1. Digital

Gelsenkirchen/Bonn: Gehackte Mail-Konten zurückerobern

Gelsenkirchen/Bonn : Gehackte Mail-Konten zurückerobern

Im Posteingang stapeln sich die Mails mit Betreffzeilen wie „Undelivered Mail Returned to Sender” oder „Unzustellbar: see details”. Freunde beschweren sich, dass sie Nachrichten auf Englisch bekommen, in denen 2000 Euro monatlich für einige Stunden Heimarbeit versprochen werden. Was ist da falsch gelaufen?

Alles sind starke Indizien dafür, dass der eigenen Mail-Account gehackt wurde, sagt Frank Timmermann vom Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen. Was tun?

Das Passwort ändern, ist erst einmal essenziell, reicht aber für sich genommen nicht in jedem Fall aus. „Wenn Ihre Tastatur mit einem Keylogger verbunden ist, hat der Angreifer sofort das neue Passwort”, erklärt Markus Schneider, stellvertretender Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt. „Und wenn jemand über Ihre Sicherheitsanfrage reingekommen ist, kann er über diesen Weg auch das neue Passwort umgehen.”

Wichtig ist es also auch, den Rechner vor Ändern des Passworts auf Schadsoftware zu untersuchen, rät Thomas Hungenberg, IT-Sicherheitsexperte beim Bundesamt für Sicherheit in der Informationstechnik (BSI). In manchen Fällen müsse zur Sicherheit sogar die komplette Festplatte formatiert werden. Allein deshalb sei es immer wichtig, Backups anzulegen.

Da die Angreifer auch Kontoeinstellungen wie Mail-Weiterleitungen, Signaturen oder Kontakte verändert haben könnten, müssen diese kontrolliert werden. Ungewollte Weiterleitungen gilt es zu löschen. Denn: „Thunderbird etwa kann so eingestellt werden, dass der Hacker von jeder Mail eine Kopie bekommt”, erklärt Frank Timmermann.

Und auch die möglicherweise ebenfalls mitgeloggte Sicherheitsfrage, über die das Passwort zurückgesetzt werden kann, sollte nach einem Scan des Rechners geändert werden. Während Nutzer inzwischen verstärkt auf Kauderwelsch-Passwörter mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen achten, bleiben die Antworten auf Sicherheitsfragen oft gefährlich berechenbar. „Doch auch die sollte nicht so simpel sein, dass man sie durch einfaches Googeln rauskriegen kann”, warnt Markus Schneider. Zwei Beispiele: Der Mädchenname der Mutter oder der Name der eigenen Grundschule ließen sich mitunter bei Netzwerken wie Stayfriends einfach herausfinden.

Ist ein Konto erst gehackt, können alle damit verbundenen Funktionen missbraucht werden. Dann komme es darauf an, „ob da ein Mensch sitzt, der alles lesen kann und entscheiden kann, oder nur ein Script, das darauf programmiert ist, Spam zu versenden”, erklärt Schneider. Denn ein Mensch könne zusätzlich den Posteingang nach Anmelde-Mails für beliebige Dienste und Portale durchforsten und dort die Passwörter zurücksetzen lassen, um Zugang zu bekommen.

Er kann dort sogar die E-Mail-Adressen ändern lassen und so Konten komplett übernehmen, erklärt Frank Timmermann. Oder er agiert geschickt im Hintergrund, so dass der Inhaber des Mailkontos noch nicht einmal etwas ahnt. Der Experte berichtet von einem Fall, wo über den Mail-Account vom Nutzer völlig unbemerkt gestohlene Autoradios verkauft worden seien, weil die Hacker die Autoradio-Mails ausfilterten.

Wenn es dem Hacker nicht darauf ankommt, unbemerkt zu bleiben, kann er den Nutzer natürlich auch vom Mailkonto aussperren. „Dann bleibt Ihnen nur, den Provider persönlich oder zumindest telefonisch davon zu überzeugen, dass Sie der rechtmäßige Inhaber einer Mailadresse sind”, erklärt Markus Schneider.

Auch wenn sich der Hacker-Spuk durch ein neues Passwort vordergründig schnell beenden lässt, können die langfristigen Folgen überraschen. Denn die beim Mailen genutzten IP-Adressen können auf Schwarzen Listen (Blacklists) landen, auf denen Mailserver stehen, die durch massenhaften Spam-Mail-Versand negativ aufgefallen sind, erläutert Thomas Hungenberg.

Wer einmal auf einer solchen Liste steht, hat Probleme, weil die eigenen Mails ihre Adressaten nicht mehr erreichen. Oft gibt es eine Nachricht, dass der Server des Empfängers die Mail als Spam zurückgewiesen hat, manchmal aber verschwinden die Mails dann einfach im Internet-Nirvana. Ob man betroffen ist, kann man bei diversen Blacklist-Datenbanken abfragen.

Eine davon ist etwa die Spam-NiX-Datenbank der IT-Zeitschrift „iX”, die man auch anmailen kann und dann eine automatische Auswertung als Antwort erhält. Da sich die Blacklists meist nach IP-Adressen richten, könne es durchaus sein, dass die Mail vom heimischen PC manche Absender nicht erreicht, die gleiche Mail vom Smartphone oder aus dem Internet-Café aber schon, erklärt „iX”-Redakteur Bert Ungerer. „Wenn Sie über ein Webmail-Interface ins Netz gehen, nutzen Sie einen anderen Server mit anderer IP-Adresse.”

Wer auf einer Blacklist gelandet ist, sollte sich an seinen E-Mail-Anbieter wenden. „Dieser kann dann prüfen, auf welcher Blacklist einer oder mehrere seiner Mailserver eingetragen wurden und sich mit dem Betreiber der Blacklist zur Lösung des Problems in Verbindung setzen”, empfiehlt Hungenberg.

Wenn dieser Weg nicht funktioniert oder man selbst eine Domain zum Mailen betreibt, muss man selbst mit den Listen-Betreibern Kontakt aufnehmen. „Bei unserem NiX-Spam kann man sich über ein Formular kostenlos austragen lassen, andere Blacklist-Betreiber verlangen dafür aber auch mal 50 Euro”, sagt Ungerer. Kosten also, Ärger und viel Zeit, an die Nutzer denken sollten, wenn Ihnen das Erstellen und Merken unterschiedlicher und starker Passwörter für verschiedene Dienste als zu aufwendig erscheint.

Der Begriff Spam ist übrigens der englischen Kurzform von Spiced Ham entlehnt, einem preiswerten Dosenfleisch, erklärt Bert Ungerer. Während des Zweiten Weltkriegs war Spam eines der wenigen Nahrungsmittel, das damals in Großbritannien immer und überall erhältlich war. Deshalb wurde Spam als Name für die ständig präsente, ungewollte Werbung per Mail übernommen.

(dpa)