Dass da etwas im Busch ist, zeigt um 23:13 Uhr eine SMS ­meines besten Freundes. „Du bist gehackt worden“ steht da. Danach ­folgen drei Screenshots eines Facebook-Accounts. Dieser nutzt ein Foto von mir als Profilbild, repostet Nachrichten und Memes des t3n-Facebookprofils, veröffentlicht ein Bild meines Katers, teilt Kinderfotos von mir. Außerdem ist er befreundet mit alten Klassenkamerad:innen und Kolleg:innen, weiß, wo ich studiert habe und wo ich wohne. Selbst mein Geburtsjahr stimmt. Auf den ersten Blick sieht das nach meinem Konto aus. Nur bin ich seit drei Jahren nicht mehr auf der Plattform.

Spätestens jetzt müsste mir das Herz in die Hose rutschen, schließlich bin ich augenscheinlich Opfer eines Identitäts­diebstahls geworden. Jemand versucht, unter meinem Namen möglichst viele Kontakt zu knüpfen, deren Vertrauen zu erlangen und sie dann etwa mit Phishingnachrichten zu kontaktieren.

Am Artikelende findet ihr zahlreiche handfeste Tipps für mehr Sicherheit im Netz.

Eine Strategie ist zum Beispiel, einer alten Klassenkameradin auf ­Facebook eine Direktnachricht zu schreiben und sie um Geld zu bitten – ich sei durch Corona in eine finanzielle Schieflage ­geraten. Sogenanntes Spear-Phishing, der Enkeltrick 2.0.

Doch zum Glück war ich auf diesen Moment vorbereitet, und zum Glück schreibt der Account niemanden an. Ich habe die ­ganze Aktion nämlich selbst genehmigt. Und ich kenne den Mann, der dahintersteckt. Es ist Thomas Haase, Ethical Hacker und Leiter Certified Security bei T-Systems MMS, die Teil der Einheit für Penetrationstests von Telekom Security ist.

Er und sein Team durchleuchten regelmäßig Menschen in deren Auftrag und klopfen ihre digitale Identität auf Schwachstellen ab.

Nur handelt es sich dabei dann meist nicht um Journalist:innen wie mich, sondern um bekannte Politiker:innen, Schauspieler:innen oder Fußballspieler:innen. Aber auch Firmen lassen sich auf diese Weise untersuchen.

Aber nicht nur Promis oder Unternehmen droht im ­Internet Gefahr. Die Zahl der Cyberstraftaten steigt Jahr für Jahr und lag 2020 laut Bundeskriminalamt in Deutschland bei rund 108.000 gemeldeten Fällen.

Die Dunkelziffer dürfte noch deutlich darüber liegen. Das Cybersicherheitsunternehmen RiskIQ schätzt, dass Firmen weltweit durch Cyberkriminalität fast 1,8 Millionen US-Dollar pro Minute verlieren.

Um abzuschätzen, wie groß die Gefahr bei mir ist, führen Thomas Haase und sein Team eine sogenannte Open-Source-Intelligence-­Analyse (Osint) durch. Ziel ist das Auffinden von ­öffentlich und nicht öffentlich verfügbaren Informationen, die eine konkrete Gefahr darstellen könnten. Am Ende gibt das Team dann Handlungsempfehlungen, um die gefundenen Angriffsvektoren zu reduzieren.

Dafür berechnen Haase und sein Team Tagessätze ab 3.000 Euro. Teil des Pakets ist auch eine Verschwiegenheitserklärung. Alles, was das Team findet, wird den Kund:innen am Ende übergeben und im Anschluss gelöscht.

Im Zuge der Analyse werden zunächst alle Informationen ge­sammelt, die im Netz über mich frei verfügbar sind. Zum Beispiel in sozialen Netzwerken wie Facebook und Linkedin oder durch eine einfache Suchanfrage bei Google. Auch die Kontakte, mit ­denen ich in Verbindung stehe, werden ermittelt.

Leider fällt schon dieser erste Schritt bei mir sehr vielversprechend für Haase aus, wie er mir bei einem Treffen nach der Analyse mitteilt: „Ich hatte noch nie jemanden, bei dem ich so schnell so viel gefunden habe.

