„13 fehlgeschlagene Login-Versuche“ – das ist inzwischen in vielen Fällen ein gängiger Anblick, wenn man sich bei web.de- und GMX-Konten einloggt. Den beiden Mail-Plattformen aus dem Hause United Internet ist der Erfolg zum Verhängnis geworden.

Laut dem Unternehmen nutzt mehr als die Hälfte der deutschen Nutzer:innen Konten dieser beiden Anbieter als primäre und meistgenutzte Mail-Adresse – wobei der Anteil der beiden Marken in Deutschland fast ausgeglichen ist. Dahinter folgen mit gut 15 Prozent Google-Mail und jeweils mit etwas mehr als 8 Prozent Outlook.com- und T-Online-Nutzer:innen – bei der Erhebung ging es jeweils um das meistgenutzte und wichtigste Konto.

Auch wenn die Zahlen aus einer Untersuchung im Auftrag von United Internet stammen, zeigen sie, welchen Stellenwert die beiden Mail-Marken haben. Doch aktuell scheinen sich die Versuche, Konten zu übernehmen, zu häufen, wie viele Nutzer:innen, die sich nicht über die App, sondern über den Webmailer am PC einloggen, sehen können.

GMX und web.de selbst erklären, sie würden derzeit keine erhöhte Angriffsaktivität beobachten. Das ist durchaus möglich, wobei die Zahl der unerlaubten Zugriffsversuche auch ohne eine Intensivierung aufgrund der großen Verbreitung hoch ist.

Konkret wird bei jedem erfolglosen Login-Versuch der entsprechende Zähler eins hochgesetzt, daher die Benachrichtigungen beim nächsten korrekten Login. „Eine hohe Zahl an fehlgeschlagenen Login-Versuchen kann darauf hinweisen, dass unbefugte Dritte versuchen, mit veralteten, geleakten Passwörtern Zugriff auf ein Postfach zu erhalten“, erklärt das Unternehmen korrekt – und verweist damit auf einen wichtigen Sachverhalt.

Denn viele der Konten der beiden Marken existieren seit vielen Jahren und kommen daher in zahlreichen Leaks und Hacks vor, also jenen Datensammlungen, in denen persönliche Daten von Nutzer:innen bekannt werden, die dann immer wieder von Cyberkriminellen ausprobiert werden – für den jeweiligen Dienst, zu dem sie pass(t)en, aber auch für andere Zugänge. So werden aber auch verschiedene Passwörter mit unterschiedlichen Anmeldenamen ausprobiert und variiert. Das wird als Credential Stuffing bezeichnet.

Besonders gefährdet sind jene Konten, deren Zugangsdaten sich bei den Datensammlungen des Projekts „Have I been pwned?” des US-amerikanischen Sicherheitsforschers Troy Hunt finden. Doch die Erfahrung zeigt, dass durchaus auch andere Zugänge ausprobiert werden. Besonders groß ist die Gefahr, hier das Konto zu verlieren, bei zu kurzen und zu einfachen Passwörtern.

Es gibt allerdings auch zwei Szenarien, durch den versuchte Logins selbst durch den Besitzenden des Kontos generiert werden: Entweder durch eine Einbindung in ein anderes Mailkonto, wenn nach einer Änderung des Passwortes dieses dort nicht angepasst wurde, oder aber durch Pop3-Zugriffe, ohne dass dies freigeschaltet ist.

Deshalb ist dreierlei wichtig: Zum einen sollten Nutzer:innen unter keinen Umständen dieselben Login-Passwort-Kombinationen bei unterschiedlichen Services nutzen. Es ist bemerkenswert, in wie vielen Fällen diese einfache Regel missachtet wird und Cyberkriminelle so leichtfertig Zugang zu Diensten erhalten, die mit dem jeweiligen Hack gar nichts zu tun haben. Auf diese Weise können beispielsweise auch illegal Einkäufe in E-Commerce-Portalen getätigt werden.

Zum anderen sollten Nutzer:innen ihr Passwort regelmäßig wechseln und so komplex wählen, dass es nicht über Wörterlisten erraten werden kann. Eine möglichst lange Kombination aus Groß- und Kleinbuchstaben, Zahlen und – soweit erlaubt – Sonderzeichen ist hier der beste Weg. Speichern kann man das in einer der einschlägigen Datenbanken, deren Zugang bestenfalls mit zwei Faktoren erfolgen sollte.

Und damit sind wir schon bei einem dritten Punkt, der für die bei Hacker:innen beliebten deutschen Konten gilt: Die Mail-Konten der United-Internet-Gruppe lassen sich zum einen mit Wiederherstellungsadressen sichern. Hier sollte man stets eine Adresse wählen, die im Ernstfall auch noch existiert, und sie gegebenenfalls aktualisieren, was mithilfe einer Zahlenkombination geht. Außerdem bieten besagte Mail-Konten durchaus eine Zwei-Faktor-Authentifizierung mit beispielsweise dem Mobiltelefon oder der App des Mail-Dienstes.

Dieser zusätzliche Schutz, bei dem sich bekannte Geräte dauerhaft freischalten lassen, kann dazu beitragen, dass unberechtigter Zugriff nicht gewährt wird. Auch ohne Zwei-Faktor-Authentifizierung können alternative Mail-Adressen oder hinterlegte Mobilfunknummern im Ernstfall dabei helfen, über die kostenpflichtige Hotline das Konto wieder zurückzubekommen. Nutzer:innen kostenpflichtiger Konten verfügen ja außerdem über eine Kund:innennummer und entsprechende Nachweise.

Übrigens: Nicht nur Konten bei web.de und GMX sind in der hier beschriebenen Art und Weise gefährdet, hier verrät nur die rote Anzeige nach dem Einloggen, wie viele illegale Versuche, sich Zugang zu verschaffen, es gab. All das trifft auf andere Anbieter genauso zu, wobei diese teilweise verpflichtend mit dem zweiten Faktor arbeiten, also etwa sich über ein verbundenes Smartphone oder einen Zahlencode per SMS rückversichern.

Was zu tun ist, wenn’s dann doch passiert ist, verrät web.de einigermaßen gut dokumentiert (bei GMX funktioniert das analog): Zum einen sollten Nutzer:innen zunächst testen, ob es auf den jeweiligen Geräten Trojaner gibt, und den Rechner reinigen. Danach kann der Zugang entweder über die Wiederherstellungsadresse mit einem neuen Passwort versorgt werden oder, falls (noch) eine automatische Weiterleitung eingestellt ist (diese also nicht deaktiviert wurde), über die eigentliche Adresse.

Ist der Kontozugang wiederhergestellt, lässt sich das Konto wie oben beschrieben absichern – und Nutzer:innen sollten auch prüfen, ob in den Einstellungen irgendwelche Änderungen vorgenommen wurden (alternative Weiterleitungen, Zugriffsrechte, persönliche Daten).