Deshalb sollten Sie Passwörter niemals wiederverwenden

Bedauerlicherweise hat Designer Mark ein und dasselbe Passwort für all seine Konten verwendet. Wir erzählen seine Geschichte.

Ein Universalpasswort für alle Konten und Dienste zu verwenden ist praktisch, aber auch ziemlich riskant für unsere Onlinesicherheit. Wir werfen einen Blick auf den Fall eines jungen Designers namens Mark.

Mark ist eigentlich ein ganz normaler junger Mann. Er verfügt über E-Mail-, Facebook-, Instagram-, Amazon-, eBay-, Steam- und Battle.net-Konten sowie unzählige Accounts auf beliebten Online-Shops und eine Mitgliedschaft in einem Forum, das seinem absoluten Lieblings-Videospiel gewidmet ist. All diese Konten hat Mark mit seiner E-Mail-Adresse verknüpft.

Eines Tages erleidet die Kundendatenbank einer der Online-Shops, bei denen Mark ein Konto eröffnet hat, ein Datenleck (offenbar wurde die Datenbank unverschlüsselt auf einem Open-Access-Server aufbewahrt). Zwar wurden keine Kreditkarteninformationen gestohlen, dafür aber die E-Mail-Adressen, Namen und Passwörter der Nutzer. Auf den ersten Blick scheint es keinen Grund zur Sorge zu geben. Solche Lecks kommen vor, und bei dem Shop handelt es sich lediglich um einen kleinen Webstore. Abgesehen davon kann man einen bescheidenen Ladenbesitzer nicht dafür verantwortlich machen, dass er nicht besonders viel von Cybersicherheit versteht, oder?

Die Cyberkriminellen, die die Datenbank geplündert haben, versuchen selbstverständlich ihr Glück und hoffen darauf, dass einige der kompromittierten Nutzer auf ihrer Liste das Passwort des Online-Shops auch für ihr E-Mail-Konto verwenden. Und sie landen einen Volltreffer: Mark verwendet ein und dasselbe Passwort für all seine Konten und serviert den Cyberkriminellen die Zugangsdaten für sein E-Mail-Postfach somit auf einem Silbertablett. Hier finden die Plünderer nicht nur Fotos, die Mark an Lucy geschickt hat, sondern auch Nachrichten von Amazon, eBay und anderen Unternehmen. Mit Sicherheit war Mark so clever und hat für all diese Dienste ein anderes Passwort gewählt … Trotzdem versuchen sich die Kriminellen mit dem entwendeten Passwort bei Marks Amazon-Account anzumelden, und, wer hätte es gedacht: sie landen einen weiteren Volltreffer.

Beim Durchstöbern des Kontos stoßen die Kriminellen auf eine mit dem Account verknüpfte Kreditkarte und legen im Handumdrehen einige iPhone Xs in den Warenkorb. Danach ist Marks Facebook an der Reihe. Hier bitten die dreisten Angreifer Marks Freunde per Nachricht um Geld: „Hey Leute, es wäre echt klasse, wenn ihr mir etwas Geld leihen könntet. Ich bekomme mein Gehalt morgen, also bezahle ich es euch sofort wieder zurück, versprochen“. Einige von Marks Freunden zögern nicht lange und überweisen ihm, bzw. den Cyberkriminellen, das Geld.

Danach ändern die Eindringlinge die Passwörter für jedes Konto, auf das sie zugreifen können; in Marks Fall sind das unglücklicherweise alle Accounts.

Währenddessen hat einer von Marks Facebook-Freunden Verdacht geschöpft und ruft den jungen Designer an, um sich zu erkundigen, ob dieser tatsächlich einen kleinen Geldvorschuss benötigt. Erschrocken greift Mark zum Laptop, um sein Facebook-Passwort zu ändern. Doch das haben die Cyberkriminellen bereits für ihn übernommen, und Mark kann sich nicht mehr auf dem sozialen Netzwerk einloggen. Er versucht, das Passwort wiederherzustellen, und bittet Facebook, ihm einen Link zum Zurücksetzen des Passworts per E-Mail zukommen zu lassen. Doch auch der Zugriff auf sein E-Mail-Postfach bleibt ihm verwehrt.

Langsam aber sicher realisiert Mark, dass fast alle seine Konten gehackt wurden. Er ruft unverzüglich bei seiner Bank an, um alle Kreditkarten sperren zu lassen und versucht dann verzweifelt, die Passwörter für die wenigen Dienste zu ändern, die noch nicht in die Hände der Cyberkriminellen geraten sind. Dann ruft Mark seine Freunde an, um ihnen zu erklären, dass es nicht er gewesen ist, der sie um Geld gebeten hat.

Nach diesem unglücklich Fauxpas schwört sich Mark hoch und heilig, nie wieder dasselbe Passwort für verschiedene Dienste und Konten zu verwenden, und, wenn möglich, die Zwei-Faktor-Authentifizierung immer zu aktivieren, um seine Datensicherheit online maximal zu erhöhen.

Tipps