Internetsicherheit: So schützen Sie sich vor Account-Hijacking und Co.

Wir erklären Ihnen, worauf Sie achten sollten, damit Sie sicher im Internet unterwegs sind.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: Stokkete/Shutterstock.com)

Lesezeit: 13 Min.
Von
  • Jonas Mahlmann
  • Anna Kalinowsky

Am 8. Februar ist Safer Internet Day – Grund genug, sich einmal ausführlicher mit dem Thema Sicherheit im Internet auseinanderzusetzen. Große Relevanz besitzt dabei das Account-Hijacking, bei dem Ihr Account bei einer Website, App oder in einem Programm von Kriminellen übernommen wird. In unserer FAQ erklären wir Ihnen, was Account-Hijacking genau ist und welche Phishing-Maschen oder schädlichen Programme dazu führen können. Im Anschluss zeigen wir Ihnen, was Sie tun können, wenn einer Ihrer Accounts kompromittiert wurde, und wie Sie Ihren Account präventiv durch ein gutes Passwort und die Zwei-Faktor-Authentifizierung absichern können. Zum Abschluss geben wir Ihnen Tipps zur Onlinesicherheit für Familien.

Was ist Account-Hijacking und wie erkenne ich es?

Account-Hijacking ist das, was die meisten meinen, wenn sie von einem „gehackten Account“ sprechen. Dabei wird ein Internet-Account unrechtmäßig gekapert und übernommen, indem zuerst die Anmeldedaten des Kontos erraten oder abgefangen werden. Es handelt sich also eine konkrete Umsetzung von Identitätsdiebstahl. Welche Methoden hierfür genutzt werden, erklären wir Ihnen in späteren Abschnitten der FAQ. Anschließend können die Cyberkriminellen den Account für ihre Zwecke nutzen. Welche das genau sind, ist abhängig von der Art des Kontos: Mit Zugängen zu Online-Shops können zum Beispiel auf Kosten des rechtmäßigen Account-Besitzers Produkte bestellt oder die hinterlegten Zahlungsinformationen an anderer Stelle verwendet werden. Ist Ihr E-Mail-Postfach Opfer eines Account-Hijackings geworden, kann damit auch Ihre Bank kontaktiert oder die "Passwort Zurücksetzen"-Funktion bei anderen Accounts genutzt werden.

Laut einem Blogpost vom Google Safety Engineering Center (GSEC) sind solche Attacken leider keine Seltenheit mehr. Dabei ist Account-Hijacking in manchen Fällen gar nicht so einfach zu erkennen. Wenn Sie etwas aufmerksam sind, gibt es allerdings einige deutliche Hinweise darauf. Misstrauisch sollten Sie in jedem Fall werden, wenn Sie sich mit Ihren eigentlichen Zugangsdaten nicht mehr bei Ihrem Account anmelden können. Auch bei Zahlungen von Ihrem Bank- oder Kreditkarten-Konto, die Sie nicht autorisiert haben, sollten Sie stutzig werden. Erhalten Sie von einem Anbieter eine Benachrichtigung, dass Ihr Passwort geändert wurde, ohne dass Sie das waren, sollten Sie dies ebenfalls überprüfen.

Aber auch unauffälligere Veränderungen sollten Sie aufmerksam machen: Bei Mail-Accounts sind das zum Beispiel E-Mails in Ihrem Post-Ausgang, die Sie selbst nicht versendet haben. Bei Konten aller Art sollten Ihnen auch geänderte Sicherheits- oder Konto-Einstellungen zu denken geben. Wenn Cyberkriminelle in ein E-Mail-Postfach eingebrochen sind, legen sie oftmals auch Filter an, etwa um Mails automatisch weiterzuleiten oder in den Papierkorb umzuleiten. Daher lohnt auch der Blick in die Filtereinstellungen, ob dort nicht selbst erstellte Einträge vorhanden sind.

