Computer-Kriminalität Drei Hacker-Angriffe in einem Jahr – Wie ein Betroffener damit umgeht

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Marcel Roth berichtet bei MDR SACHSEN-ANHALT über Datenschutz, Start-Ups und über IT-Angriffe. Er ist ein Gastgeber des Podcasts "digital Leben" bei MDR SACHSEN-ANHALT. Roth weiß also, wie Cyberkriminelle und Hacker ticken und worauf man achten muss, um sicher im Internet unterwegs zu sein. Trotzdem wurde er in diesem Jahr drei Mal Opfer von Hacker-Angriffen auf seine Konten online. Hier schreibt er, wie das kam, was er gemacht hat und wie Sie sich schützen können.

Screenshot der Internetseite https://haveibeenpwned.com/ zeigt an, dass die einegegeben E-Mail-Adresse bei einem Datenleck kompromittiert wird
Ja, Ihre E-Mail-Daten tauchen in einem Datenleck auf und sind kompromittiert. Das zeigt die Seite "Have I Been Pwned?" an. Auch die E-Mail-Adresse unseres Autors taucht dort auf. Bildrechte: Screenshot/MDR

Dass ich drei Mal betrogen wurde, habe ich drei Mal sehr unterschiedlich gemerkt. Eine SMS an einem Sonntagmorgen: "Danke, dass Sie unseren Carsharing-Dienst gerade in Hamburg genutzt haben." Ein Anruf im Lockdown: "Herr Roth, haben Sie gerade seit zwei Tagen einen Jaguar als Carsharing-Auto in Amsterdam gemietet?" Und 1.300 Euro, die die Deutsche Bahn von meinem Girokonto abgebucht hat.

Drei Dinge, die mir passiert sind. Drei Dinge, die ärgerlich sind, Zeit gekostet haben, aber auch lehrreich waren.

In allen Fällen haben Kriminelle unter meinem Namen Dienstleistungen erschlichen: Autos angemietet und Bahnfahrten gekauft. Ich habe mehrfach mit allen Unternehmen telefoniert: Solche Vorfälle kommen nicht massenhaft vor, aber ich bin auch nicht der Einzige, dem das passiert ist.

Wozu Kriminelle ein Auto auf meinen Namen mieten oder Fahrkarten kaufen

Sie können zum Beispiel damit in die Front eines Juweliergeschäfts fahren und es ausrauben, ohne dass später Ermittler mit einer Videoaufzeichnung etwas anfangen können – das Nummernschild des Carsharing-Anbieters führt ins Leere. Kriminelle könnten so auch Autorennen fahren oder das Auto nutzen, um illegale Transporte zu verschleiern und ihre Spuren verwischen.

Screenshot eines Bahntickets für 623 Euro für drei Erwachsene von Köln nach Hamburg und zuürck.
Von Köln nach Hamburg und zurück: Mit dem Zugang zum Bahn-Konto unseres Autors haben Kriminelle drei Fahrscheine für insgesamt acht Erwachsene gekauft. Bildrechte: Screenshot/MDR

Mit den drei Bahnfahrkarten haben die Kriminellen vermutlich Geld verdient. Wenn insgesamt acht Erwachsene von Köln nach Hamburg, von München nach Hamburg und von Düsseldorf nach Berlin und zurück Bahn fahren, ist das teuer. Die Fahrkarten haben die Kriminellen vermutlich nicht selbst genutzt, sondern an andere über das Internet verkauft: "Super günstig abzugeben!" Selbst wenn sie die Fahrkarten für die Hälfte des Preises verkauft haben, ist das ein ordentlicher Gewinn. Und die Bahnfahrer haben sich vermutlich gefreut, dass die Fahrkarten so günstig waren: Für beide Seiten ein gutes Geschäft – nur nicht für die Deutsche Bahn und mich.

Ich habe das nämlich erst mit einem Blick auf mein Girokonto mitbekommen. Die Kriminellen hatten in meinem Bahn-Konto die E-Mail-Adresse geändert, an die die Fahrkarten verschickt werden.

Fake-SMS von Paketdienst
Kriminelle verschicken SMS im Namen von Paketdiensten. Bildrechte: Patrick Eicke/ MDR

Was ich getan habe, als ich online betrogen wurde

Ich habe sofort bei den Firmen angerufen. Die beiden Carsharing-Anbieter haben mein Konto erst einmal gesperrt. Außerdem habe ich jeweils eine Anzeige erstattet. Das geht online jederzeit und man erhält auch ein Aktenzeichen. Das wollen die betroffenen Firmen haben. Bei der Lastschrift vom Girokonto ist es ein Klick, um die Lastschrift zurückzubuchen. Wer also alle paar Tage auf sein Girokonto schaut, dem fallen ungewöhnliche Buchungen schnell auf. Beim Bahnfahrkarten-Betrug hätte es mir auch ein paar Tage eher auffallen können: Meine Bahn-App hatte mich nämlich darüber informiert, dass meine Reise losgeht und ich wegen einer Verspätung einen Anschlusszug verpassen werde. Da war ich allerdings nicht lange genug irritiert, um etwas zu unternehmen.

Wie die kriminellen Hacker an meine Zugangsdaten gekommen und vorgegangen sind

Das lässt sich nicht wirklich herausfinden, weil es ein Massengeschäft ist. Ein plausibler Ablauf: Durch sogenannte Datenlecks erbeuten Kriminelle E-Mail-Adressen, Passwörter, Kreditkartendaten, Geburtsdaten und so weiter. Diese Daten nutzen sie selbst oder verkaufen sie an andere Kriminelle. Und mit diesen Daten kann man dann probieren, ob man sich damit auch auf anderen Internetseiten anmelden kann. Das geht automatisiert. Niemand hat mich also auf dem Kieker gehabt und sich an meine Fersen geheftet.

