten Sie sich verabschieden. Eine Alternative ist es, eine scheinbar simple Frage einfach anders zu beantworten und zum Beispiel eine längere Zahlen- und Buchstabenkombination zu nutzen - ein Kennwort, das nur Sie kennen. Mehr Tipps zu Sicherheitsfragen finden Sie hier.

Außerdem sollten Sie darauf achten, welchen Apps Sie bei Diensten wie Twitter oder Facebook den Zugriff auf Ihre Daten erlauben - sonst muss nicht erst ein großer Dienst gehackt werden, damit Ihre Daten im Web kursieren.

insgesamt 34 Beiträge
Alle Kommentare öffnen
Seite 1
epic_fail 06.08.2014
1.
Zitat von sysopSPIEGEL ONLINEMehr als 1,2 Milliarden Login-Daten sollen Kriminelle erbeutet haben. Wer ein paar Grundregeln beachtet, kann sich vor all zu großem Schaden schützen. http://www.spiegel.de/netzwelt/web/tipps-zum-passwortwechsel-reaktion-auf-die-hold-security-meldung-a-984669.html
Es gibt bis jetzt überhaupt keinen Beweis für den Diebstahl. Diese Geschichte basiert auf der Aussage eine us-amerikanischen Unternehmens, welches nun Geld verlangt, wenn man wissen will, ob man auf der angeblichen Diebstahlsliste steht. SPON täte gut daran, sich auf solchen Nonsens garnicht erst einzulassen! Erst beweist man den Diebstahl - dann kann man Ratschläge erteilen. So erweckt es aber den Eindruck, dass der SPIEGEL jetzt mitmacht, beim großen Bullshitbingo. Das finde ich sehr schade!
GrinderFX 06.08.2014
2.
Der halbe Artikel beschreibt wie man sicherer Passwörter wählen kann und die restliche Hälfte erklärt mir, dass ich eh nichts gegen machen kann. Irgendwie schizophren. Da mittlerweile kaum bis gar keiner mehr Bruteforce Attacken macht, ist man als Benutzer total chancenlos. Da kann ich mein Passwort noch so lang und noch so kompliziert machen, das wird nichts ändern. Höchstens das regelmäßige Ändern des Passworts mag helfen, da die Leute dann mit den erbeuteten Daten wenig anfangen können, nur wie soll das gehen, da man ja mittlerweile für jede Seite irgendeinen Account braucht, auch wenn man nur irgendwas downloaden möchte. Würde ich also wöchentlich meine 20 - 30 Passwörter ändern, wie soll ich mir das dann bitte merken? Passwortmanager sind ja noch schlimmer. Kriegt jemand dazu Zugriff ist der Schaden ja noch größer.
maco 06.08.2014
3. Unsinn
Zitat von epic_failEs gibt bis jetzt überhaupt keinen Beweis für den Diebstahl. Diese Geschichte basiert auf der Aussage eine us-amerikanischen Unternehmens, welches nun Geld verlangt, wenn man wissen will, ob man auf der angeblichen Diebstahlsliste steht. SPON täte gut daran, sich auf solchen Nonsens garnicht erst einzulassen! Erst beweist man den Diebstahl - dann kann man Ratschläge erteilen. So erweckt es aber den Eindruck, dass der SPIEGEL jetzt mitmacht, beim großen Bullshitbingo. Das finde ich sehr schade!
Die Tipps im Artikel sind doch unabhängig vom Diebstahlfall grundlegende Weisheiten der Passwortsicherheit: - Starke (lange!) Passwörter verwenden. - Unterschiedliche Passwörter für unterschiedliche Logins. - Passwörter ab und an wechseln. - Alternativen wie Zweifaktorauthentifizierung verwenden. - Sicheres Recoveryverfahren verwenden. Diese Ratschläge gibt es schon jahrelang (jahrzehntelang) ganz unabhängig von IT und Internet.
glen13 06.08.2014
4.
Zitat von sysopSPIEGEL ONLINEMehr als 1,2 Milliarden Login-Daten sollen Kriminelle erbeutet haben. Wer ein paar Grundregeln beachtet, kann sich vor all zu großem Schaden schützen. http://www.spiegel.de/netzwelt/web/tipps-zum-passwortwechsel-reaktion-auf-die-hold-security-meldung-a-984669.html
Es ist doch ganz einfach. Wechseln Sie Ihre aus mindestens 4 Kleinbuchstaben, 4 Großbuchstaben, 8 Zahlen und 16 Sonderzeichen bestehenden Passwörter einmal täglich für Ihre 76 Zugänge. Nach einer Woche besuchen sie Ihren Psychotherapeuten und lassen sich krank schreiben.
felisconcolor 06.08.2014
5. das ist doch grad der
Erinnerungsservice. Alle paar Monate einen Artikel über Passwortklau und schon stürzen wie der alle an den Computer und ändern ihr Passwort. Das ist eine sehr noble Geste von SPON
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.