Hackerangriffinformationen
Information über die Verletzung des Schutzes personenbezogener Daten gemäß Art. 34 DS-GVO PDF Download
Passwörter
Sichere Passwörter
Passwörter sind der Schlüssel zu Ihren Benutzerkonten, zum Beispiel bei sozialen Netzwerken, zum Onlineshopping oder auch zum TWL-Kundenportal. Damit Fremde sich nicht in Ihrem Namen dort anmelden können, brauchen Sie für jedes Benutzerkonto ein eigenes, sicheres Passwort, das nur Ihnen bekannt ist.
Wie sieht ein sicheres Passwort aus?
Grundsätzlich gilt: Je länger und komplexer ein Passwort ist, desto schwerer ist es zu knacken. Ihr Passwort sollte…
- mindestens 12 Zeichen lang sein
- alle vier Zeichentypen enthalten (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen)
- keine ganzen Wörter enthalten
- nicht mehrfach verwendet werden.
Wie erstelle ich ein sicheres Passwort?
Mit der Satzbaulogik können Sie im Handumdrehen Passwörter erstellen, die lang, komplex und einfach zu merken sind. So gehen Sie vor:
1. Denken Sie sich einen Satz aus, der eine besondere Bedeutung für Sie hat und den Sie deshalb immer im Hinterkopf haben. Hier ein Beispiel:
An jedem zweiten Sonntag im Monat koche ich Rouladen mit Klößen und Rotkraut.
2. Nehmen Sie nun die Anfangsbuchstaben der Wörter und alle Sonderzeichen und schreiben Sie diese nebeneinander:
AjzSiMkiRmKuR.
3. Glücklicherweise enthält der zugrundeliegende Satz ein Zahlwort sowie das Wort „und“. Nehmen Sie statt „zweiten“ also die Zahl 2 und statt „und“ das kaufmännische Zeichen &:
Aj2SiMkiRmK&R.
Das mit der Satzbaulogik erstellte Passwort erfüllt nun alle oben genannten Sicherheitsanforderungen und ist für Cyberkriminelle kaum zu knacken. Sollten Sie mithilfe dieser Methode ein Passwort für eines Ihrer Benutzerkonten erstellen, nehmen Sie bitte nicht das hier verwendete Beispiel.
Tipp: Sie müssen sich nicht für jedes Benutzerkonto einen eigenen Satz überlegen. Ergänzen Sie stattdessen zum Beispiel einfach zwei Zeichen des Dienstes, für den Sie das Passwort benötigen, an einer beliebigen Stelle.
Beispiel für Amazon: Aj2SiMkiRmKzo&R.
Beispiel für eBay: Aj2SiMkiRmKBa&R
Warum brauche ich für jedes Benutzerkonto ein eigenes Passwort?
Wenn Cyberkriminelle in den Besitz von Anmeldedaten kommen, probieren sie die erbeuteten Benutzernamen und Passwörter bei vielen beliebten Internetdiensten aus. Wer nun für all seine Anmeldeprozesse ein einziges Passwort und damit einen digitalen Generalschlüssel verwendet, ermöglicht damit auch Kriminellen den Zugriff auf alle Benutzerkonten, die mit diesem Passwort „geschützt“ sind.
Sollten Sie das Passwort, das Sie für das TWL-Kundenportal benutzt haben, auch noch für andere Benutzerkonten verwenden, empfehlen wir Ihnen deshalb dringend, die Passwörter auch dort zu ändern. Jedes Benutzerkonto braucht ein eigenes Passwort.
QuickTip: Satzbaulogik
Identitätsdiebstahl
Was ist Identitätsdiebstahl?
Bei einem Identitätsdiebstahl nutzt ein Fremder Ihre Daten, zum Beispiel Name, E-Mail-Adresse oder Passwort, um sich als Sie selbst auszugeben. Er stiehlt also Ihre Identität. Im Fall des Hackingangriffs auf die TWL sind solche Daten leider im Darknet veröffentlicht worden. Es besteht deshalb ein erhöhtes Risiko, dass Sie als unser Kunde Opfer eines Identitätsdiebstahls werden.
Wie läuft ein Identitätsdiebstahl ab?
Besonders beliebt bei Kriminellen ist ein Identitätsdiebstahl, aus dem die Täter finanzielle Vorteile ziehen können. Ein Beispiel:
Martina bestellt sich regelmäßig Produkte beim Versandhändler Amazon nach Hause. Als sie eines Tages ihre Kontoumsätze überprüft, stellt sie ungewöhnliche Abbuchungen fest. Über die vergangenen zwei Wochen hat Amazon immer wieder kleinere Beträge von ihrem Konto eingezogen. Angeblich für Bestellungen, die sie nie aufgegeben hat. Schnell besucht Martina die Website des Versandhändlers und versucht, sich mit ihren Benutzerdaten anzumelden – vergeblich. Sie kontaktiert den Kundensupport. Dort erklärt man ihr, dass sie vermutlich Opfer eines Identitätsdiebstahls geworden ist. Kriminelle hätten Ihre Zugangsdaten herausgefunden und sogleich geändert, damit Martina nicht mehr auf ihr Benutzerkonto zugreifen kann. Sodann hätten sie munter auf Martinas Rechnung eingekauft und sich die Produkte an eine andere Adresse liefern lassen.