Man muss aber auch dazu sagen, dass dein einzigartiger Name es für uns einfacher macht. Man kann dir damit Dinge im Netz eindeutig zuordnen. Auf der anderen Seite willst du aus beruflichen Gründen ja aber auch im Netz gefunden werden.“

Für mich ist das ein Problem. IT-Sicherheitsexperten raten immer wieder dazu, möglichst wenige Informationen im Netz zu teilen oder dies nicht unter dem echten Namen zu tun. Ein Teil meines Berufes als Tech-Journalist ist es aber, im Netz stattzufinden und das eben nicht anonym. „Auch deine Mutter war ziemlich einfach zu finden und sie war so ‚nett‘, Babyfotos von dir ins Netz zu stellen.“ Daher kommen also die Fotos, die ich in meinem gefälschten Facebook-Profil wiedergefunden habe. Danke Mama!

Zum Glück hat Haase aber auch gute Neuigkeiten mit­gebracht: „So wie du dich im Allgemeinen im Netz bewegst, gibt es bei dir nur kleinere Schwierigkeiten. Ich habe viele alte Accounts und Dienste gefunden, bei denen du dich nicht abgemeldet hast oder die du seit Jahren nicht mehr nutzt. Aber wir konnten nicht ­feststellen, dass du fahrlässig mit Passwörtern umgehst.“

Anders als einige meiner Kolleg:innen und ­Freund:innen. Von ­ihnen ­findet Haase in verschiedenen Datenlecks nicht nur Mailadressen, ­sondern auch teilweise sehr frisch erbeutete Passwörter. Und ohne zu sehr ins Detail gehen zu wollen, das Wort „Passwort“ ist auch im Jahr 2022 noch kein gutes Passwort.

Die ­Sache mit den Passwörtern ist auch bei den sonstigen Kunden von Haase ein Problem: „Die größten Baustellen, denen wir begegnen, sind Klassiker wie schlechtes Passwortmanagement. Viele haben das nicht im Griff und wählen zu einfache Pass­wörter. Ein weiteres riesiges Problem sind wie bei dir alte Accounts, die nicht aufgeräumt werden.“

Nachdem der Ethical Hacker die Informationen über mich gesammelt und ausgewertet hat, beginnt er diese mit meiner ­Erlaubnis zu nutzen, um zwei Szenarien zu erstellen, die ein bösartiger ­Hacker mit ihnen durchführen könnte. Zum einen schreibt er eine Reihe meiner ­Kontakte von einer Mailadresse aus an, die meiner echten sehr ähnlich ist. In den Nachrichten ist ein Link enthalten.

Im Falle eines echten Angriffs würde ein solcher Link zum Beispiel zu einer Seite mit Schadsoftware oder zu einem ­Formular führen, in welches Benutzerdaten eingegeben werden sollen. Phishing-Seiten also, mit denen Hacker nach Passwörtern angeln. In meinem Fall landen meine Kontakte zum Glück auf einer harmlosen Website, die ihnen mitteilt, dass sie gerade auf eine gefälschte E-Mail hereingefallen sind.

Leider be­kommen 80 Prozent der von Haase in meinem Namen ­angeschriebenen ­Freund:innen, Kolleg:innen und Familienmitglieder diese ­Warn-Website zu Gesicht, weil sie leichtgläubig dem Link in der E-Mail gefolgt sind. Wie gefährlich solche E-Mails noch immer sind, zeigt der ­Cybersecurity-Report 2021 von Cisco. Demnach klickte in 86 ­Prozent der befragten Unternehmen mindestens eine Person auf einen Phishing-­Link.

80 Prozent meiner Kontakte fallen auf die Phishingmail rein.

Neben dem simulierten Phishing-Angriff baut Haase mit den Informationen über mich das anfangs beschriebene Facebook-­Profil auf, um einen Identitätsdiebstahl zu simulieren. ­Während ­meinem besten Freund relativ schnell aufgefallen ist, dass bei dem Profil zum Beispiel mein Nachname minimal anders geschrieben wurde, haben nach fast drei Tagen schon 174 Menschen die Freundschaftsanfragen angenommen.

