Wie gefällt Ihnen der Artikel?
9
Wie gefällt Ihnen der Artikel?
9

Wurde meine E-Mail gehackt? So finden Sie es heraus!

„Wurde mein E-Mail-Account gehackt?“ Vor dieser Frage stehen Millionen Internetnutzer rund um Globus, wenn ein großer Hackerangriff auf Unternehmen oder Websites bekannt wird. Dann nämlich müssen die Kunden und Nutzer der betroffenen Seite um ihre Daten fürchten – erst recht, wenn sie das zugehörige Passwort auch für Ihren E-Mail-Account verwenden. Durch solche Hacking-Angriffe, Trojaner oder Phishing werden jährlich unzählige Accounts gestohlen. So gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) für das Jahr 2014 bekannt, dass 16 Millionen Mail-Accounts gehackt wurden. Sind die Internetkriminellen erst einmal im Besitz der Zugangsdaten, kann der Schaden für die Betroffenen beträchtlich sein. Unser Überblick zeigt, wie Sie prüfen, ob Ihre E-Mail gehackt wurde, und welche Websites und Tools Ihnen dabei behilflich sein können.

Warum ist die Sicherheit meines E-Mail-Accounts so wichtig?

Mit einem gehackten E-Mail-Account können Kriminelle im Web Ihre Identität annehmen. Man spricht in diesem Fall von Identitätsdiebstahl. Damit haben Hacker Zugriff auf Ihre Kontakte, können in Ihrem Namen online einkaufen gehen oder Ihren Account zum Versenden von Spam oder Trojanern missbrauchen. Das kann für Sie erheblichen finanziellen Schaden bedeuten. Onlineshops beispielsweise werden Geld von Ihrem Konto abbuchen bzw. bei Ihnen einfordern, obwohl nicht Sie die Einkäufe getätigt haben, und für kriminelle Machenschaften, die von Ihrem E-Mail-Account ausgehen, werden zunächst Sie zur Rechenschaft gezogen. Auch für andere kann der finanzielle Schaden enorm sein – wenn beispielsweise von Ihrem E-Mail-Account aus Trojaner versendet werden, die Firmen-Netzwerke lahmlegen. Durch diese und andere kriminelle Machenschaften im Internet entstand allein in Deutschland im Jahr 2015 ein Schaden von über 40 Millionen Euro, wie das BKA und der Branchenverband Bitkom untersucht haben:

Hier können Sie Infografik zur Internetkriminalität in Deutschland herunterladen.

Umso wichtiger ist es, das E-Mail-Konto stets mit guten Passwörtern und idealerweise sogar mit einer Zwei-Faktor-Authentifizierung abzusichern. Alles Wissenswerte zum Thema Passwortsicherheit haben wir in diesem Artikel des Digital Guides zusammengetragen.

Ist mein E-Mail-Account gehackt? Diese Websites geben Auskunft

Glücklicherweise ist kein Rätselraten notwendig, um zu prüfen, ob Ihr E-Mail-Account gehackt wurde: Es gibt Websites, die beispielsweise anhand der Analyse von Botnetzwerken oder Datenpannen feststellen können, ob ein E-Mail-Account bereits gehackt wurde. Botnetzwerke sind Verbünde Tausender mit Malware infizierter Rechner, die meist ohne Wissen der Betroffenen für kriminelle Zwecke missbraucht werden. In der Regel gelangt die Bot-Software über gefälschte E-Mail-Anhänge auf die Rechner der Opfer. Im Zuge von Ermittlungsverfahren gegen solche Botnetzwerke, über die Spam und weitere Trojaner verteilt werden, hat auch das BSI einen Sicherheitstest online gestellt.

