Es ist ein ganz normaler Dienstagmorgen. Mit einem Kaffee in der Hand setzen Sie sich vor den Computer, öffnen Facebook, und auf dem Bildschirm erscheint: „Passwort falsch.“ Sie versuchen es erneut und tippen langsamer. Nichts. Sie versuchen, das Passwort zurückzusetzen, aber das System teilt Ihnen mit, dass Ihre hinterlegte E-Mail-Adresse geändert wurde. In diesem Moment zieht sich Ihr Magen zusammen. Ihre Familienfotos, privaten Nachrichten, Ihre Arbeit oder sogar Ihre Bankkartendaten könnten in fremde Hände geraten sein.

 

Auch in Österreich erleben täglich Hunderte diesen digitalen Albtraum, obwohl die meisten Fälle mit ein wenig Aufmerksamkeit vermeidbar wären. In diesem Beitrag gehen wir durch, wie Betrüger arbeiten, was Sie tun können, um niemals in ihr Visier zu geraten, und geben Tipps, was zu tun ist, wenn der Schaden bereits angerichtet wurde.

 

Wie werden unsere Daten gestohlen?

 

Viele glauben, sie seien Opfer einer „Hacker-Attacke“ geworden, doch in der Realität nutzen Kriminelle oft die Psychologie als Hilfsmittel. Manchmal reicht eine kleine Unaufmerksamkeit, ein anderes Mal werden wir Opfer eines komplexen, gezielten Angriffs. Es ist jedoch wichtig festzuhalten, dass es – bis auf wenige Ausnahmen – am Nutzer selbst liegt. Die am weitesten verbreiteten Methoden sind:

 

1. Phishing (Datendiebstahl):

• Sie erhalten eine E-Mail oder SMS (z. B. von Netflix oder Ihrer Bank), dass „ungewöhnliche Aktivitäten festgestellt wurden“. Die Nachricht enthält einen Link, der auf eine gefälschte Seite führt. Diese sieht exakt wie das Original aus, und Sie geben im guten Glauben und freiwillig Ihr Passwort oder andere sensible Daten ein.

 

Was Sie dagegen tun können:

• Klicken Sie niemals auf Links in E-Mails oder von Webseiten, die nach Ihrem Passwort oder anderen Daten fragen. Tippen Sie die Adresse (facebook.com, gmail.com, netflix.com usw.) immer manuell in den Browser ein und prüfen Sie nach dem Login direkt dort, ob Benachrichtigungen vorliegen.

 

2. Datenlecks:

• Wenn die Webseite eines Dienstes, den Sie nutzen, gehackt wird, können Ihr Passwort und Ihre persönlichen Daten ins Darknet gelangen. Falls Sie dasselbe Passwort auch woanders verwenden, können sich die Täter mit diesen Daten an mehreren Stellen in Ihrem Namen anmelden und enormen Schaden anrichten.

 

Was Sie dagegen tun können:

• Egal wie lang und kompliziert Ihr Passwort ist, verwenden Sie es niemals an mehr als einem Ort. Wenn jemand Ihr Facebook-Passwort stiehlt und Sie dasselbe für Gmail nutzen, gerät Ihre gesamte Korrespondenz auf einen Schlag in fremde Hände. Es lohnt sich, einen zuverlässigen Passwort-Manager (Bitwarden, 1Password) zu wählen, damit Sie sich nicht dutzende Zugangsdaten merken müssen.

 

3. Psychologische Manipulation (Social Engineering):

• Ein Bekannter schickt Ihnen einen Link über Messenger, den Sie öffnen sollen, weil dort etwas Lustiges/Wichtiges/Schockierendes zu sehen sei. Oder Sie werden von Ihrer „Bank“, der „Polizei“ oder einer anderen offiziell wirkenden Stelle angerufen und mit dringlichen Worten aufgefordert, Ihre Daten preiszugeben.

 

Was Sie dagegen tun können:

• Es klingt hart, aber: VERTRAUEN SIE NIEMANDEM! Überprüfen Sie immer, ob Sie wirklich mit der Person sprechen, für die sie sich ausgibt. Wenn Sie angerufen werden und unsicher sind, legen Sie lieber auf und rufen Sie die offizielle Nummer der Stelle selbst zurück. Wenn die Anfrage echt war, wird sich das klären. Wenn ein Bekannter einen Link schickt, fragen Sie nach oder rufen Sie ihn an. Meistens weiß er gar nichts davon, da entweder Schadsoftware auf seinem Gerät aktiv ist oder sein Konto gehackt wurde.