Dass ich nach so kurzer Zeit schon mehr Follower als bei meinen echten Profilen habe, liegt an einem Skript, das Haase einsetzt: ­„Zeitgleich schickt das Skript um die 600 Freundschaftsanfragen raus. Bei mehr würde Facebook vielleicht irgendwann Verdacht schöpfen. Wir haben ein solches Skript schon mal länger laufen lassen und hatten dann schnell 2.000 bis 3.000 Freunde.“

Die ­vielen Kontakte sind ­wichtig, denn durch sie wirkt das Profil für Facebook und die anderen Nutzer:innen echter, sie ­legitimieren das Profil.

Soweit lassen wir es aber nicht kommen. Thomas ­Haase übergibt mir die Zugangsdaten für den Account, ich mache noch einige Screenshots und lösche ihn dann. Aus der Traum vom erfolgreichen Facebook-Account mit viel Reichweite.

Was kann man tun, wenn man regelmäßig im Internet unterwegs ist und das vielleicht gerade auch aus beruflichen Gründen? Zum einen die Klassiker befolgen, die immer wieder gepredigt werden. Da wäre zunächst: Sichere und vor allem ­individuelle Passwörter verwenden. Also für jeden Dienst ein ­eigenes. Um sich nicht alle merken zu müssen, hilft ein Passwortmanager.

Ebenfalls sehr hilfreich und teilweise schon in Passwort­managern integriert: Die Möglichkeit, regelmäßig bei Diensten wie „Have I been pwned?“ oder dem „Identity Leak Checker“ vom Hasso-Plattner-­Institut zu überprüfen, ob die eigene Mailadresse in Datenlecks, zum Beispiel im Darknet, aufgetaucht ist.

Beide Dienste durchforsten das Netz nach Datenpaketen, sammeln ­diese und gleichen die Daten auf Wunsch mit einer Mailadresse ab. Taucht diese dort auf, sollten alle damit verbundenen Passwörter dringend geändert werden.

Wer Opfer eines echten Identitätsdiebstahls geworden ist, sollte außerdem Anzeige bei der Polizei erstatten. Dies ist in sogenannten Online-­Wachen der Landespolizeien inzwischen auch oftmals im Internet möglich.

Für Postings in sozialen Netzwerken gilt außerdem die einfache Regel: Alles, was ich dort veröffentliche, sollte so auch in der Zeitung stehen können, ohne dass es unangenehme Folgen für mich hätte. Nur dann ist man auch nicht erpressbar. Wer sehr vorsichtig ist, folgt dieser Regel nicht nur in sozialen Netzwerken, sondern in der gesamten Kommunikation über das Internet.

Auch wenn ich wusste, worauf ich mich eingelassen habe, ist das Ergebnis der Analyse erschreckend für mich. Ich beschäftige mich seit Jahren mit IT-Sicherheit – dennoch ist das Dokument mit Daten und Fakten über mich und mein Umfeld am Ende neun Seiten lang. Inklusive beruflicher und privater Mailadressen, ­vieler meiner Kontakte und fast meinem gesamten Lebenslauf.

Doch es gibt zum Glück auch Lücken. Meinen Vater hat Haase nicht aufspüren können, bei meiner Schwester hat er fast nichts gefunden. Auch meine aktuelle Adresse und Telefonnummer sind in seinen Daten nicht aufgetaucht. Immerhin.

Ich schreibe jetzt erst mal die Kolleg:innen und Freund:innen an, deren Benutzernamen und Passwörter in den Daten gefunden worden sind, damit sie diese schnellstens ändern. Danach werde ich direkt mit einem digitalen Frühjahrsputz loslegen und kräftig meine alten und ungenutzten Accounts ausmisten. Es wird höchste Zeit, denn der nächste Hacker meint es vielleicht nicht so gut mit mir.

• Worauf ihr bei Smishing und Mail-Betrug achten solltet
• Sieben Passwortmanager für den besseren Überblick
• Passwort-Mythen: Welche Tipps sind noch sinnvoll und welche längst überholt?
• Warum Passwörter aus Prinzip zu ändern eine Sackgasse ist
• Beachte diese 4 Dinge – und du musst dir um IT-Sicherheit fast keine Sorgen mehr machen
• Experte erklärt: So schützt du dich vor Krytpo-Betrug

Dieser Beitrag ist zuerst im t3n-Magazin erschienen. Lust auf mehr Deep Dives und Long Reads zu Tech-Trends? Hier gehts zum Shop: https://t3n.de/store/