Haben Sie das Gefühl, dass Ihr Account gehackt wurde, können Sie noch einiges dagegen tun. Was genau, erfahren Sie weiter unten im entsprechenden Abschnitt zu dieser Frage. In den folgenden beiden Abschnitten erklären wir Ihnen, wie es überhaupt zu einem Account-Hijacking kommen kann.

Mehr Infos

Was ist Phishing und wie erkenne ich es?

Damit Kriminelle Ihren Account übernehmen können, benötigen sie zunächst Ihre Anmeldedaten. Unsichere Passwörter können manchmal sogar erraten werden. Häufig ist das aber nicht so einfach möglich, weshalb die Kriminellen auf andere Methoden zurückgreifen.

Eine der häufigsten Methoden ist das sogenannte Phishing. Dabei versuchen Kriminelle, mithilfe von gefälschten E-Mails, Nachrichten oder Websites, Ihre Anmeldedaten abzugreifen. Auch über soziale Medien werden vermehrt Daten abgefischt.

Wie das funktioniert, wird am besten an einem Beispiel deutlich: Sie erhalten zunächst einen Link zu einer gefälschten Website, beispielsweise per E-Mail. Damit Sie die Fälschung nicht gleich erkennen, werden oft Buchstabendreher verwendet, die im besten Fall so ähnlich wie die tatsächliche URL des Anbieters aussieht (zum Beispiel "Arnazon" statt "Amazon"). In der E-Mail werden Sie dringlich aufgefordert, auf den Link zu klicken, um beispielsweise Kontoinformationen zu aktualisieren oder Ihr Passwort nach einem Sicherheitsleck zu verändern. Klicken Sie auf den Link, werden Sie zu einer Anmelde-Maske geleitet, die der tatsächlichen Anmeldung des Online-Dienstes täuschend ähnelt. Melden Sie sich hier an, greifen die Kriminellen die Daten ab und nutzen sie für ihre eigenen Zwecke.

Cyberkriminelle sind in den vergangenen Jahren immer raffinierter beim Phishing von Nutzerdaten geworden. Laut Sicherheits-Expertinnen und -Experten des GSEC gibt es trotzdem einige Anzeichen, die auf einen Phishing-Versuch hindeuten:

  • Fallen Ihnen in der Absenderadresse oder im Link der Website Buchstabendreher auf, sollten Sie auf keinen Fall auf den Link klicken.
  • Achten Sie darauf, wie E-Mails oder Nachrichten geschrieben sind: Rechtschreib- oder Grammatikfehler sollten Sie misstrauisch machen. Aber auch, wenn Sie zu dringlich dazu gedrängt werden, auf einen Button oder Link zu klicken, sollten Sie vorsichtig sein. Insbesondere, wenn dabei eine Drohkulisse aufgebaut oder das Thema übermäßig emotionalisiert wird.
  • E-Mails und Nachrichten von großen Unternehmen sind mittlerweile häufig personalisiert. Phishing-E-Mails werden allerdings oft an eine große Anzahl von Personen gleichzeitig versendet. Fehlt also die persönliche Ansprache zu Beginn der E-Mail, kann das ein Hinweis auf eine Phishing-E-Mail sein.
  • Enthalten E-Mails Anhänge, die Sie öffnen sollen, sollten Sie auch dabei äußerst vorsichtig sein. Diese könnten Viren oder Ransomware enthalten. Was es damit auf sich hat, erklären wir Ihnen im nächsten Abschnitt dieser FAQ.

Haben Sie Zweifel an der Authentizität einer E-Mail oder Nachricht, sollten Sie lieber vorsichtig sein. Rufen Sie im Zweifelsfall lieber einmal bei dem Anbieter an, um sich zu vergewissern, ob eine Anmelde-Aufforderung tatsächlich von ihm stammt. Alternativ kann es sich auch lohnen, den Betreff oder die Absenderadresse einer E-Mail zu googeln – häufig finden Sie dann schon Hinweise dazu, ob es sich dabei um einen Phishing-Versuch handelt.

