Susanne Kuhlmann: Post von der Telekom in eigener Sache. Wenn Sie gerade kontaktiert wurden, weil Sie zu den Kunden gehören, deren Zugangsdaten für E-Mail-Konten im Darknet verkauft wurden, sollten Sie sofort Ihr Passwort ändern, denn mit den gestohlenen Kundendaten hat der Angreifer Zugriff auf Ihr E-Mail-Konto und kann dort auch eingreifen und zum Beispiel Bestellungen oder Verträge ändern. Das Darknet ist so eine Art Paralleluniversum im Internet.
Die gestrige Nachricht, dass eine Sicherheitslücke aufgefallen ist, beunruhigt vermutlich auch viele andere Kunden des Telekommunikationsanbieters. Julian Graf ist Jurist bei der Verbraucherzentrale Nordrhein-Westfalen. Guten Tag, Herr Graf.
Julian Graf: Schönen guten Tag, Frau Kuhlmann.
Verbraucherinnen und Verbraucher sollten genau ihr E-Mail-Postfach kontrollieren
Kuhlmann: Die Telekom hat Anzeige erstattet und die Sicherheitsbehörden informiert. Können betroffene Kunden herausfinden, ob zum Beispiel in ihrem Namen Bestellungen aufgegeben oder auch Verträge geändert wurden?
Graf: Verbraucherinnen und Verbraucher sollten jetzt ganz genau ihr E-Mail-Postfach kontrollieren, ob da möglicherweise Bestellungsverläufe angezeigt werden, parallel auch bei den einzelnen Online-Shops die entsprechenden Bestellvorgänge überprüfen und auf jeden Fall auch das Bankkonto jetzt genau im Blick haben und sich gegebenenfalls noch mal an den jeweiligen Shop wenden.
Kuhlmann: Nicht nur die vom jüngsten Datenklau betroffenen Telekom-Kunden sollten ihr Passwort ändern, sondern eigentlich (oder auch ohne eigentlich) alle, die E-Mail-Konten unterhalten, sollten das regelmäßig tun, so lästig das ist. Warum?
Graf: Das liegt einfach daran, dass Datensätze immer wieder im Internet von Unbefugten aufgegriffen werden, sei es, weil man technische Mängel ausnutzt oder menschliche. Und diese unbefugten Datensätze können dann dazu führen, dass die eigenen E-Mail-Konten kompromittiert werden. Um dem vorzubeugen, lohnt es sich, seine Passwörter regelmäßig zu ändern und insbesondere diese nicht auch für mehrere Dienste zu verwenden.
Kuhlmann: Die Telekom sagt jetzt im aktuellen Fall, die Daten seien nicht von einem ihrer Server gestohlen worden, sondern direkt bei den Kunden. Bekommen die davon gar nichts mit?
Graf: Genau. Das ist dann die Variante, dass man sich eines menschlichen Mangels quasi bedient, um an Passwörter zu kommen. Das macht man in der Regel durch Fishing. Das heißt, man täuscht dem jeweiligen Verbraucher vor, dass er das Passwort freiwillig herausgeben soll. Das heißt, er kriegt das natürlich mit, weil er es in dem Moment tatsächlich selber macht. Was er häufig nicht mitkriegt ist, dass die E-Mail, die er da angeklickt hat, der Link, der darin war, dass der nicht von dem Anbieter selbst war, sondern von einem Dritten, der die gefälscht hat. Deswegen gilt es, besonders darauf zu achten, keine Links in entsprechenden E-Mails zu öffnen und sich immer direkt über den Browser, wenn überhaupt, einzuloggen.
"Ein Passwort sollte möglichst lang sein"
Kuhlmann: Was genau ist denn zu tun, um das Passwort fürs E-Mail-Konto bei der Telekom zu verändern?
Graf: Das ist recht einfach. Man loggt sich jetzt entsprechend bei der Telekom-Seite, entweder übers Kundencenter selbst, oder über die entsprechende Login-Seite ein. Da kann man dann das Passwort direkt ändern. Ist das nicht mehr möglich, weil das schon kompromittiert ist und jemand das Passwort bereits geändert hat, kann man das Passwort über einen Button, der da angezeigt wird, zurücksetzen lassen. Dann hat man hoffentlich in seinem Kundenkontakt entweder eine alternative E-Mail-Adresse hinterlegt, oder eine Handy-Nummer, und dann wird über diesen Weg ein neues Passwort vergeben und die alten Daten sind dann nicht mehr benutzbar für denjenigen, der sie ergaunert hat.
Kuhlmann: Kurz noch zum Schluss. Wie findet man denn ein sicheres Passwort?
Graf: Da gibt es mehrere Sachen, die man berücksichtigen sollte. Es sollte möglichst lang sein, Sonderzeichen enthalten, Groß- und Kleinschreibung, keine logischen Begriffe enthalten, sollte nicht auf die eigene Person zurückführbar sein. Wie gesagt, nicht irgendwie Passwort123 oder Hasibär, sondern wirklich irgendwelche kryptischen Zeichenkombinationen, die dann auch logisch nicht rückführbar sind.
Kuhlmann: Also am besten eins, was man sich selber auch nicht so gut merken kann?
Graf: Im besten Falle ja.
Kuhlmann: Die Telekom hat gestern festgestellt, dass Datensätze von rund 120.000 Kunden gestohlen wurden, und Julian Graf von der Verbraucherzentrale Nordrhein-Westfalen rät zu sicheren und regelmäßig wechselnden Passwörtern für E-Mail-Konten. Danke schön.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.