Obwohl Datenschutz gefühlt jedem wichtig und der Aufschrei gleich groß ist, wenn mal wieder etwas über die “dunklen” Machenschaften von Google, Facebook und Co publik wird, nehmen es die meisten dann doch nicht so genau. Doch während die großen Internetkonzerne die Daten vornehmlich für personalisierte Werbung nutzen, wollen Cyberkriminelle aus anderen Gründen an die Daten von Verbrauchern. Digitale Langfinger bedienen sich dabei in einem großen Werkzeugkasten von Tools, mit denen sie sich Zugriff auf Ihre Profile und Konten verschaffen. Wir verraten Ihnen, mit welchen Methoden Hacker Passwörter knacken und wie Sie sich effektiv vor Datendiebstahl schützen.
Methode 1: Brute-Force-Angriffe
Der Brute-Force-Angriff ist denkbar simpel. Hierbei handelt es sich schlichtweg um das reine Ausprobieren von möglichen Passwortkombinationen. Selbstverständlich sitzen die Cyberkriminellen nicht Tage, Wochen oder Monate am Rechner und probieren alle möglichen Kombinationen aus. Stattdessen setzen die Hacker auf rechenleistungsstarke Verbindungen aus Soft- und Hardware. Nachverfolgbar sind Brute-Force-Angriffe in der Regel nicht.
So schützen Sie sich:
Verwenden Sie in jedem Fall ein langes Passwort, das neben Groß- und Kleinbuchstaben auch Sonderzeichen enthält. Weil selbst das sicherste Passwort irgendwann mit einer Brute-Force-Attacke geknackt werden könnte, ist die Zwei-Faktor-Authentifizierung an dieser Stelle der beste Schutz. Selbst wenn Hacker Ihr Passwort kennen, brauchen Sie noch einen zweiten “Schlüssel”, um Zugriff auf das entsprechende Konto zu bekommen. Weil das aber zum Beispiel Ihr Fingerabdruck oder aber eine TAN sein kann, die via SMS auf Ihr Smartphone gesendet wird, bleibt den Verbrechern der Zugang zu Ihren Daten verwehrt. Leider unterstützen noch nicht alle Internetdienste die 2FA.
Methode 2: Wörterbuch-Attacken
Die Wörterbuchattacke ähnelt dem Brute-Force-Angriff. Statt jedoch einfach alle potentiellen Kombinationen in Betracht zu ziehen, werden vor allem sinnvolle Wörter, Eigennamen und Zahlenreihen ausprobiert. Die Wortvorlagen sind dabei regional angepasst und mit Ihren persönlichen Daten ergänzt. Nutzen Sie entsprechende Wörter als Passwort und findet man jede Menge über Sie im Netz – z. B. bei Facebook -, erleichtern Sie den Angreifern die Arbeit enorm.
So schützen Sie sich:
Geben Sie so wenige Daten wie möglich öffentlich preis. Bei Facebook können Sie zahlreiche Einstellungen vornehmen, um Ihre Privatsphäre zu schützen – z. B. Posts nur mit Freunden oder Kollegen teilen. Seien Sie außerdem Vorsichtig bei neuen Online-Freunden. Nicht immer verbirgt sich dahinter eine reale Person. Außerdem gilt: Ein sicheres Passwort sollte auf keinen Fall persönliche Daten wie den Geburtstag, Wohnort, Kosenamen, Namen des Partners oder Haustieres widerspiegeln. Auch Zahlenreihen sind als Bestandteil von Passwörtern ungeeignet.
Methode 3: Phishing
Der Begriff Phishing ist eine Kombination aus “password (harvesting)” und “fishing”. Es geht also um das Angeln von Passwörtern und Daten. In der Regel nutzen Hacker Fake-Webseiten in Kombination mit E-Mails für das Phishing. Zuerst erhalten Sie digitale Post, die vermeintlich von Ihrem Telekommunikationsanbieter oder Ihrer Bank kommt und Sie zu einer Handlung auffordert. Öffnen Sie den Link in der E-Mail, gelangen Sie jedoch auf eine “nachgebaute” Webseite, die von Hackern betrieben wird. Sobald Sie Ihre Zugangsdaten dort eingeben, kennen die Langfinger Ihr Passwort.
So schützen Sie sich:
Bleiben Sie misstrauisch und rufen Sie im Zweifel bei Ihrer Bank (oder dem Unternehmen, für das sich die Hacker ausgeben) an, um die E-Mail zu verifizieren. Bevor Sie dies getan haben, sollten Sie sich auf keinen Fall irgendwo einloggen oder einer anderen Handlungsaufforderung folgen. Damit schützen Sie sich gleichzeitig vor Trojanern. Hat sich ein solcher auf Ihrem PC eingenistet, könnten Hacker persönliche Daten ausspähen, mit denen Wörterbuchattacken leichter durchzuführen sind. Auch sogenannte Keylogger können durch entsprechende Schadsoftware auf Ihren Rechner gelangen.