Tipp

Einen hundertprozentigen Schutz vor Spyware und Bot-Software gibt es nicht. Vorsichtsmaßnahmen sind dennoch grundlegend: Installieren Sie auf jedem Rechner eine Antivirensoftware und schalten Sie die Firewall ein. Aktualisieren Sie regelmäßig Ihr Schutzprogramm und das Betriebssystem. Öffnen Sie keine dubiosen Anhänge und hinterfragen Sie stets die Plausibilität von eingehenden E-Mails.

Der BSI-Sicherheitstest

Der Sicherheitstest des BSI gibt Auskunft darüber, ob eine E-Mail-Adresse und das zugehörige Passwort von einem Hackerangriff betroffen sind. Die Nutzung dieses Tools ist denkbar einfach: Auf der Website des BSI müssen Sie lediglich Ihre korrekte E-Mail-Adresse in das Eingabefeld eintragen. Stimmen Sie anschließend den Datenschutzbestimmungen zu und klicken Sie auf den Button „Überprüfung starten“.

Anschließend wird ein vierstelliger Code generiert, den Sie sich gut einprägen oder notieren sollten. Er dient später dazu, im Falle eines Fundes die Authentizität der Bestätigungsmail zu überprüfen: Eine echte Mail vom BSI wird diesen Code im Betreff anzeigen. Sollten Sie eine Mail erhalten, die vorgibt, vom BSI zu stammen, nicht aber den Sicherheitscode oder einen falschen enthält, können Sie davon ausgehen, dass die Mail gefälscht ist. In diesem Fall rät das BSI, die Mail ungeöffnet zu löschen. Im Regelfall erhalten Sie die authentische Mail vom BSI umgehend, nachdem Sie die Überprüfung gestartet haben. In einigen Fällen, etwa wenn der Server aufgrund von zu vielen Anfragen überlastet ist, kann es mitunter aber auch einige Stunden dauern. Wird zu Ihrer Mailadresse nichts gefunden, bekommen Sie keine E-Mail vom BSI.

Have I Been Pwned?

Eine weitere Möglichkeit, um zu prüfen, ob Ihre E-Mail gehackt wurde, bietet die englischsprachige Website Have I Been Pwned? (HIBP). Das Wort „pwned“ ist dem Internet- und Gaming-Slang entlehnt und stellt eine scherzhafte Schreibweise von „owned“ (dt. „besessen“, „dominiert“) dar. Wesentlich ernster als der Name des Tools es vermuten lässt, ist der Funktionsumfang dieser von dem Sicherheitsexperten Troy Hunt entwickelten Website: Auch hier können Sie Ihre E-Mail-Adresse eintragen und überprüfen lassen. Grundlage für das Prüfverfahren bilden zahlreiche bekannte Datenpannen großer Websites. Im Gegensatz zum BSI-Sicherheitstest können auf HIBP aber nicht nur E-Mail-Adressen, sondern auch Nutzernamen überprüft werden, die auf den unterschiedlichen Webportalen verwendet wurden.

Darüber hinaus bietet die Website noch einige weitere Features: So gibt es etwa die Benachrichtigungsfunktion „Notify Me“. Mit dieser können Sie sich automatisch vom HIBP-System benachrichtigen lassen, falls Ihre E-Mail-Adresse oder Ihr Nutzername irgendwann einmal in Zusammenhang mit einer Datenpanne auftaucht. Dafür müssen Sie lediglich Ihre E-Mail-Adresse eintragen und ein kleines Captcha-Sicherheitspuzzle lösen. Letzteres dient dazu, Sie als reale Person zu identifizieren und den Dienst vor Bots zu schützen. Sind Sie sich unsicher, ob Sie von der Datenpanne einer großen Website betroffen sind, können Sie sich unter dem Reiter „Who’s been pwned“ (dt. „Wer wurde dominiert“) einen Überblick über bisherige Datenpannen und deren Ausmaß verschaffen.