Wie kann ich einen Identitätsdiebstahl erkennen?
Dass Ihre Online-Identität gestohlen wurde, können Sie zum Beispiel an folgenden Indizien erkennen:
- Sie können sich nicht mehr mit Ihren Zugangsdaten anmelden.
- Ihre Kontakte erhalten Nachrichten in Ihrem Namen, die Sie nie geschrieben haben.
- Sie stellen ungewöhnliche Abbuchungen auf Ihrem Bankkonto fest.
Was kann ich im Falle eines Identitätsdiebstahls tun?
Sollten Sie den Verdacht haben, dass Ihre Identität gestohlen wurde, versuchen Sie zunächst, sich beim entsprechenden Nutzerkonto anzumelden. Gelingt dies, ändern Sie sofort Ihr Passwort und überprüfen Sie die letzten Anmeldungen sowie sämtliche Aktivitäten und Einstellungen. Gelingt eine Anmeldung nicht, dann melden Sie dies umgehend dem betroffenen Dienst (z. B. Facebook, Amazon) über den Kundensupport. Falls Sie verdächtige Kontoabbuchungen feststellen, kontaktieren Sie sofort Ihre Hausbank, um Ihr Konto sperren zu lassen. Dies ist jederzeit über die Sperr-Notrufnummer 116 116 möglich.
Tipp: Identity Leak Checker
Mit dem Identity Leak Checker des Hasso-Plattner-Instituts können Sie prüfen, ob Ihre E-Mail-Adresse bereits in Zusammenhang mit anderen persönlichen Daten im Internet veröffentlicht wurde: https://sec.hpi.de/ilc/
Phishing
Was ist Phishing?
Als Phishing bezeichnet man den Versuch von Kriminellen, nach Zugangsdaten für Online-Benutzerkonten zu „fischen“. Phishing-Versuche erfolgen meist über E-Mails, Messenger oder SMS. Die Empfänger werden klassischerweise mit einem Hinweis auf verdächtige Kontoaktivitäten unter Druck gesetzt und dazu aufgefordert, auf einen Hyperlink zu klicken. Auf der verlinkten Webseite sollen sie dann ihre Benutzerdaten eingeben. Die versendeten Nachrichten stammen angeblich von Absendern wie Google, Amazon oder der Hausbank. Auch die verlinkten Webseiten sind häufig den Internetauftritten des vermeintlichen Absenders nachempfunden und wirken täuschend echt.
Wie kann ich Phishing erkennen?
Phishing-E-Mails sind in den letzten Jahren immer professioneller geworden und oft nicht mehr auf den ersten Blick als solche erkennbar. Es gibt allerdings einige Indizien, an denen Sie Phishing-Mails erkennen können:
- Fehlende persönliche Anrede
- Schlechte Rechtschreibung und Grammatik
- Zeitdruck
- Androhung von Konsequenzen
- Aufforderung zur Passworteingabe auf einer verlinkten Website
- Sie haben gar kein Benutzerkonto beim vermeintlichen Absender
Bei Verdacht auf Phishing löschen Sie die betreffende E-Mail. Im Zweifel melden Sie sich ausschließlich über die offizielle Webseite des Dienstes in Ihrem Benutzerkonto an und niemals über einen Hyperlink in der E-Mail.
Was passiert, wenn ich auf eine Phishing-Mail hereingefallen bin?
Wenn Sie Ihre Benutzerdaten wie E-Mail-Adresse und Passwort auf einer manipulierten Webseite eingeben, landen diese in den Händen von Kriminellen. Die können die Daten dann weiterverkaufen oder sich auf der echten Webseite mit Ihren Zugangsdaten anmelden und ihre Online-Identität stehlen.
Sollten Sie den Verdacht haben, auf eine Phishing-Mail hereingefallen zu sein, prüfen Sie unbedingt, ob sie sich über die offizielle Webseite des Dienstes noch in Ihrem Benutzerkonto anmelden können. Ist dies nicht möglich, befolgen Sie die Tipps im Falle eines Identitätsdiebbstahls.
Welche Gefahren gehen von Hyperlinks und Anhängen aus?
