Datendiebstahl: Was geht mich das an?
Kaum eine Woche vergeht, ohne dass nicht ein kleiner, größerer oder ganz großer Datendiebstahl aufgedeckt wird. Wahrscheinlich sind auch Daten von Ihnen längst in fremde Hände gefallen, auch wenn Sie davon nichts bemerkt haben. Doch was bedeutet das für Sie in der Praxis?
Ob Sie von großen Hackerangriffen betroffen waren, bei denen Angreifer Millionen von Zugangsdaten von Diensteanbietern wie Adobe, GMX, LinkedIn, MySpace und Co. erbeutet haben, können Sie auf der Website Have I Been Pawned erfahren. Hier hat der Sicherheitsforscher Troy Hunt auf dem Schwarzmarkt verfügbare Datenbanken mit kompromittierten Zugangsdaten zusammengetragen. Die Website gibt Auskunft darüber, ob Ihre Mailadresse oder Ihre Kennwörter in der Sammlung vorhanden sind.
Aber was ist, wenn Sie betroffen sind? Während einige Nutzer regelrecht in Panik verfallen, reagieren andere kaum – „Was soll schon passieren? Ich habe eh nichts zu verbergen!“ Doch stimmt das wirklich?
Generell sollten Sie das Passwort schnellstmöglich wechseln, wenn Sie erfahren (oder auch nur befürchten), dass einer Ihrer Accounts gehackt wurde und die Zugangsdaten in falsche Hände gefallen sind. So vermeiden Sie, dass der Hacker, aber auch potenzielle Käufer der Daten diese nutzt. Und natürlich sollten Sie dieselben Zugangsdaten nicht für verschiedene Dienste nutzen.
Mehr als Passwörter
Die Zugangsdaten und Passwörter sind aber nur ein kleiner Teil der Daten, die Hacker interessieren. Zumeist erbeuten die Angreifer auch die Mailadressen, unter Umständen auch Bank- oder Kreditkartendaten, Wohnadresse, Geburtsdatum, Freundeslisten, Transaktionsübersichten und vieles andere mehr.
Spam
Wer im Besitz Ihrer Mailadresse ist, kann Ihnen Spam schicken. Werbung für irgendwelchen Mist, vielleicht verbunden mit schädlichen Attachments oder gefährlichen Links. Davon bekommen Sie wahrscheinlich eh schon genug und Sie haben einen Spamfilter, der das Meiste ausfiltert. Nicht so schlimm also. Mit Ihrem Namen und Ihrer Mailadresse kann man den Spam auch noch personalisieren. Auch noch nicht daramatisch.
Phishing
Wer Ihren Namen und Ihre Mailadresse hat und zusätzlich einen Internetdienst kennt, den Sie mit dieser Mailadresse nutzen, kann sich schon ein wenig mehr Mühe geben und Ihnen Phishing-Mails schicken, die täuschend echt wirken. Klicken Sie achtlos auf einen enthaltenen Link und loggen sich jetzt ein oder geben persönliche Daten in ein Formular ein, dann landen diese bei den Hackern. Und so können sie dann Ihren Account übernehmen, auch wenn Sie vorher das Kennwort geändert haben.
Finanzbetrug
Wer Ihre Zahlungsdaten hat, kann versuchen, über Ihre Kreditkarte einzukaufen oder Ihr Bankkonto zu belasten. Das ist schon ärgerlicher. Sie sollten also Transaktionen und Abbuchungen immer genau beobachten und Auffälligkeiten unverzüglich Ihrer Bank melden. Da die Banken und Kreditkarten-Unternehmen selbst gute Überwachungsmechanismen haben, passiert zumindest bei uns wenig, aber es kommt doch vor.
Identitätsdiebstahl
Spannender wird es, wenn Angreifer persönliche Daten von Ihnen erbeuten. Hierzu gehören Ausweiskopien, Adress- und Geburtsdaten, Telefonnummern und mehr. Gibt man sich ein wenig Mühe, dann kann man sich damit für Sie ausgeben. Und so weitere Daten oder Zugangsmöglichkeiten erhalten.