Screenshot einer E-Mail, die vom "HPI Identity Leak Checker" kommt und anzeigt, welche Daten bei einem Datenleck kompromittiert wurden.
Der "HPI Identity Leak Checker" zeigt, ob eine E-Mal-Adresse und andere Daten in einem Datenleck vorkommen. Nach Datenlecks konnten Kriminelle teilweise mehr als eine Milliarde E-Mail-Adressen mit Passwörtern an sich bringen. Bildrechte: Screenshot/MDR

Und Bingo: Bei mir haben die Kriminellen in drei Fällen ins Schwarze getroffen – Benutzername, Passwort und die Internetadresse, mit der man sich einloggen kann. All das haben die Kriminellen vermutlich nicht selbst ausgenutzt, sondern an andere Kriminelle verkauft, zusammen mit Hunderten oder Tausenden solcher Datensätze. Das ist ein Geschäftsmodell.

So prüfen Sie, ob auch von Ihnen Daten in Umlauf sind

Es gibt zwei gute Internetseiten, die solche "Datenlecks" im Blick haben:


Dort können Sie Ihre E-Mail-Adresse eintragen und sehen, ob sie in einer solchen "Datensammlung" auftaucht. Falls ja: Ändern Sie bei allen Diensten, bei der Sie mit dieser E-Mails-Adresse registriert sind, Ihr Passwort. Vergeben Sie für jeden dieser Dienste ein eigenes, extra starkes Passwort. Und damit Sie den Überblick behalten, nutzen Sie einen Passwort-Manager. Er erstellt komplizierte Passwörter und speichert die für Sie. Nur das Passwort zum Passwort-Manager müssen Sie dann im Kopf haben. Außerdem sollten Sie bei allen Online-Diensten, bei denen es geht, die Zwei-Faktor-Authentifizierung einschalten. Dann bekommen Sie zum Beispiel eine SMS auf Ihr Handy mit einem Code, den Sie beim Einloggen als zusätzliche Sicherung eingeben müssen.

Was ich falsch gemacht habe

Meine E-Mail-Adresse habe ich seit Ende der 1990er Jahre. Bei der Bahn bin ich auch schon sehr lange dabei. Die Carsharing-Anbieter habe ich getestet. Bei den dreien habe ich offenbar das identische Passwort benutzt. Das Passwort war zwar ein langes, mit Zahlen, Groß- und Kleinbuchstaben, aber weil ich es mehrfach verwendet habe, konnten Kriminelle mich mehrfach betrügen.

Ein Mann gibt Tipps für sichere Passwörter. 2 min
Dirk Pawlaszczyk ist Professor für Informatik an der Hochschule Mittweida. Bildrechte: MDR/Kristin Kielon
2 min

Dirk Pawlaszczyk, Professor für Informatik an der Hochschule Mittweida, hat ein paar Tipps, wie man ein sicheres und leicht zu merkendes Passwort wählt.

Mi 20.09.2017 10:16Uhr 01:57 min

https://www.mdr.de/wissen/videos/sichere-passwoerter100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Video

Wie ich jetzt das Risiko klein halte, noch einmal betrogen zu werden

Bei der Bahn habe ich natürlich das Passwort geändert. Und wissen Sie was: Ich kenne das Passwort selbst nicht. Ich habe es nämlich automatisch von einem Passwort-Manager erzeugen lassen. Den habe ich als App auf Smartphone und Computer. Die Passwort-Manager-App ist selbst mit einem Passwort gesichert. Nur das allein habe ich jetzt im Kopf.

Screenshot der Anmeldeseite von bahn.de mit dem leeren Feld, in dem der Codes für die Zwei-Faktor-Authentifizierung eingetragen werden soll.
Mehr Sicherheit: Mit der sogenannten Zwei-Faktor-Authentifizierung gibt es mehr Sicherheit. Unser Autor muss nun bei jedem Login auf der Inetrnetseite der Bahn einen zusätzlichen Code eingeben, den er per SMS oder App erhält. Bildrechte: Screenshot/MDR

Außerdem habe ich bei der Bahn (und überall, wo es außerdem möglich war) die Zwei-Faktor-Authentifizierung eingerichtet. Jedes Mal, wenn ich mich auf der Internetseite der Bahn einlogge, werde ich nun nach einem Code gefragt, den ich per SMS oder in einer Authentifizierungsapp bekomme. Die Bahn-App auf dem Handy fragt alle 90 Tage nach einem solchen Code.

Schon immer schütze ich ganz besonders den Zugang zu meinem E-Mail-Konto. Denn das wäre der Super-GAU gewesen: Kriminelle, die Zugang zu meinem E-Mail-Konto hätten, könnten damit auf noch mehr Online-Dienste zugreifen, indem sie dort einfach ein neues Passwort anfordern. Der Link dazu kommt dann per E-Mail in das gehackte E-Mail-Konto.

Hacker, Betrüger, Einbrecher

Apropos ge"hackt": Vielleicht haben Sie gemerkt, dass ich im Text nicht von "Hackern" spreche. Ich finde den Begriff in diesem Zusammenhang verharmlosend. Das sind Kriminelle, Betrüger, Verbrecher. Einen Einbrecher im echten Leben würde niemand einen Tür-Öffner-Experten nennen. In diesem Fall ist es nicht entscheidend, wie jemand etwas tut, sondern was er damit bezweckt: Menschen und Unternehmen zu betrügen und abzuzocken.

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT | 20. Dezember 2021 | 08:10 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/fcd7cce9-bdf0-4047-aa0d-37d2cbc94b94 was not found on this server.

Mehr aus Sachsen-Anhalt