Das Geschäft mit Schadsoftware – auch Malware genannt – boomt: Noch immer zählen E-Mails mit verseuchten Anhängen oder manipulierten Hyperlinks zu den beliebtesten Maschen von Cyberkriminellen. Wer sich einen Virus oder Trojaner einfängt, läuft Gefahr, die Kontrolle über den eigenen Computer zu verlieren. Leider kann insbesondere neuartige Malware nicht immer vom Antivirenprogramm oder der Firewall erkennt werden. Deshalb ist zusätzlich Ihre Wachsamkeit gefragt.
Gefährliche Hyperlinks
Ein Hyperlink ist ein Querverweis, zum Beispiel auf eine Webseite. Beim Klick auf einen Hyperlink wird automatisch das darin angegebene Ziel aufgerufen. In einer E-Mail sind Hyperlinks in der Regel optische vom restlichen Text abgehoben, etwa unterstrichen und in blauer Schriftfarbe.
Sie erhalten eine unerwartete E-Mail, in der Sie dazu aufgefordert werden, auf einen Hyperlink zu klicken? Seien Sie skeptisch. Zum einen könnte der Link zu einer Phishing-Seite führen, auf der Ihre Benutzerdaten abgefischt werden sollen. Zum anderen könnte der Hyperlink auch auf eine manipulierte Webseite führen, die unbemerkt Schadsoftware auf Ihrem Computer installiert. Das passiert zum Beispiel im Hintergrund über Werbebanner und Sie bekommen davon überhaupt nichts mit.
Auch bei offiziell wirkenden Links ist Vorsicht geboten, denn entscheidend für das Risiko ist der Aufbau eines Hyperlinks.
Mouseover-Prüfung
Um herauszufinden, wohin ein Hyperlink Sie wirklich führt, reicht es leider nicht, sich auf den Text des Links zu verlassen. Fahren Sie stattdessen mit dem Mauszeiger über den Hyperlink, ohne darauf zu klicken, bis sich ein kleines Fenster neben dem Zeiger öffnet. In diesem Fenster steht der echte Hyperlink. Falls diese Adresse von dem Link im Text abweicht, löschen Sie die E-Mail.
Zieladresse prüfen
Wenn Sie die echte Zieladresse im Fenster überprüft haben, müssen Sie noch herausfinden, wohin der Hyperlink Sie wirklich führt. Das erkennen Sie an der sogenannten Domain. Die finden Sie immer an der gleichen Stelle im Hyperlink, nämlich zwischen dem vorletzten und letzten Punkt vor dem ersten Slash (/).
Ein Beispiel: Die folgende Webseite würde Sie nicht etwa zu Google führen, sondern auf die Seite rein-gefallen.
www.google.rein-gefallen.de/home
Lassen Sie sich von den Kriminellen also nicht in die Irre führen, nur weil an einer beliebigen Stelle des Hyperlinks ein vertrauenserweckender Dienst steht.
Achtung: Hyperlinks sind nicht immer als URL (Internetadresse) angegeben. Sie können sich auch hinter abweichenden Textpassagen verbergen. Ein Beispiel dafür ist ein „Hier Klicken“-Button, der mit einem Hyperlink hinterlegt ist und Sie aus einer E-Mail heraus auf eine Webseite führt. Auch bei solchen Elementen können Sie eine Mouseover-Prüfung durchführen.
Gefährliche E-Mail-Anhänge
Sie erhalten einen E-Mail-Anhang, den Sie weder angefordert noch erwartet haben? Dann ist Skepsis geboten. Abhängig vom Dateityp eines E-Mail-Anhangs kann das Risiko, dass darin Schadsoftware versteckt ist, unterschiedlich hoch sein. Besonders gefährlich können ausführbare Dateien (.exe), Archivdateien (.zip) und Makrodateien (.docm, .docxm) sein. Als Makro bezeichnet man ein Stück Programmcode, das in eine Datei eingebettet ist. Diese Dateitypen sollten Sie niemals öffnen, wenn Sie sie nicht erwartet haben. Lassen Sie sich in der E-Mail auch nicht unter Druck setzen. Oft werden die Anhänge nämlich mit Titeln wie „Rechnung“, „Mahnung“ oder ähnlichen Schlagworten versehen, um Sie zu einem unüberlegten Klick zu bewegen.
Achtung: Absender können gefälscht werden!
Lassen Sie sich von einem offiziellen, authentischen Absender nicht täuschen. Denn Kriminelle können den Absender einer E-Mail spielend leicht fälschen. Wenn Sie nicht sicher sind, ob ein E-Mail-Anhang tatsächlich vom angegebenen Absender stammt und unbedenklich ist, suchen Sie online oder in Ihrem Adressbuch nach der offiziellen Telefonnummer des Absenders und rufen Sie diesen an. Benutzen Sie nicht die in der E-Mail angegebenen Kontaktdaten, die Sie im Zweifel mit den Kriminellen verbinden!
Presse