Methode 4: Keylogging
Beim “Keylogging” schieben Ihnen die Cyberkriminellen heimlich eine Schadsoftware unter. Der spezielle Trojaner zeichnet nun all Ihre Tastatureingaben auf. So gelangen die Hacker an dem Zeitpunkt an Ihre Zugangsdaten, an dem Sie sich irgendwo im Netz einloggen. Dass ein solches Programm installiert ist, bleibt fast immer unbemerkt – auch Virenprogramme erkennen die Keylogging-Trojaner nicht immer.
So schützen Sie sich:
Nutzen Sie in jedem Fall ein Antivirenprogramm und updaten Sie dieses regelmäßig. Anhänge aus dubiosen E-Mails sollten Sie ebenso wenig öffnen wie Links, die nicht von Freunden, Bekannten oder Kollegen, sondern von fremden Personen an Sie übermittelt werden. Sofern der Online-Dienst eine Zwei-Faktor-Authentifizierung anbietet, sollten Sie diese in jedem Fall nutzen.
Einen wirklich sicheren Schutz vor Keylogging bietet nur ein Passwort-Manager mit virtueller Tastatur. Der Vorteil: Über solche Features hinaus generiert ein solches Programm auf Wunsch sichere und individuelle Passwörter für jeden Online-Dienst. Auch merken müssen Sie sich die Zugangsdaten, die bequem per Auto-Fill-Funktion eingegeben werden können, nicht mehr. Damit nicht auch Ihr Passwort-Manager einer Hacker-Attacke zum Opfer fällt, sollte die Software zusätzlich über eine standardmäßige Zwei-Faktor-Authentifizierung (2FA) verfügen. Welcher Passwort-Manager mit welchen Features ausgestattet ist, erfahren Sie auf unserer Passwort-Manager Vergleichsseite.
Methode 5: Social-Engineering
Statt sich irgendeiner anderen Methode zu bedienen und Ihr Passwort in mühsamer Kleinarbeit mit entsprechender Software knacken, fragt der Hacker Sie beim Social-Engineering einfach nach den Zugangsdaten. Weil Sie selbstverständlich nicht jeder Person Ihr Passwort anvertrauen würden (und auch nicht sollten), geben sich Kriminelle beispielsweise als Facebook-Admin aus. Häufiger ist jedoch, dass man versucht, dem Opfer andere persönliche Daten zu entlocken. Denn das Passwort wird spätestens dann uninteressant, wenn alle Informationen, die sich in einem Account verbergen könnten, bereits freiwillig weitergegeben wurde.
So schützen Sie sich:
Bleiben Sie misstrauisch! Sowohl auf Social-Media-Plattformen und erst recht auf Dating-Portalen ist die Dichte an Fake-Profilen sehr hoch. Geben Sie niemals persönliche Informationen an Personen weiter, die Sie noch nicht im “echten Leben” getroffen haben. Selbst dann sollten Sie wirklich wichtige Dinge für sich behalten. Das gilt erst Recht für Informationen, die ein Unternehmen betreffen. Was leider erschwerend hinzu kommt: Selbst bei Personen, die Sie vermeintlich kennen, kann es sich um ein Fake-Profil handeln. Fragen Sie im Zweifel lieber mal bei der echten Person nach, ob sie mit dem jeweiligen Profil in Verbindung steht.
Methode 6: WLAN-Überwachung
Spezielle Tools und nicht einmal allzu viel Know-How erlauben es Hackern, den Datenverkehr in öffentlichen WLAN-Netzwerken zu überwachen. Jegliche Aktivität, die über das ungesicherte Netzwerk erfolgt, kann von den Cyberkriminellen nachvollzogen werden. Das heißt also: Loggen Sie sich in ein öffentliches WLAN-Netzwerk am Flughafen oder im Hotel ein, geben Sie im schlimmsten Fall all Ihre Daten preis, die Sie während der “Sitzung” übermitteln und empfangen.
So schützen Sie sich:
Bankgeschäfte und vertrauliche Chats sollten Sie niemals über ein öffentliches WLAN-Netzwerk tätigen bzw. führen. Schützen können Sie sich nur über ein VPN (Virtual Private Network, z. Dt. virtuelles privates Netzwerk). Sobald Sie sich als VPN-Teilnehmer mittels einer VPN-Software mit einem VPN-Server verbinden, wird Ihre IP-Adresse anonymisiert. Weil das VPN als eine Art Tunnel dient, durch den die Daten von Sender zum Empfänger verschlüsselt übermittelt werden, sind diese nicht innerhalb des öffentlichen Netzwerks einsehbar.
