Hacker senden Spam durch geknackte E-Mail-Konten

Als sie eine E-Mail von ihr auf Englisch erhielten, waren einige von Isabel Frenzels Freunden überrascht. Noch mehr wunderten sie sich darüber, dass sich die Studentin aus München nicht nur nach dem Befinden erkundigte, sondern auch gleich eine Internetseite empfahl, die "eine Myriade elektronischer Produkte" verkaufe. Sie selbst habe dort schon kräftig eingekauft, schrieb Frenzel scheinbar ihren Freunden. Tatsächlich hatte ein obskurer Anbieter namens "365eurbuy.com" ihr Postfach gekapert.

Viele Passwörter sind zu simpel gehalten

Solche Fälle kämen im Moment sehr häufig vor, sagt Jens Heider, Leiter des IT-Sicherheitslabors beim Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt. Passwörter auszuspionieren gehöre mittlerweile zum Standardrepertoire jeder Schadsoftware. Viele Nutzer machten es den Angreifern aber allzu leicht, indem sie ein zu simples Passwort ohne Zahlen und Sonderzeichen auswählen. So bekommen Programme, die einfach Buchstabenkombinationen durchprobieren, das Postfach schnell geknackt.

Für dieses Haupteinfallstor sind viele Nutzer zwar mittlerweile sensibilisiert. Doch die Hintertür vernachlässigen ebenso viele weiterhin: Das sogenannte Recovery-Passwort. Mit dessen Hilfe gelangen sie in ihr Postfach, wenn sie das Haupt-Passwort vergessen haben. In der Regel ist es die Antwort auf eine persönliche Frage, etwa nach der Lieblingsfarbe oder dem Mädchennamen der Mutter.

Viele Nutzer gäben sich bei der Auswahl ihres Recovery-Passworts zu wenig Mühe, sagt Jens Heider. Wenn sie es am Ende der Registrierungsprozedur nennen müssen, seien sie erschöpft oder genervt. "Da sollten die Leute viel mehr Kreativität aufbringen." Lässt ein Nutzer etwa seinen Geburtsort abfragen, muss ein Angreifer nur die Liste der Krankenhäuser in Deutschland durchprobieren. In letzter Zeit hätten die Angriffe auf die Hintertür stark zugenommen. Auf diese Weise knackten Hacker auch das Postfach von Paris Hilton.

Vorsicht bei verdächtigen Mails

Doch wie handelt man sich Schadsoftware, die Passwörter ausspäht, überhaupt ein? Gern schmuggeln Hacker über Trojaner Spionageprogramme auf die Rechner ihrer Opfer, warnt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Sie hängen die Trojaner an Mails an, die Gewinne anpreisen, Lösungen für Erektionsstörungen und Haarausfall versprechen oder mit Mahnungen in Panik versetzen wollen.

Andere Internetkriminelle fälschen Webseiten von Kreditinstituten, fragen bei der Registrierung ein Passwort oder die Geheimnummer des Bankkontos ab - und entlarven sich damit als Bauernfänger. "Sowas fragt kein seriöser Anbieter ab", erklärt Gärtner. Bekommt ein Nutzer eine solche Mail, gilt: "Erst denken, dann klicken". Im Zweifel sei es besser, lieber mal eine E-Mail zu viel zu löschen.