Berlin - Los ging das Ungemach kurz vor Weihnachten. Der Blick auf die Umsätze meines Bankkontos lieferte eine unangenehme Überraschung: Es gab diverse Abbuchungen von meinem Paypal-Account, darunter zehn dubiose Abbuchungen über die krumme Summe von 12,10 Euro.

Im Nachhinein betrachtet war diese seltsame Häufung ein Glück, denn eine Einzelbuchung hätte ich wohl nicht weiter beachtet. Schließlich bestellt man ja immer wieder mal was online und hat nicht immer alles genau im Blick. Die zehn Abbuchungen fielen aber sofort auf: Ich hatte seit Tagen nichts bestellt, und schon gar nicht öfters.

Also will ich mich bei Paypal einloggen, um die Buchungen zu überprüfen. Doch das geht nicht. Zum Glück lassen sich die Abbuchungen übers Online-Banking meiner Bank zurückholen. Danach Anruf bei Paypal: Das Konto wird gesperrt.

Dass das Problem noch tiefer geht, bemerke ich erst am nächsten Tag. Meine E-Mail-App auf dem Smartphone verlangt eine Neuanmeldung. Doch bei der Eingabe des Passworts kommt bloß eine Fehlermeldung.

Wie sich prüfen lässt, ob Hacker den Account gekapert haben

Offenbar haben Hacker mein Konto gekapert, denke ich, und gebe meine Mailadresse auf der Website Haveibeenpwned.com ein. Dort lässt sich, ebenso wie beim Identity Leak Checker des HPI, prüfen, ob die Mailadresse auf einer Liste geklauter Daten auftaucht. Und tatsächlich: Die Adresse meines Postfachs war nach einem Datenleck frei im Netz auffindbar gewesen.

Möglich, dass die Hacker so an meine Mail-Adresse gekommen sind und das Passwort geknackt haben. Und ich muss zugeben: Ich habe auch zu den Menschen gehört, die nach dem Motto „Simpel statt sicher“ unterwegs sind. Mein Passwort war eines aus dem Wörterbuch. Dass ich es groß geschrieben und wegen der Sonderzeichen-Vorgabe vieler Dienste noch mit einem Punkt am Ende versehen habe, stellt Hacker, die Passwörter computergestützt knacken, nicht wirklich vor Probleme.

Als nächstes also Anruf bei GMX, wo ich mein E-Mail-Konto habe. Überraschende und ernüchternde Antwort des Sachbearbeiters: Das Konto gibt es gar nicht mehr. Es wurde wohl gelöscht. Gelöscht? Geht das so einfach? Ja, lautet die Antwort. Die Option ist in den Einstellungen zu finden und lautet „Postfach löschen“.

Dass Hacker so vorgehen, ist aber eher unüblich, teilt GMX auf Anfrage mit. Denn eigentlich wollen sie ja aus dem gekaperten Postfach Kapital schlagen. Beispielsweise, um sich Zugang zu anderen Plattformen und Diensten zu verschaffen. Das läuft meist so ab, dass sie bei der Anmeldung auf diesen Seiten auf „Passwort vergessen“ klicken und sich einen Link zum Zurücksetzen des Passwortes an die E-Mail-Adresse schicken lassen. Danach haben sie Zugang zu der jeweiligen Seite, können etwa auf Kosten ihres Opfers einkaufen oder auch Fake-Profile anlegen.

E-Mail-Postfach mit allen Nachrichten gelöscht

Mein Postfach dagegen wurde mit allen darin abgespeicherten Nachrichten unwiederbringlich gelöscht. Und das bringt ganz neue Probleme mit sich. Denn bei möglicherweise weiteren gekaperten Accounts lassen sich die Passwörter nicht ohne weiteres zurücksetzen, wenn die für diesen Zweck hinterlegte E-Mail-Adresse nicht mehr existiert.

Aber ich habe Glück im Unglück: Bei fast allen Online-Konten funktionieren meine Zugangsdaten noch, sodass ich mich dort einloggen und E-Mail-Adresse sowie Passwort ändern kann. So weit waren die Hacker wohl noch nicht gekommen. Schnell gewesen zu sein, war an dieser Stelle meine Rettung.