Mehr Infos

Was sind Viren und Ransomware und wie kann ich mich gegen sie schützen?

Allgemein gesehen sind Viren und Ransomware schädliche Computerprogramme, die auf Ihrem Computer ausgeführt werden können. Es gibt eine Vielzahl solcher Schädlinge, die unterschiedliche Ziele verfolgen. Einige sind beispielsweise darauf ausgelegt, Daten wie Passwörter oder Bankverbindungen abzugreifen. Andere sperren Daten auf Ihrer Festplatte, die Sie erst gegen eine Lösegeldforderung (daher der Name Ransomware: "Ransom" = Lösegeld) zurückerhalten.

Zum Schutz vor Viren, Ransomware oder Trojanern sollte ein Antivirus-Programm laufen. Insbesondere im privaten Umfeld leistet hier inzwischen der kostenlose Microsoft Defender, der in Windows 10 und 11 werkelt, ordentliche Dienste. Jedoch war im Regelfall bei erfolgreichen Ransomware-Angriffen ein Virenscanner aktiv. Daher muss der eigentliche Schutz auf anderer Ebene ansetzen: Ein regelmäßiges Backup muss her.


Was tun, wenn ein Account übernommen wurde?

Haben Sie bemerkt, dass einer Ihrer Internet-Accounts von Cyberkriminellen gekapert wurde, ist bei Weitem noch nicht alle Hoffnung verloren. Allerdings sollten Sie sich unbedingt beeilen, um größeren Schaden zu verhindern.

Wie Sie in diesem Fall vorgehen, variiert je nach Anbieter etwas. Grundsätzlich sollten Sie sich schnellstmöglich bei dem kompromittierten Account anmelden. Ist das mit Ihren eigentlichen Anmeldedaten nicht möglich, nutzen Sie die "Passwort vergessen"-Funktion. Prüfen Sie, welche Änderungen bereits an dem Account vorgenommen wurden. Das bezieht sich insbesondere auf Ihr Passwort sowie die im Konto hinterlegte E-Mail-Adresse. Ändern Sie Ihr Passwort zu einem Kennwort, das Sie noch bei keiner anderen Anmeldung verwendet haben. Wenn möglich, entfernen Sie alle Geräte, die für eine Anmeldung mit diesem Account genehmigt sind. Wenn noch nicht geschehen, aktivieren Sie die Zwei-Faktor-Authentifizierung.

Je nach Anbieter gibt es noch zusätzliche Funktionen, die Sie zur Absicherung Ihres Kontos gegen die Cyberkriminellen treffen sollten. Folgen Sie dazu einfach der jeweiligen Anleitung:


Wie erstelle ich ein sicheres Passwort?

Theoretisch sollte ein komplexes Passwort, schön lang, ein Konto schützen. Das ist dort, wo der Anbieter keine Zwei-Faktor-Authentifizierung ermöglicht, auch richtig und wichtig. Idealerweise kümmert sich um solche Konten ein Passwort-Manager. Bei den anderen sorgt die Mehr-Faktor-Authentifizierung für die nötige Sicherheit, da Angreifer mit dem Nutzernamen und Passwort alleine nicht auf das Konto zugreifen können. Mehr zur Zwei-Faktor-Authentifizierung lesen Sie im nächsten Abschnitt. Darüber hinaus gibt es einige Kriterien, die Ihre Passwort-Sicherheit noch verbessern. Andreas Tuerk, Produktmanager des GSEC, empfiehlt in einem Google-Blogpost dazu Folgendes:

  • Solange Sie einen Computer alleine nutzen, verwenden Sie ruhig die „Angemeldet bleiben“-Funktion. So müssen Sie nicht ständig Ihre Anmeldedaten eingeben und können Passwörter komplizierter und länger gestalten.
  • Möchten Sie sich nicht alle Passwörter merken, greifen Sie auf einen Passwort-Manager zurück. Das können speziell dafür ausgelegte Programme sein, mittlerweile gibt es in vielen Browsern aber auch integrierte Passwort-Manager. Mit Google Chrome, Firefox, Apples Safari und Co können Sie direkt bei der Registrierung sichere Passwörter erstellen, speichern und bei der nächsten Anmeldung automatisch ausfüllen. Noch sicherer ist das, wenn Sie den Zugang zu den Passwörtern mit einem Fingerabdruck oder Ihrem Gesicht absichern. Tipp: Hier hat sich das c’t-Magazin die 25 besten Passwortmanager für PCs und Smartphones angesehen und getestet.