Auch nicht spaßig ist es, wenn Angreifer Ihren Haupt-Mailaccount übernehmen können. Vermutlich haben Sie diese Mailadresse bei zahlreichen Diensten für die Anmeldung genutzt. Nun braucht man nur ins Mailarchiv zu schauen und dann bei den Diensten neue Passwörter anzufordern. Natürlich sorgt der Angreifer dafür, dass Sie diese Mails nicht zu Gesicht bekommen. Jetzt könnten Sie die Kontrolle über alle möglichen Internetaccounts verlieren. Wohl dem, der die Zwei-Faktor-Authorisierung aktiviert hat – dann kann ein Dritter nämlich nicht so einfach die Passwörter ändern.
„Cyber Fraud“
Und wenn dem Angreifer Ihr Adressbuch und vielleicht dazu auch noch Ihr Terminkalender in die Hände gefallen ist? Dann kann er sich gegenüber Dritten für Sie ausgeben. Dieses Prinzip wird seit einiger Zeit gezielt genutzt, um Unternehmen zur Überweisungen von Beträgen an vermeintliche Geschäftspartner zu veranlassen. Gerade dann, wenn Sie auf Dienstreise sind, erhält Ihr Office die Anweisung von Ihnen, ganz dringend eine Zahlung zu veranlassen. Im Fall des Falles sind die Mails so gut aufbereitet, dass sie wirklich von Ihnen zu stammen scheinen und keiner Verdacht schöpft. Klar: Meist fällt der Schwindel auf – aber regelmäßig liest man von Fällen, wo dann doch überwiesen wurde und das Geld, oft sehr hohe Beträge, weg ist.
Erpressung
Schließlich können Sie mit den Daten, die in die Hände der Angreifer gefallen sind, auch noch erpresst werden. Der Angreifer kontaktiert Sie dann z.B. über E-Mail oder Messenger und behauptet, kompromittierende Daten über Sie erbeutet zu haben und diese entweder zu veröffentlichen oder in Ihrem Namen an Ihre Kontakte zu senden. Er fordert meist einen Betrag in Bitcoin, den Sie zahlen sollen, und bedient sich dabei anonymer oder gefälschter Absender – teilweise sogar Ihres eigenen, um zu zeigen, dass er Ihren Account wirklich gekapert hat. Dabei ist gar nicht gesagt, dass der Angreifer wirklich kompromitierende Daten über Sie besitzt und tatsächlich Ihren Account kontrolliert: Die bei Hacks und Leaks erbeuteten Daten werden auch gerne genutzt, um „auf gut Glück“ Erpressungsversuche zu starten. Irgendwer wird schon zahlen. (Natürlich sollen Sie keinesfalls zahlen, denn damit würden Sie Betrüger nur auffordern, Sie weiterhin zu erpressen.)
Vorsicht ist besser als Nachsicht
Das sind nur einige mögliche Folgen eines Datendiebstahls. Um zu vermeiden, dass Ihnen so etwas passiert, sollten Sie folgende Dinge beachten:
- Nutzen Sie unterschiedliche Passwörter für verschiedene Dienste.
- Richten Sie, sofern möglich, die Zwei-Faktor-Authorisierung (2FA) ein.
- Ändern Sie Passwörter regelmäßig.
- Wenn Sie von einem Datendiebstahl betroffen sind: Wechseln Sie Passwörter schnellstmöglich.
- Kontrollieren Sie Kreditkartenabrechnungen und Kontoauszüge regelmäßig und genau.
- Machen Sie sich klar, dass Sie jederzeit betroffen sein können, und seien Sie wachsam.
- Verfallen Sie nicht in Panik.
Wir wünschen Ihnen, dass nie etwas Dramatisches passiert, aber seien Sie vorsichtig: Selbst wenn Sie keinen finanziellen Verlust erleiden, kostet es Zeit und Mühe, die Kontrolle über Ihre Accounts zurückzuerlangen – und unter Umständen erleiden Sie zusätzlich einen Vertrauensverlust gegenüber Familie, Freunden, Kollegen und Geschäftskontakten.