Blog
Passwörter·20. März 2026·6 Min. Lesezeit

Ein starkes Passwort nützt nichts, wenn Ihre E-Mail kompromittiert ist.

Die E-Mail ist der Generalschlüssel zu Ihrem digitalen Leben. Wie Sie sie richtig schützen – ohne in Paranoia zu verfallen.

ME
Mohamed ESSID
Gründer — Trasimène

Die E-Mail ist der Generalschlüssel

Fast jeder Online-Dienst bietet eine Kontowiederherstellung per E-Mail an: 'Passwort vergessen?'. Wer Ihre E-Mail-Adresse kontrolliert, kontrolliert somit potenziell Ihr Amazon-Konto, Ihre Banking-App, Ihre sozialen Netzwerke, Ihren Cloud-Speicher, Ihre Apple-ID oder Ihr Google-Konto.

Ein Angreifer, der Zugriff auf Ihr Gmail oder Outlook erhält, kann auf jedem damit verknüpften Dienst ein Zurücksetzen des Passworts auslösen – ohne ein einziges Ihrer Passwörter zu kennen. Die Stärke Ihres Gmail-Passworts zählt unendlich viel mehr als die Ihres Spotify-Passworts.

Das nennen Sicherheitsexperten das 'schwächste Glied': Angreifer zielen nicht auf den bestgeschützten Dienst – sie zielen auf den am schlechtesten geschützten Dienst, über den sie die anderen erreichen können.

Häufige Angriffe auf E-Mail-Konten

Vier Angriffsvektoren machen die überwiegende Mehrheit der E-Mail-Kompromittierungen aus.

Gezieltes Phishing ist am häufigsten: Eine E-Mail, die Google, Microsoft oder Apple imitiert, fordert Sie auf, sich erneut anzumelden. Die Phishing-Seite erfasst Ihre Zugangsdaten in Echtzeit. Credential Stuffing nutzt Datenbanken mit Passwörtern, die bei anderen Diensten gestohlen wurden (Have I Been Pwned listet über 15 Milliarden offengelegte Konten) – wenn Sie dasselbe Passwort wiederverwenden, probieren es Angreifer automatisch bei Ihrer E-Mail aus. SIM-Swapping kapert Ihre Telefonnummer bei Ihrem Anbieter, um Verifizierungs-SMS abzufangen. Brute Force zielt auf Konten ohne 2FA, die einfache Passwörter verwenden.

Wie Sie Ihre E-Mail schützen

Fünf konkrete Maßnahmen, nach Wirkung geordnet:

  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) – vorzugsweise über eine Authenticator-App (Google Authenticator, Authy, Aegis) statt per SMS, die anfällig für SIM-Swapping ist.
  • Verwenden Sie ein einzigartiges, langes Passwort (mindestens 20 Zeichen), das von einem Passwort-Manager (Bitwarden, 1Password) erzeugt wird – verwenden Sie es niemals anderswo.
  • Überprüfen Sie regelmäßig die aktiven Sitzungen: Klicken Sie in Gmail unten auf der Seite auf 'Kontoaktivität', um jede verdächtige Verbindung einzusehen und zu beenden.
  • Aktivieren Sie Anmeldewarnungen für neue Geräte – Gmail und Outlook senden bei jeder neuen Anmeldung eine E-Mail oder Benachrichtigung.
  • Vermeiden Sie es, Ihre Haupt-E-Mail-Adresse als Login auf unbekannten Websites zu verwenden – nutzen Sie eine Alias-Adresse (SimpleLogin, Apple Hide My Email).
SMS-basierte 2FA ist besser als nichts, bleibt aber anfällig für SIM-Swapping. Bevorzugen Sie eine Authenticator-App (Google Authenticator, Authy) oder einen Hardware-Schlüssel (YubiKey).

Digitale Sicherheit ist eine Kette. Ihr schwächstes Glied ist oft die E-Mail, nicht der Dienst, den Sie zu schützen versuchen. Nehmen Sie sich heute fünf Minuten Zeit, um 2FA für Ihr Haupt-E-Mail-Konto zu aktivieren – das ist die einzelne Maßnahme mit dem höchsten Verhältnis von Schutz zu Aufwand in der gesamten persönlichen digitalen Sicherheit.

Quellen
  1. Have I Been Pwned — aggregated data-breach database (Troy Hunt), homepage account count
  2. Google Security Team, with New York University & UC San Diego — “New research: How effective is basic account hygiene at preventing hijacking,” Google Security Blog, 2019
  3. Kevin Lee, Ben Kaiser, Jonathan Mayer, Arvind Narayanan — “An Empirical Study of Wireless Carrier Authentication for SIM Swaps,” SOUPS 2020, Princeton University
  4. NIST Special Publication 800-63B — Digital Identity Guidelines: Authentication and Lifecycle Management (§5.1.3.3)
Trasimène — Mobile Sicherheit

Prüfen Sie die Sicherheit Ihres Kontos

Trasimène herunterladen →
Weiterlesen
Zurück zum Blog