 

4. Apps und Webseiten:

• Verdächtig billige Webshops, kostenlos herunterladbare Filme/Serien/Spiele, das Versprechen nie gesehener Bilder oder Informationen – die Liste der Webseiten, die für Betrug, Datendiebstahl und die Verbreitung von Schadcode erstellt wurden, ist lang.

 

Was Sie dagegen tun können:

• Was zu schön oder zu billig ist oder wo man Sie zum schnellen Kauf oder Download drängt, ist immer verdächtig. Seien Sie misstrauisch und überlegen Sie gut, welche Webseiten Sie besuchen, wo Sie einkaufen und vor allem, was Sie auf Ihren Computer herunterladen. Es hilft auch, gelegentlich den Browserverlauf zu löschen.

 

5. Gezielte Angriffe:

• Dies passiert Durchschnittsbürgern selten. Eher sind Journalisten, Politiker, Aktivisten oder Führungskräfte kritischer Unternehmen Ziele solcher Angriffe. Diese Angriffe zu bemerken und abzuwehren, gelingt nur sehr gut vorbereiteten, erfahrenen Experten – und selbst ihnen nicht immer.

 

Was Sie dagegen tun können:

• Zur Abwehr gezielter Angriffe ist bereits eine IT-Grundkompetenz erforderlich. Hilfreich sind Tools, die die wahre Identität verschleiern: Virtual PC, VPN-Dienste, anonyme Browser (TOR), professioneller Intrusionsschutz, physische Sicherheitsschlüssel (Yubikey), Laufwerksverschlüsselung und andere, fast schon paranoid anmutende Sicherheitsmaßnahmen.

 

Was tun, wenn es bereits passiert ist?

 

Wenn Sie sich nicht einloggen können oder verdächtige Aktivitäten bemerken:

 

Sofortiger Passwortwechsel:

• Wenn Sie noch Zugriff haben, ändern Sie sofort das Passwort überall dort, wo Sie dasselbe verwendet haben.

 

Offizieller Wiederherstellungsprozess:

• Facebook/Instagram: Besuchen Sie facebook.com/hacked.
• Google: Nutzen Sie den Link g.co/recover.

 

Von allen Geräten abmelden:

• Wählen Sie in den Sicherheitseinstellungen die Option „Von allen Geräten abmelden“.

 

Benachrichtigung:

• Informieren Sie Ihre Bekannten, damit sie nicht auf Links klicken, die in Ihrem Namen versendet werden.

 

Prävention: Wie können wir es vermeiden?

 

Zwei-Faktor-Authentifizierung (2FA):

• Das ist das Wichtigste! Selbst wenn jemand Ihr Passwort kennt, kann er sich ohne den Code auf Ihrem Telefon nicht einloggen. Nutzen Sie eine Authentifizierungs-App (z. B. Google Authenticator), da diese noch sicherer ist als eine einfache SMS.

 

Passwort-Manager:

• Versuchen Sie nicht, sich Passwörter im Kopf zu merken. Nutzen Sie Programme (z. B. Bitwarden, 1Password), die für jede Seite einen einzigartigen Code generieren.

 

Skepsis:

• Klicken Sie niemals auf Links in E-Mails oder Nachrichten, wenn nach einem Passwort gefragt wird. Geben Sie die Adresse der Seite lieber händisch in den Browser ein.

 

Sicherheit ist kein Zustand, sondern ein Prozess. In der digitalen Welt gibt es keine unbezwingbaren Burgen, nur zu schwierige Ziele. Cyberkriminelle sind wie Einbrecher: Sie versuchen es dort, wo das Fenster offen geblieben ist. Wenn Sie die Zwei-Faktor-Authentifizierung aktivieren und einen Passwort-Manager nutzen, haben Sie Ihr Konto bereits sicherer gemacht als das von 90 % der Nutzer.

 

Warten Sie nicht auf die nächste Fehlermeldung „Passwort falsch“! Nehmen Sie sich heute 10 Minuten Zeit: Überprüfen Sie die Sicherheitseinstellungen Ihrer Google- oder Apple-ID und aktualisieren Sie Ihre alten, schwachen Passwörter. Ihre digitale Ruhe ist diese Investition wert.

 

Falls Sie Hilfe benötigen oder eine Beratung wünschen, kontaktieren Sie uns vertrauensvoll.