Was ist die Zwei-Faktor-Authentifizierung und wie sichert sie meinen Account ab?

Die sogenannte Zwei-Faktor-Authentifizierung (2FA) gehört aktuell zu den besten Wegen, wie Sie Ihre Online-Accounts absichern können. Dabei benötigen Sie zur Anmeldung bei einer Website neben dem Passwort als ersten Faktor – Wissen – noch einen zweiten Faktor – Besitz. In den vergangenen Jahren wird für diesen zweiten Faktor meist das Smartphone verwendet. Von diesem geben Sie zum Beispiel einen bestimmten Code aus einer Authentifizierungs-App ein, mit dem Sie die Anmeldung autorisieren. Bei einigen Anbietern können Sie eine Anmeldung auch per Push-Mitteilung auf Ihrem Smartphone bestätigen.

Das System ist im Grundsatz recht simpel, hilft aber trotzdem sehr, Online-Accounts vor einem Hack zu schützen. Selbst wenn Cyberkriminelle Ihre Anmeldedaten abgreifen, können sie ohne den Besitz des zweiten Faktors nicht in Ihren Account kommen. Aus diesem Grund hat beispielsweise Google im November 2021 die 2FA für 150 Millionen Konten aktiviert. Laut Google wurde dadurch die Zahl kompromittierter Accounts um etwa 50 Prozent reduziert.


Was muss ich zur Onlinesicherheit für Familien wissen?

Onlinesicherheit beschränkt sich in Familien längst nicht mehr auf das reine Absichern von Internet-Accounts. Eine Studie des GSEC in Zusammenarbeit mit Statista ergab unter rund 1000 deutschen Erziehungsberechtigten, dass bereits 23 Prozent der Drei- bis Fünfjährigen ein eigenes Tablet besitzen; unter den Sechs- bis Achtjährigen sind es 30 Prozent. Von den Neun- bis Zwölfjährigen besitzen 74 Prozent ein eigenes Smartphone. Digitale Medien werden also intensiver denn je von Kindern genutzt.

Gleichzeitig entwickeln Kinder erst mit fortgeschrittenem Alter eine ausgeprägtere Medienkompetenz und müssen daher zunächst vorsichtig an das Internet herangeführt werden. So soll verhindert werden, dass sie negative Erfahrungen mit dem Netz machen. Dafür sollten Eltern ihre Kinder bei der Mediennutzung begleiten und sie altersgerecht über Risiken des Internets aufklären.

Um Familien auf diesem Weg zu unterstützen, gibt es eine Vielzahl hilfreicher Online-Angebote, die Rat rund um Themen der Online-Medien-Nutzung von Kindern geben. Besonders hervorzuheben sind klicksafe.de, das von der EU betrieben wird, sowie schau-hin.info von Bundesfamilienministerium, ARD, ZDF und AOK. Besonders schau-hin.info befasst sich immer wieder mit aktuellen Themen wie TikTok, Streaming-Diensten oder angesagten Spielen.

Auf Android- und iOS-Geräten gibt es mittlerweile auch die Möglichkeit, die Handy-Nutzung der Kinder sowohl zeitlich als auch auf bestimmte Apps oder Websites einzuschränken. Und auch an einem Windows-PC können Sie eine Kindersicherung aktivieren:

Darüber hinaus gibt es auch eigene Suchmaschinen für Kinder. Die besten Suchmaschinen für Kinder stellen wir Ihnen in diesem Tipp vor.

(anka)