Die E-Mail ist der Generalschlüssel
Fast jeder Online-Dienst bietet eine Kontowiederherstellung per E-Mail an: 'Passwort vergessen?'. Wer Ihre E-Mail-Adresse kontrolliert, kontrolliert somit potenziell Ihr Amazon-Konto, Ihre Banking-App, Ihre sozialen Netzwerke, Ihren Cloud-Speicher, Ihre Apple-ID oder Ihr Google-Konto.
Ein Angreifer, der Zugriff auf Ihr Gmail oder Outlook erhält, kann auf jedem damit verknüpften Dienst ein Zurücksetzen des Passworts auslösen – ohne ein einziges Ihrer Passwörter zu kennen. Die Stärke Ihres Gmail-Passworts zählt unendlich viel mehr als die Ihres Spotify-Passworts.
Das nennen Sicherheitsexperten das 'schwächste Glied': Angreifer zielen nicht auf den bestgeschützten Dienst – sie zielen auf den am schlechtesten geschützten Dienst, über den sie die anderen erreichen können.
Häufige Angriffe auf E-Mail-Konten
Vier Angriffsvektoren machen die überwiegende Mehrheit der E-Mail-Kompromittierungen aus.
Gezieltes Phishing ist am häufigsten: Eine E-Mail, die Google, Microsoft oder Apple imitiert, fordert Sie auf, sich erneut anzumelden. Die Phishing-Seite erfasst Ihre Zugangsdaten in Echtzeit. Credential Stuffing nutzt Datenbanken mit Passwörtern, die bei anderen Diensten gestohlen wurden (Have I Been Pwned listet über 15 Milliarden offengelegte Konten) – wenn Sie dasselbe Passwort wiederverwenden, probieren es Angreifer automatisch bei Ihrer E-Mail aus. SIM-Swapping kapert Ihre Telefonnummer bei Ihrem Anbieter, um Verifizierungs-SMS abzufangen. Brute Force zielt auf Konten ohne 2FA, die einfache Passwörter verwenden.
Wie Sie Ihre E-Mail schützen
Fünf konkrete Maßnahmen, nach Wirkung geordnet:
- →Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) – vorzugsweise über eine Authenticator-App (Google Authenticator, Authy, Aegis) statt per SMS, die anfällig für SIM-Swapping ist.
- →Verwenden Sie ein einzigartiges, langes Passwort (mindestens 20 Zeichen), das von einem Passwort-Manager (Bitwarden, 1Password) erzeugt wird – verwenden Sie es niemals anderswo.
- →Überprüfen Sie regelmäßig die aktiven Sitzungen: Klicken Sie in Gmail unten auf der Seite auf 'Kontoaktivität', um jede verdächtige Verbindung einzusehen und zu beenden.
- →Aktivieren Sie Anmeldewarnungen für neue Geräte – Gmail und Outlook senden bei jeder neuen Anmeldung eine E-Mail oder Benachrichtigung.
- →Vermeiden Sie es, Ihre Haupt-E-Mail-Adresse als Login auf unbekannten Websites zu verwenden – nutzen Sie eine Alias-Adresse (SimpleLogin, Apple Hide My Email).
Digitale Sicherheit ist eine Kette. Ihr schwächstes Glied ist oft die E-Mail, nicht der Dienst, den Sie zu schützen versuchen. Nehmen Sie sich heute fünf Minuten Zeit, um 2FA für Ihr Haupt-E-Mail-Konto zu aktivieren – das ist die einzelne Maßnahme mit dem höchsten Verhältnis von Schutz zu Aufwand in der gesamten persönlichen digitalen Sicherheit.
- Have I Been Pwned — aggregated data-breach database (Troy Hunt), homepage account count
- Google Security Team, with New York University & UC San Diego — “New research: How effective is basic account hygiene at preventing hijacking,” Google Security Blog, 2019
- Kevin Lee, Ben Kaiser, Jonathan Mayer, Arvind Narayanan — “An Empirical Study of Wireless Carrier Authentication for SIM Swaps,” SOUPS 2020, Princeton University
- NIST Special Publication 800-63B — Digital Identity Guidelines: Authentication and Lifecycle Management (§5.1.3.3)
Prüfen Sie die Sicherheit Ihres Kontos