Dieser Tage ist in zahlreichen E-Mail-Posteingängen wieder eine gruselige Botschaft eingetrudelt. "Ich habe deinen Computer gehackt", steht in dieser Nachricht von unbekannt. Und weiter: "Ich konnte sehen, welche schmutzigen Seiten du besuchst. Mit deiner Webcam habe ich gefilmt, was du dabei tust." Und dank Zugriffs auf "alle Kontakte" würden diese Aufnahme bald auch an alle Freunde und Bekannten geschickt. Der Ausweg: die Bezahlung eines "Schweigegelds" von mehreren hundert Euro, zu überweisen binnen weniger Tage in Form von Bitcoins.

Die "Sextortion"-Mail sorgt für Verunsicherung, denn zur Betonung der Ernsthaftigkeit ihres Anliegens schicken die Verfasser auch gleich ein Passwort mit, das die meisten Empfänger tatsächlich einmal verwendet haben. Zeit, an dieser Stelle Entwarnung zu geben: Ein Beweis für einen "Hack" des Computers ist das nicht.

Passwortschatz für Cyberkriminelle

Der Grund, warum Erpressungsmails wie diese aktuell wieder Hochkonjunktur haben, ist in der jüngst aufgetauchten Sammlung von über 700 Millionen Login-Daten zu suchen. Alleine 21 Millionen Passwörter sind darin im Klartext enthalten. Die sogenannte "Collection #1" ist für jeden, der sie finden will, relativ leicht aufzuspüren.

Cyberkriminelle machen davon nun fleißig Gebrauch. Sie nutzen die Kombination aus E-Mail-Adresse und Passwörtern, um ihre Erpressungsnachrichten glaubwürdig erscheinen zu lassen. Weniger versierte Nutzer könnten dadurch denken, dass ihr Computer tatsächlich kompromittiert wurde, und den Tätern Geld überweisen.

Neu ist das Phänomen nicht. In den letzten Jahren berichteten Aufklärungsplattformen wie "Mimikama" immer wieder von solchen Betrugsversuchen. Die letzte größere Welle an solchen Mails gab es im vergangenen Sommer. Sie dürfte den Verantwortlichen laut einem Bericht von "Motherboard" umgerechnet 500.000 Dollar in ihr Bitcoin-Wallet gespült haben.

Kein Beweis für einen "Hack"

Die Passwortsammlung dürfte nach aktuellen Einschätzungen hauptsächlich ältere Daten beinhalten, die in einer großen Datenbank zusammengefasst wurden. Auch ein kurzer Check des STANDARD liefert Indizien in diese Richtung. Ihre Quellen sind unzureichend abgesicherte Server und Datenbanken verschiedener Webseiten.

Mit einem Hack des eigenen PCs haben solche Leaks nichts zu tun. Wäre den Erpressern ein solcher Zugriff gelungen, könnten sie deutlich besseres "Beweismaterial" liefern als ein Passwort – etwa einen Screenshot aus dem kompromittierenden Video, das angeblich aufgenommen wurde.

Mail löschen, Passwort prüfen

Die beste Reaktion auf den Empfang einer solchen Mail ist es, sie einfach zu löschen. Wer aus Angst bereits Bitcoins eingekauft und verschickt hat, kann seinen Fall der Polizei melden. Das ist vorrangig wichtig für die statistische Erfassung und Einschätzung der Problemlage. Die Chancen, das Geld tatsächlich wiederzubekommen, gehen allerdings gegen null.

Ebenso empfiehlt es sich zu prüfen, ob man das angeführte Passwort noch in Verwendung hat. Neben schwachen Kennwörtern und Datenbanklecks ist auch die Mehrfachverwendung von Kennwörtern ein beliebtes Einfallstor für Cyberkriminelle. Recycelt man ein Passwort, sind gleich mehrere Online-Accounts von fremdem Zugriff bedroht, wenn auf einer der genutzten Seite eine Sicherheitslücke Daten offenlegt. Entdeckte Logins werden von Verbrechern gerne auf mehreren Seiten erprobt – insbesondere bei sozialen Netzwerken, Onlineshops und E-Banking-Portalen.

Kennwörter nicht recyclen

Gerade dort, wo man private Kommunikation pflegt oder mit Geld hantiert, sollte man auf jeden Fall ein individuelles, sicheres Passwort nutzen. NSA-Whistleblower Edward Snowden rät zudem dazu, einen Passwortmanager zu verwenden, um die Logins verschlüsselt zu speichern.

Es ist außerdem ratsam, Zwei-Faktor-Authentifizierung zu verwenden, wenn dies angeboten wird. Durch die zusätzliche Bestätigung – etwa per Codegenerator am Handy – können Unbekannte selbst dann nicht den Online-Account kapern, wenn sie Kenntnis des Passworts erlangen. (gpi, 18.1.2019)