Experten raten zu Passkeys oder Zwei-Faktor-Authentisierung für mehr Sicherheit im Netz. Überprüfen Sie regelmäßig Ihre Konten auf verdächtige Aktivitäten.
Phishing und Datenlecks: So schützen Sie sich vor Cyberkriminalität
Cyberkriminelle versenden betrügerische Nachrichten per E-Mail oder Messenger. Sie geben sich beispielsweise als Behörde aus, um vertrauliche Informationen wie Passwörter oder Kreditkartendetails zu stehlen. Dies wird als Phishing bezeichnet. Dieses Beispiel ist nur eine von vielen Varianten, wie Kriminelle im Internet versuchen, Daten zu stehlen und damit auch Geld zu verdienen.
Viele beim Umgang mit Passwörtern nachlässig
«Die Bedrohungslage ist recht groß und die Gefahr ist da, in Fallen zu tappen», sagt Maximilian Berndt, Experte für digitalen Verbraucherschutz beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Abfischen von Daten ist dem Bundeslagebild Cyberkriminalität von 2023 zufolge eines der häufigsten Mittel, um im Internet Straftaten zu begehen.
Trotzdem sind viele Menschen in Deutschland nachlässig im Umgang mit Passwörtern. Dies geht aus einer Umfrage des Digitalverbands Bitkom hervor. Etwa ein Viertel der Befragten (23 Prozent) verwendet bewusst einfache Passwörter, um sie sich leichter merken zu können. Ein Drittel (33 Prozent) benutzt dasselbe Passwort für verschiedene Dienste. Befragt wurden 1.021 Internetnutzerinnen und -nutzer in Deutschland ab 16 Jahren.
Selbst sicheres Passwort reicht nicht aus
Selbst starke Passwörter allein bieten mittlerweile nicht mehr ausreichend Schutz und können bei einem Phishing-Angriff in falsche Hände geraten. Auch regelmäßige Passwortänderungen, zu denen zum Beispiel am 1. Februar am sogenannten „Ändere-dein-Passwort-Tag“ geraten wird, seien überholt, teilt das Bundesamt mit.
«Es sei denn, ich weiß, dass mein Passwort sehr schwach ist. Das wäre die einzige Ausnahme, die ich noch gelten lassen würde. Neben dem Fall, dass mein Konto kompromittiert wurde», sagt Berndt.
Laut dem Bundesamt führen regelmäßige Passwortänderungen unabhängig vom Anlass erfahrungsgemäß eher dazu, dass schwächere Passwörter verwendet werden. Es wäre besser, auf eine Technologie namens Passkeys umzusteigen.
Passkeys – Sicher ohne Passwort einloggen
Passkeys sind zufällig generierte Zeichenketten, die zur Anmeldung auf Websites verwendet werden. Sie verwenden biometrische Merkmale wie Fingerabdruck oder Gesichtsscan – beispielsweise FaceID beim iPhone. «Es gibt keinen Faktor mehr, den ich vergessen kann, den ich verlieren kann oder den man mir stehlen kann. Und damit ist Passkeys gegen die bisher bekannten Phishingmethoden geschützt. Das ist ein eklatanter Sicherheitsgewinn», betont Berndt.
Es wird empfohlen, neben sicheren Passwörtern auch die Zwei-Faktor-Authentifizierung zu verwenden, um zusätzliche Sicherheit zu gewährleisten, für diejenigen, die nicht auf Passkeys umsteigen möchten. Viele gängige Zwei-Faktor-Log-ins greifen nach Eingabe des Passworts beispielsweise auf externe Systeme zurück, um eine zweistufige Überprüfung des Benutzers durchzuführen.
Datenlecks bei großen Unternehmen
Auch durch Datenlecks bei großen Unternehmen und Institutionen, zum Beispiel durch Cyberangriffe oder Sicherheitslücken, können Daten von Nutzerinnen und Nutzern in die Hände von Kriminellen gelangen. Im Jahr 2021 griffen Unbekannte bei Facebook Daten von rund 533 Millionen Nutzerinnen und Nutzern aus 106 Ländern ab und verbreiteten diese öffentlich im Internet.
Im letzten Jahr entdeckte der Chaos Computer Club (CCC) ein großes Datenleck in der Kreditvermittlung von Check24 und Verivox. Bei beiden Vergleichsportalen war es vorübergehend möglich, Darlehensverträge herunterzuladen, einschließlich Einkommensinformationen und Kontonummer. Verivox gab bekannt, dass das Datenleck nach dem Hinweis des CCC sofort behoben wurde. Auch Check24 soll laut Correctiv den Fehler behoben haben.
Was tun, wenn Daten abgeflossen sind?
Sollte man Opfer von Phishing oder Datenlecks werden, ist es oft ausreichend, das Passwort zurückzusetzen und idealerweise die Sicherheit durch Zwei-Faktor-Log-ins oder Passkeys zu verstärken.
Bei wichtigen Konten, zum Beispiel dem E-Mail-Account oder Online-Banking lohnt es sich laut Berndt zu schauen: «Sind seltsame Abbuchungen getätigt worden? Passiert irgendetwas in diesem Konto, das ich so nicht erwartet habe? Wurden etwa bei Handyverträgen Zusatzdienste gebucht?»
Auf ungewöhnliche Aktivitäten achten
Aber wie bemerkt man überhaupt, dass Daten abgegriffen wurden? «Da gibt es leider nicht die goldene Regel», sagt Berndt. Ungewöhnliche Aktivitäten auf Accounts sind ein Anzeichen. Manche Dienste versenden auch selbst Hinweise, zum Beispiel bei neuen Log-ins.
