Am gestrigen Mittag erhielt ich einen hektischen Anruf einer Bekannten, die davon sprach, dass ihr eBay-Konto gehakt wurde und sie nun mit Waren überflutet würde, die sie gar nicht bestellt hat. Ich soll ihr unbedingt helfen, wieder in den Besitz ihres Kontos zu gelangen. Sie rief mich aus dem Auto heraus an und war bereits auf dem Weg zu mir. Keine Ahnung was genau sie sich eigentlich vorgestellt hatte, dachte sie, ich würde schnell meinen Kapuzenpulli anziehen und mich bei der NSA einhacken um wieder an ihren Account zu gelangen? Wenige Minuten später stand sie aufgelöst vor mir, den Tränen nahe. Meine erste Frage war, ob sie denn schon bei eBay angerufen habe um das Problem zu schilder und das Konto sperren zu lassen. "Ach, was soll das bringen, die können doch eh nichts machen", erwiderte sie mir. Mein Hinweis, dass eBay sicherlich mehr Möglichkeiten habe sich um einen gehackten eBay-Account zu kümmern als ich, nahm sie zunächst nicht wahr. Ich suchte also nach der Nummer, die unnötig versteckt erst nach einigen Minuten zu finden war. Sie rief also an und die Dame am anderen Ende der Leitung konnte recht schnell Entwarnung geben. Da sei nichts gehackt worden und die beiden gekauften Artikel, seien auch bereits über ein anderes PayPal-Konto bezahlt worden. So viel mal zum Thema, sie würde mit Waren überflutet. Zu diesem Zeitpunkt war erst ein einzelnes Paket mit einem Schuhlöffel als Inhalt angekommen, ein weiteres mit einer Infrarotlampe war noch auf dem Postweg.
Langsam, aber wirklich nur langsam, beruhigte sich meine Bekannte wieder ein wenig. Es stellte sich also heraus, dass jemand über ihren eBay-Account zwei Artikel bestellt hatte und diese auch gleich mit seinem eigenen PayPal-Konto bezahlte. Ich versuchte ihr dann zu erklären, dass ein Betrüger die Waren nicht selbst bezahlen würde und diese für gewöhnlich auch nicht an die Adresse des Opfers senden lassen würde. Aktuell sei eher sie im Vorteil, da sie nun Waren erhalten hat, die ein anderer für sie bezahlte.
Der Nebel der etwas verworrenen Geschichte löste sich allmählich auf. Beine Bekannte hatte sich, nachdem die unbestellte Ware geliefert wurde, hektisch bei eBay angemeldet, um den Vorgang zu prüfen. In der Aufregung vertippte sich aber bei jedem Versuch und so wurde das Konto aus Sicherheitsgründen vorübergehend gesperrt. Das deutete sie falsch und dachte, jemand habe ihr Passwort geändert und daher kommt sie nun nicht mehr rein. Jetzt muss man wissen, dass meine Bekannte sich dem "modernen Kram" sehr schwertut, sie hat z.B. ein Smartphone, aber keinen dazu passenden Internet-Tarif und auch zu Hause verfügt sie über keinen Internetanschluss. Sie besucht stattdessen lieber im Nachbarort ein Internet-Café. Ich muss zugeben, das ich nicht mal wusste, dass es überhaupt noch Internet-Cafés gibt.
An meinem Rechner versuchten wir dann uns an ihrem Account anzumelden. Das Passwort wurde nicht angenommen. Da ich ihr Passwort nicht kenne und auch beim Tippen nicht hinschaute kann ich nicht sagen, ob sie sich vielleicht wieder vertippte. Auf jeden Fall zeigte ich ihr dann die Option "Passwort zurücksetzen" und wir konnten ein neues festlegen. Sie sagte mir dann, sie nehme seit Jahren, immer und überall, den Namen ihres Hundes. Nebenbei besteht der Name gerade mal aus 5 Buchstaben, kommt häufig als Hundename vor und ist daher auch noch einfach zu erraten. Meine eindringliche Ermahnung sie solle ein deutlich komplexeres Kennwort nutzen und auch für jeden Dienst ein anderes Nutzen, wischte sie mit einem selbstgefälligen "Ach, was soll da schon passieren" hinweg. Das muss man sich mal vorstellen, da sitzt sie bei mir am Tisch, um wieder Zugriff auf ihr eBay-Konto zu erhalten, nachdem jemand über ihren Account Waren bestellt hatte, und nimmt die Gefahr noch immer nicht wahr. Zum Glück nahm eBay das zu kurze Passwort nicht an und so musste sie eines mit mindestens 6 Zeichen vergeben. Sie machte dann immerhin 8 Zeichen draus, wobei ich fast wetten würde, dass sie den Namen des Hundes nun einfach mit 123 ergänzte.
Ich legte ihr schließlich noch nahe, die Zweistufen-Authentifizierung zu aktivieren, um das Konto besser vor Missbrauch zu schützen. Das wolle sie bei Gelegenheit noch machen, aber nun müsse sie wieder los. Sie schloss den Browser und wollte den Laptop zuklappen als ich sie fragte, ob sie das so immer mache. "Was meinst Du?" "Du hast den Browser geschlossen, Dich aber nicht abgemeldet", erwiderte ich. Damit war klar wie es sein konnte, dass jemand über ihren Account auf eBay aktiv werden konnte. Sie schloss im Internet-Café einfach nur den Browser und der nächste Kunde war damit beim Aufruf der Seite, mit ihrem Account eingeloggt. Die Person merkte das offenbar nicht und dürfte sich nun wundern, wo seine Bestellung bleibt. Dass man sich am Ende einer Sitzung bei eBay abmelden sollte, war ihr nicht bekannt. "So machte ich das immer." Reiner Zufalls, dass es hier nicht schon viel früher zu Problemen gekommen ist.
In diesem Fall war also nicht das viel zu schwache Passwort das Problem, sondern die Sorglosigkeit beim Surfen im Internet-Café. Ja, Passwörter sollten deutlich komplexer sein und natürlich darf man nicht das gleiche für verschiedene Logins verwenden. Es ist auch völlig richtig, dass auch das stärkste Passwort keinen Schutz bietet, wenn die Server der Anbieter gehackt und die Passwörter gestohlen wurden, da sie mal wieder unverschlüsselt abgelegt waren. Auch wenn bei dieser Geschichte das Passwort nun nicht die Hauptrolle spielte muss man sich die Frage stellen, ob Passwörter überhaupt noch zeitgemäß sind. Die Alternative könnten biometrisch basierende Authentifizierungen sein, wie Fingerabdrücke, Iris-Erkennung oder die Gesichtserkennung. Beim Smartphone schon lange üblich, bei stationären Rechner hingegen noch selten. Zum Thema gibt es hier auch noch einen kleinen Artikel. https://news.microsoft.com/de-de/passwoer…ehr-sicherheit/
Und die Moral von dieser Geschichte? Verwendet vernünftige Passwörter, aktiviert so weit möglich die mehrstufigen Authentifizierungen und meldet Euch, zumindest im Internet-Café oder allgemein auf fremden Rechnern, immer sauber wieder ab. Noch besser, nutzt solche Dienste am besten gar nicht erst auf fremden Rechnern.