BreachAlarm

Wurde meine E-Mail gehackt? Wurde mein Passwort gestohlen? Diese Fragen beantwortet auch die englischsprachige Website BreachAlarm (dt. „Pannenalarm“). Dazu geht das Überprüfungstool sehr ähnlich vor wie HIBP: Nachdem Sie in dem Feld auf der Startseite Ihre E-Mail-Adresse eingetragen haben, scannt es das Internet nach gestohlenen und von den Hackern geposteten Passwörtern. Denn oftmals werden die ausspionierten E-Mail-Adressen mit den zugehörigen Passwörtern im Darknet oder anderen Hackerforen gehandelt. BreachAlarm durchsucht „die Tiefen des Internets“ („We comb the depths of the Internet to find stolen password lists that have been hacked […]“.) nach solchen gestohlenen Passwörtern. Inzwischen enthält die Datenbank des Dienstes über 646 Millionen einzigartige E-Mail-Adressen.

Zudem bietet der Dienst auch die Möglichkeit, sich für einen Benachrichtigungsservice anzumelden: Sollte das Passwort einer hierfür eingetragenen E-Mail-Adresse in Zukunft online veröffentlicht werden, sendet BreachAlarm umgehend eine Warnungsmail. Auf diese Weise können Betroffene schnell reagieren und das Passwort ändern, bevor Schlimmeres geschieht. Ein weiteres Feature, das sich explizit an Business-Nutzer richtet, ist unter dem Reiter „Business“ zu finden: Hier können Firmendomains eingetragen und überprüft werden. So lässt sich mit wenigen Klicks feststellen, wie viele Mitarbeiter-Accounts von einer möglichen Datenpanne betroffen sind. Auch im Rahmen dieser Funktion gibt es einen „Warnmodus“ für etwaige zukünftige Passwortdiebstähle.

Identity Leak Checker

Das letzte Tool in dieser Übersicht stammt von dem in Potsdam ansässigen Hasso-Plattner-Institut. Es ist in deutscher und englischer Sprache verfügbar und durchsucht Internet-Datenbanken nach gestohlenen Identitätsdaten. Dafür müssen Sie lediglich auf die Website des HPI gehen, Ihre E-Mail-Adresse eingeben und den Button „E-Mail-Adresse prüfen!“ anklicken. Der Datenabgleich gibt aber nicht nur Auskunft, ob das zur E-Mail-Adresse zugehörige Passwort gestohlen wurde, sondern prüft auch, ob andere persönliche Informationen im Internet veröffentlicht bzw. missbraucht wurden. Dazu zählen beispielsweise die Telefonnummer, Adresse oder Geburtsdatum.

Sie erhalten vom HPI eine Antwort-E-Mail an die eingegebene Adresse, in der Sie erfahren, ob Ihr Account gehackt und persönliche Daten online gestellt wurden. Darüber hinaus setzt Sie das HPI darüber in Kenntnis, wann und wie der Datendiebstahl erfolgt ist.

Was tun, wenn meine E-Mail gehackt wurde?

Alle vier Tools geben zuverlässig Auskunft und prüfen, ob eine E-Mail gehackt wurde. Eine hundertprozentige Garantie, dass Ihr Account nicht gehackt wurde, kann aber niemals gewährleistet werden. Wird Ihnen von den Tools kein Fund gemeldet, ist aber zumindest die Wahrscheinlichkeit hoch, dass Unbefugte aktuell keinen Zugriff auf Ihren Account haben. Sicherheitshalber sollten Sie trotzdem regelmäßig Ihre Passwörter ändern. Was aber tun, wenn tatsächlich ein Datendiebstahl gemeldet wird? Sie sollten auf keinen Fall in Panik verfallen: Es ist möglich, dass Ihr Account trotz des Hacks noch nicht missbraucht wurde. Sie sollten dennoch umgehend handeln und als Sofortmaßnahme Ihr Passwort wechseln. Für solche Fälle haben wir in diesem Artikel Schritt für Schritt erklärt, wie Sie vorgehen sollten.

Tools Sicherheit