Plötzlich ploppt eine Warnung auf dem Smartphone auf, dass das eigene Konto womöglich gehackt wurde. Ist es nun richtig, alle Passwörter zu ändern? Experten klären auf.

Zwei Uhr nachts. Schlaflosigkeit. Griff zum Smartphone – Surfen im Internet. Beim Versuch, sich ins E-Mail-Konto einzuloggen, taucht plötzlich eine Meldung auf: "Dieses Passwort wurde bei einem Datenleck gefunden. Dadurch besteht große Gefahr, dass Ihr Konto kompromittiert wurde. Sie sollten Ihr Passwort sofort ändern." Was ist zu tun?

"Nicht in Panik zu verfallen ist erst einmal guter Weg", sagt Nikolaus Stumpf von der Verbraucherzentrale Bayern. Der Fachreferent für Digitales erklärt: "Ein Datenleck oder Datenleak bedeutet erst einmal nur, dass sich Dritte Zugriff auf die Datenbank eines anderen Unternehmens verschafft haben und dort Nutzerdaten abgreifen." Das passiere häufig, wenn die Website dieser Unternehmen nicht genügend gesichert sei – so etwa bei kleinen Online-Shops. "Es kann sein, dass in der Datenbank lediglich der eigene Name auftaucht. Sind auf den betroffenen Internetseiten aber auch die zugehörigen Nutzerpasswörter nicht verschlüsselt, dann ist das gefährlicher." Dann wurde das Konto möglicherweise kompromittiert, oder in anderen Worten: gehackt.

Digitalexperte: "Der E-Mail-Account ist ein Einfallstor"

Mithilfe eines Testlaufs könne überprüft werden, ob man betroffen sei, sagt Stumpf. Gut eigne sich hierfür die Seite der Universität Bonn: leakchecker.uni-bonn.de. "Dort geben Sie Ihre E-Mail-Adresse ein, ein paar Minuten später erhalten Sie die Auswertung an diese Adresse geschickt." Das funktioniere natürlich nur, wenn man in sein E-Mail-Postfach gelangt. Problematisch kann es werden, sobald man selbst keinen Zugang mehr zu seinem Konto hat: Haben sich Hacker Zugriff verschafft und selbst ein neues Passwort vergeben? Können sie dann auf alle anderen Konten zugreifen und mittels der E-Mail-Adresse überall die Passwörter ändern? "Der E-Mail-Account ist ein Einfallstor. Wenn Hacker da reinkommen und ihn für den eigentlichen Besitzer sperren, wird es gefährlich." Häufiger kommt es vor, dass der E-Mail-Anbieter zur Sicherheit erst einmal den Account für alle sperrt, sagt Stumpf. Nach einigen Stunden ist das Konto oft wieder freigegeben. Dann können die Zugangsdaten geändert werden.

Der Experte empfiehlt, zusätzlich eine Zwei-Faktor-Authentisierung einzurichten. Dadurch könne man sich nur mithilfe zweier unabhängiger Komponenten einloggen, zum Beispiel durch einen zusätzlichen Code, der auf das Smartphone geschickt wird. Sollte das Konto auch nach einiger Zeit nicht wieder frei sein, muss man sich – zum Beispiel über ein Kontaktformular – an den E-Mail-Dienstleister wenden. Die Verbraucherzentrale Niedersachsen hat Anleitungen zur Kontowiederherstellung für 14 untersuchte Online-Anbieter zusammengestellt.

Vorsicht bei der Aufforderung, Passwörter zu ändern

Bis der Zugriff wieder gegeben ist, mache es oft Sinn, auch alle anderen Anmeldungen zu ändern. Also Passwörter fürs Online-Banking, für Paypal, Facebook, Amazon sowie alle weiteren Online-Shops, bei denen kürzlich bestellt wurde. Hier sehen Experten nämlich häufig ein Problem: Es wird überall dasselbe Passwort vergeben. "Das ist gefährlich", warnt der Leiter der Polizeiinspektion Schwabmünchen, Markus Graf. "In dem Fall ist es auf jeden Fall richtig, alle Kennwörter in unterschiedliche und sichere zu ändern. Hierfür gibt es Passwortgeneratoren", empfiehlt der Polizeichef.

Digitalreferent Nikolaus Stumpf geht noch einen Schritt weiter, indem er zu einem Passwortmanager rät. Dieser kümmert sich um alle verwendeten Passwörter, merken muss man sich aber nur eines. Ein sehr sicheres, kostenfreies Tool findet sich unter lastpass.com/de. Stumpf gibt außerdem zu bedenken: "Klicken Sie für das Ändern der Passwörter nie auf irgendwelche Links, sondern geben Sie die URL direkt im Browser ein und klicken sich händisch zu den Kontoeinstellungen durch."

So gelingt ein sicheres Passwort 1 / 7 Zurück Vorwärts Ein sicheres Passwort besteht aus mindestens acht Zeichen.

Es sollte Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen beinhalten.

Es sollte nicht im Wörterbuch vorkommen, da es so schnell geknackt werden kann, selbst wenn etwa E durch 3 oder I durch 1 ersetzt wurde.

Man sollte ein Passwort regelmäßig ändern.

Man sollte unterschiedliche Passwörter für verschiedene Anwendungen nutzen.

Passwörter nicht im Internet speichern!

Eine Eselsbrücke für sichere Passwörter: man überlegt sich einen persönlichen Satz, den man sich leicht merken kann und bildet aus Anfangsbuchstaben, Zahlen und Satzzeichen ein neues Passwort. (Quelle: BayernLab Dillingen)

Phishing Mails: Kriminelle gehen immer wieder anders vor

Derartige Aufforderungen könnten nämlich auch sogenannte Phishing Mails sein. Hier ahmen Kriminelle einen vertrauenswürdigen Absender nach, um an Zugangsdaten und Co. zu kommen. Ihre Methoden sind unterschiedlich, es könne auch die Versandaktualisierung eines nie bestellten Pakets per SMS sein. "Seien Sie stets skeptisch und gehen Sie sparsam mit Ihren Daten um", rät der Experte. Auch Polizeichef Graf beobachtet, dass Internetkriminelle immer wieder anders vorgehen. "Opfer werden häufig per E-Mail aufgefordert, ihre Zugangsdaten fürs Online-Banking zu aktualisieren. Dazu werden sie auf eine Seite gelockt, die genau wie die ihrer Bank aussieht", so Graf. Hier sollten die Alarmglocken schrillen. Für die wohl beliebteste Masche wird derzeit der Nachrichtendienst WhatsApp zum Tatort. Betrüger geben sich als Sohn oder Tochter des Opfers aus und fordern Geld. Allein zwischen Donnerstag und Freitag seien drei solcher Vorfälle bei der Polizei in Schwabmünchen angezeigt worden.