Christian Teubig hat seinem ehemaligen Klassenlehrer am Gymnasium Abnehmtropfen für Frauen empfohlen, per E-Mail. Kurios ist aber nicht nur der Inhalt der Mail. Kurios ist auch, dass Teubig, Online-Redakteur beim Bayerischen Rundfunk, ihr Absender ist. Denn er hat diese Nachricht weder verfasst noch auf "Senden" geklickt. Sein Mail-Account bei GMX wurde von Kriminellen zum Versand von Spam-Mails missbraucht. Der Lehrer nahm's lustig, antwortete mit einem süffisanten Kommentar. Doch: Der Abnehmtropfen-Link ging auch an eine Ex-Freundin und viele weitere Empfänger aus Teubigs Adressbuch.

Auch Gmail, Hotmail, GMX und andere betroffen

Nachdem die gehackten GMX-Accounts in den vergangenen Tagen Schlagzeilen machten, wurde nun ein womöglich noch schwerwiegenderer Fall öffentlich: Eine Hackergruppe namens D33D bekannte sich, eine Liste mit 450.000 Nutzername-Passwort-Kombinationen geklaut zu haben. Diese war offenbar unverschlüsselt unter einer Yahoo-Subdomain im Internet abrufbar - man musste sie nur finden. Die Hacker haben die Daten nicht verkauft, sondern sie auf einer ukrainischen Website im Netz veröffentlicht.

Die Gruppe erklärte, man wolle mit der Aktion auf die laschen Sicherheitsvorkehrungen bei Yahoo aufmerksam machen. Yahoo hat das Datenleck nach eigenen Angaben gestopft und bat seine Nutzer in einer öffentlichen Erklärung um Entschuldigung. Außerdem seien nur 5 Prozent der öffentlich gewordenen Yahoo-Passwörter noch gültig. Neben 140.000 Yahoo-Accounts enthält die Liste auch die Zugangsdaten von rund 100.000 Googlemail-Konten und der Kunden weiterer Anbieter wie Hotmail und GMX oder von Personen, die eine Domain mit dem eigenen Namen registriert haben.

Kein Zusammenhang zwischen GMX und Yahoo erkennbar

Bereits zu Beginn der Woche hatten sich die Fälle von für Spam-Mails missbrauchten GMX-Accounts gehäuft. Einer Untersuchung des Mailanbieters zufolge wurden die Accounts aber nicht wie zunächst angenommen mittels einer Brute-Force-Attacke geknackt. Dabei probiert eine Software automatisiert immer neue Passwörter zu einem bekannten Nutzernamen aus, zum Beispiel anhand einer der Listen häufig benutzter Passwörter, die im Internet kursieren. Vielmehr müsse den Spammern eine Liste mit tatsächlichen Nutzername-Passwort-Kombinationen vorgelegen haben, erklärte Pressesprecher Martin Wilhelm.

Für den Nutzer macht das aber keinen großen Unterschied, für ihn gilt: Wer für jeden Dienst ein eigenes, schwer zu erratendes Passwort auswählt, ist besser geschützt - davor, auf einer illegal verkauften Zugangsdatenliste aufzutauchen, aber auch vor einer Brute-Force-Attacke. Ein Zusammenhang zwischen dem jetzt bekanntgewordenen Fall bei Yahoo und den zeitlich früher erfolgten Spam-Mailings von GMX-Mailadressen aus lässt sich indes nicht herstellen.

Passwörter häufig mangelhaft

Nutzername-Passwort-Listen werden immer wieder von Onlinekriminellen zum Kauf angeboten. Die Zugangsdaten liegen aber in der Regel nicht wie bei Yahoo auf einem frei erreichbaren Server herum. Die Kriminellen kommen normalerweise daran, indem sie Keylogger-Schadsoftware auf fremden Rechnern einschleusen, welche die Dateneingabe mitschneidet und an sie weiterleitet. Ein anderer Trick, um an Zugangsdaten zu gelangen, ist eine Phishing-Variante: Vor allem von - oft nur vorgeblichen - Porno-Anbietern wird auf den entsprechenden Portalen eine Anmeldung mit Nutzername und Passwort verlangt. Vielfach werden dazu Fake-Seiten ins Netz gestellt, die einzig zum Zweck des Passwortdiebstahls erstellt werden und nach Anmeldung gar keine Inhalte bereithalten. Da viele Internetnutzer aus Bequemlichkeit immer die gleiche Nutzername-Passwort-Kombination verwenden, egal ob für E-Mail, Facebook oder etwas anderes, sind bei den so gewonnenen Daten zwangsläufig auch ein paar funktionierende Mail-Logins dabei.

Und das wird wohl auch so bleiben: Das IT-Sicherheitsunternehmen Zone Alarm hat 2011 eine Liste der häufigsten Passwörter veröffentlicht. Die Top 5 lauten 123456, 12345, 123456789, Password und iloveyou. Vier Prozent der Passwörter enthalten das Wort "Password". Mit derart leicht zu erratenden "Geheim"-Wörtern wird ein Account anfällig für Brute-Force-Attacken. Das Fachportal Cnet hat die nun bei Yahoo entwendete Liste ausgewertet und kommt ebenfalls zu alarmierenden Ergebnissen: Das häufigste Passwort lautet erwartungsgemäß 123456, auf den Plätzen folgen weitere leicht zu erratende Nummernkombinationen und geläufige Begriffe, zum Beispiel Schimpfwörter oder Wörter aus der Film- und Sportunterhaltung.

Und auch beim Schutz vor Missbrauch von bereits geklauten Passwörtern gibt es Nachholbedarf: Laut einer Studie des Webmail-Anbieters Web.de verwenden über ein Drittel der Internetnutzer das gleiche Passwort für mehrere verschiedene Dienste, also neben dem Mailaccount auch zum Beispiel für soziale Netzwerke und Online-Shops oder Videoportale. Verkauft ein unseriöser Betreiber einer Videoplattform oder eines kleinen Online-Shops Nutzername und Passwort an Kriminelle, haben diese auch Zugriff auf alle anderen Dienste des Nutzers. Die Sicherheitsvorkehrungen beim Login werden zwar immer besser. Ein schwer zu knackendes Passwort - und ein separates für jeden einzelnen Web-Dienst - können sie aber nicht ersetzen. Wer ganz sicher gehen will, dass Unbefugte keinen Zugriff auf seinen Mail-Account haben, sollte sein Passwort ändern.