© Getty Images/iStockphoto/cnythzl/iStockphoto

Digital Life
05/21/2020

Was tun, wenn der eigene Account gehackt wurde

Bei fremden Postings, die auf den eigenen Social-Media-Profilen erscheinen, oder gekaperten E-Mail-Accounts ist schnelles Handeln gefragt.

von Franziska Bechtold

E-Mail, Online-Banking, Facebook und Shopping-Portale erfordern alle das Anlegen eines Kontos und das muss mit einem Passwort geschützt werden. Im Idealfall ist das nicht „123456“ oder „hallo“. Doch auch ein starkes Passwort kann von Profis gehackt werden. Oder die Angreifer holen sich die Daten direkt von einem Unternehmen. So konnten Hacker erst kürzlich die persönlichen Daten von Millionen Easyjet-Kunden abgreifen, darunter auch Kreditkarteninformationen. Doch wie reagiert man, wenn man Opfer eines Hacker-Angriffs wurde?

Mein Social Media Account wurde gehackt

Vor einem Angriff auf das eigene Social-Media-Konto ist niemand wirklich sicher. So wurden bereits die Accounts von Twitter-CEO Jack Dorsey, Facebook-Chef Mark Zuckerberg und Google-Chef Sundar Pichai geknackt. Ob man selbst betroffen ist, merkt man dann, wenn plötzlich Postings auf dem eigenen Profil auftauchen, die man selbst nicht abgesetzt hat oder Nachrichten versendet wurden, die man nicht verfasst hat. Kann man sich noch in seinen Account einloggen, sollte man zuerst das Passwort ändern. Facebook und Twitter haben jeweils Hilfestellungen eingerichtet, wie man die Kontrolle über ein gehacktes Konto zurückerlangt.

Kann man sich nicht mehr einloggen, weil die Angreifer bereits E-Mail und Passwort geändert haben, muss man sich an den Kunden-Support des jeweiligen Netzwerks wenden. Dort wird das betroffene Konto geprüft und kann etwa über die Telefonnummer oder E-Mail-Adresse, die man bei der Registrierung angegeben hat, wieder Kontrolle über sein Profil erhalten.

Mein E-Mail-Konto wurde gehackt

Die Übernahme eines E-Mail-Kontos kann einige Probleme nach sich ziehen. „E-Mail-Konten werden meist für weitere Phishing-Angriffe genutzt. Daher sollte man unbedingt seine Kontakte informieren, da Hacker auch Zugriff auf das Adressbuch erhalten und damit gezielt weitere Angriffe starten können“, sagt Stefan Jakoubi von SBA Research. Auch hier sollte die erste Aktion das Ändern des Passworts sein.

Hand holdings weak and strong password.

Ist die E-Mail-Adresse mit anderen Konten verknüpft, können Angreifer auch diese übernehmen. „Viele Personen nutzen die gleichen Passwörter für E-Mail, Twitter, Amazon und andere Dienste. Das macht es Hackern zu einfach. Sie testen diese Kombination dann bei anderen Services“, so Jakoubi. Daher sollte man auch alle anderen Konten prüfen und die Passwörter ändern.

Auch über die „Passwort zurücksetzen“-Funktion vieler Services können Hacker Zugriff erhalten. Wenn man einen Eindringling im eigenen E-Mail-Postfach vernimmt, sollte man darum auch alle Dienste, bei denen man diese Mail-Adresse angegeben hat, kontrollieren.

Meine Daten waren in einer gehackten Datenbank

Hat man bei einem Unternehmen ein Konto angelegt, kann es immer passieren, dass Hacker Zugriff auf diese Datenbank erhalten. Dort können im schlimmsten Fall auch Kreditkartendaten abgerufen werden. Laut Jakoubi sollte man dann auf Kontobewegungen achten und gegebenenfalls Kontakt zum Bankinstitut aufnehmen. Zudem sind mit den erbeuteten Daten gezielte Phishing-Angriffe möglich, die bspw. Bankdaten enthalten.

Wie kann ich mich schützen?

Für alle Dienste sollte, wenn möglich, eine Zwei-Faktor-Authentifizierung eingerichtet werden. Dann muss die Identität durch einen weiteren Schritt, wie eine SMS, bestätigt werden. So können sich Angreifer nur dann in ein Konto einloggen, wenn sie auch Zugriff auf Handy des Opfers haben. Zudem sollte man für jeden Dienst ein eigenes, sicheres Passwort verwenden. 

"Oft erschleichen sich Angreifer Zugangsdaten oder wollen den Opfern Schadsoftware unterjubeln, indem sie eine Drucksituation erzeugen", so Jakoubi. Deshalb sollte man E-Mails, die merkwürdige Mahnungen, Dateien oder Links enthalten, grundsätzlich achtsam und mit Hausverstand behandeln. Erhält man "Rechnungen" von Anbietern, von denen man keine Leistungen bezieht, handelt es sich mit großer Wahrscheinlichkeit um Phishing.

Passwort-Manager

Sicherheitsexperten empfehlen, für jeden Dienst ein eigenes Passwort zu verwenden. Dass man sich diese vielen Zeichenfolgen nicht merken kann, insbesondere da sie sich möglichst komplex gestalten sollen, ist klar.

Empfehlenswert ist laut Stefan Jakoubi von SBA Research daher die Verwendung eines Passwort-Managers. Damit können Login-Daten gespeichert und sichere Passwörter generiert werden, wenn man sich bei einem Dienst neu anmelden möchte. Merken muss man sich aber nur ein Master-Passwort. Hier gibt es zahlreiche Dienste. Laut Jakoubi sollte man vor allem bei Gratis-Angeboten skeptisch sein: „Auch diese Dienste müssen Geld verdienen. Im schlimmsten Fall bezahle ich dann mit meinen Daten.“

Eine Ausnahme sei das Programm KeePass, das öffentlich zugänglich und sehr sicher ist. Allerdings erfordert die Anwendung einiges an technischem Geschick. Wem das Programm zu kompliziert ist, kann auf die ebenfalls kostenlose Open-Source-Alternative Bitwarden oder etablierte Dienste wie LastPass (2,67 Euro pro Monat) und 1Password (2,99 Euro pro Monat) zurückgreifen. Die Dienste können über eine zugehörige App auch auf dem Smartphone genutzt werden.

Browser bieten ebenfalls die Möglichkeit an, Passwörter direkt zu speichern und füllen dann automatisch die Login-Daten aus, wenn man einen Dienst nutzen möchte. Davon sollte man laut Stefan Jakoubi von SBA Research allerdings absehen, da man immer von der Sicherheit des Browsers abhängig ist.