Das gewohnte Passwort funktioniert bei Facebook nicht mehr

Nur bei Facebook komme ich nicht weiter: Das gewohnte Passwort funktioniert nicht mehr. Und weil mein hinterlegtes GMX-Mail-Postfach nicht mehr existiert, lässt sich das Passwort nicht ändern. Zum Wiederherstellen des Passworts sei der Zugang zum E-Mail-Konto unerlässlich, teilt Facebook auf Anfrage mit.

Es gibt zwar die Optionen, dass Passwort über eine alternative E-Mail-Adresse oder eine Telefonnummer zu ändern. Doch beides habe ich im Facebook-Konto nicht hinterlegt. Und um die alternativen Kontaktinformationen neu hinzuzufügen, braucht man das Passwort – was ich ja nicht mehr kenne.

Foto: Imago/Sergey Nivens
Der Weg zu sicheren Passwörtern

Zeichenzahl: Kauderwelsch statt Wörterbuch, Sprünge auf der Tastatur statt einfacher Zeichenfolgen: So lässt sich der Weg zum sicheren Passwort zusammenfassen. Das Bundesamt für Sicherheit in der Informationstechnik rät zu starken Passwörtern mit mindestens 8, das Hasso-Plattner-Institut  sogar zu wenigstens 15 Zeichen. Merkhilfe: Beim Erstellen und Merken des schwer knackbaren Kauderwelschs helfen Merksätze, bei denen sich aus den Anfangsbuchstaben der Wörter sowie aus den enthaltenen Zahlen und Zeichen das Passwort bildet. Beispiel: „Ich habe eine Wohnung mit drei Zimmern und einem Balkon.“ Das ergibt: „IheWm3Z&eB“. Masterpasswort: Wer sich nicht ständig sichere Passwörter ausdenken möchte oder sie nicht alle behalten kann oder will, greift zu einem Passwortmanager. Die Programme und Apps erstellen automatisch starke wie sichere Passwörter für beliebig viele Konten und speichern sie. Hier muss man sich nur ein Masterpasswort für den Zugang merken.

Für mich hängt der Account nun gewissermaßen in der Luft. An dieser Stelle erschöpfen sich die Optionen im Facebook-Hilfebereich. Eine Telefon-Hotline mit Mitarbeitern, die in so verzwickten Fällen helfen könnten, wie etwa Paypal oder GMX sie haben, bietet das soziale Netzwerk nicht.

Dennoch: Alles in allem bin ich aus der Nummer mit einem blauen Auge herausgekommen. Was ich gelernt habe? Zunächst beherzige ich zwei Grundsätze, die ich jahrelang aus Bequemlichkeit und wider besseres Wissen ignoriert habe. Ich nutze nur noch komplizierte, sichere Passwörter. Und ich habe für jedes Online-Konto ein anderes, einzigartiges Passwort.

Eine Passwortmanager-Software hilft hier, den Überblick zu behalten. Ein Zettel tut es aber auch. Ich habe mich für die analoge Variante entschieden: Anhand von Merksätzen habe ich für jeden Account ein neues Passwort gebildet und aufgeschrieben. Klar, es besteht das Restrisiko, dass der Zettel in falsche Hände gerät. Wie beim Daten-Backup ist eine Kopie an einem sicheren Ort eine gute Idee.

Noch eine Erkenntnis: Mit aktivierter Zwei-Faktor-Authentifizierung (2FA) wäre das alles mit sehr großer Wahrscheinlichkeit nicht passiert. 2FA bedeutet, dass bei jedem Log-in neben dem Passwort die Eingabe eines zweiten Codes verlangt wird. Den generiert oftmals – wie etwa auch bei GMX oder Facebook – eine sogenannte OTP-App auf dem Smartphone.

Ohne Zugriff aufs Smartphone kann also niemand das Konto kapern, selbst wenn er oder sie das Passwort hat. Man muss 2FA nur in den Einstellungen des jeweiligen Dienstes einschalten und auf dem Smartphone eine OTP-App wie etwa „FreeOTP“ oder „Twilio Authy“ installieren.