Passwortdiebstahl: Technische Methoden
Über die Schulter ausspioniert oder durch Ausprobieren geklaut − um diese Arten von Passwortdiebstahl ging es im letzten Tipp. Ergänzend dazu erklären wir Ihnen in diesem Artikel, welche technischen Angriffe es auf Passwörter gibt und wie sie funktionieren.
In diesem Blog-Artikel…
✓ Wer klaut Passwörter? Mensch oder Maschine?
✓ Keylogging mit Spionagesoftware
✓ Wie kommt die Spyware auf PC & Handy?
✓ Brute-Force-Attacken
✓ Wer klaut Passwörter? Mensch oder Maschine?
✓ Keylogging mit Spionagesoftware
✓ Wie kommt die Spyware auf PC & Handy?
✓ Brute-Force-Attacken
Wer klaut Passwörter? Mensch oder Maschine?
Wenn Passwörter geklaut werden, stecken hinter den Passwortdieben oft direkt echte Menschen. Sie versuchen z. B. in Ihren Social-Media-Account, Ihren Firmen-Account oder in Ihr E-Mail-Postfach zu gelangen. Das haben wir bereits in Teil 1 zu den Methoden des Passwortdiebstahls gezeigt.
Keylogging mit Spionagesoftware
Beim sogenannten Keylogging werden Sie bei der Eingabe Ihrer Zugangsdaten sozusagen "beobachtet". Ihre Daten, Ihr Passwort werden abgefangen und evtl. im Darknet an andere Cyberkriminelle weiterverkauft oder gegenseitig ausgetauscht.Die dafür verwendeten Spionageprogramme – auch als "Passwortdiebe" bezeichnet – laufen klammheimlich im Hintergrund Ihres Rechners und sammeln dabei fleißig Ihre Login-Daten für die Hacker ein.
Doch wie kommt diese Schadsoftware überhaupt auf Ihren Rechner?
Wie kommt die Spionagesoftware auf PC & Handy?
Wie andere Schadprogramme auch gelangt die Spyware meist über diese Wege auf Ihr Gerät:Über eine verseuchte Webseite:
Die Seiten sehen oft echt aus, sind aber manipuliert – und das Öffnen einer solchen Seite bzw. schon das Klicken auf den Link einer solchen Seite bringt Ihnen Malware, also Schadsoftware wie z. B. Trojaner, unbemerkt auf den Rechner.Wie schütze ich mich?
Grundsätzlich gilt: Seien Sie beim Aufrufen von Webseiten skeptisch, die Ihnen z. B. von Fremden über das Internet empfohlen werden. Oder die evtl. aus unseriösen Quellen stammen.
Technischer Schutz kommt in der Regel auch von Ihrem Browser. Edge und Firefox bspw. warnen vor dem Aufruf potenziell verseuchter Webseiten mit einer Meldung/einem Warnsymbol.
Achten Sie außerdem auch auf das Schlosssymbol und das Sicherheitsprotokoll "https" am Anfang der Browserzeile.
Wird dieses bereits in Ihren Suchergebnissen nicht angezeigt (steht dort nur http ohne "s" am Ende), sollten Sie die gefundene Seite aufgrund unsicherer Verbindung besser nicht aufrufen.
Übrigens: Sie können Ihren Browser in den Einstellungen unter Datenschutz und Sicherheit so einstellen, dass er nur Seiten mit gesicherter Verbindung (also https) öffnet. Das Öffnen infizierter Webseiten wird damit blockiert und der Schadcode kann Ihren Rechner gar nicht erst erreichen.
Gut zu wissen: WEB.DE schützt Sie in Ihren E-Mails ebenfalls vor manipulierten Webseiten.
Das gilt grundsätzlich: Schützen Sie sich, indem Sie auf Ihrem Gerät eine Antiviren-Software, eine Firewall und andere Sicherheitsprogramme installiert haben. Und: Versäumen Sie keine Updates Ihrer Programme – auch nicht die Ihres Betriebssystems! Eine gute Sicherheitsinfrastruktur mit regelmäßigen Sicherheitspatches ist auch zum Schutz gegen alle anderen Hacker-Attacken notwendig!
Grundsätzlich gilt: Seien Sie beim Aufrufen von Webseiten skeptisch, die Ihnen z. B. von Fremden über das Internet empfohlen werden. Oder die evtl. aus unseriösen Quellen stammen.
Technischer Schutz kommt in der Regel auch von Ihrem Browser. Edge und Firefox bspw. warnen vor dem Aufruf potenziell verseuchter Webseiten mit einer Meldung/einem Warnsymbol.
Achten Sie außerdem auch auf das Schlosssymbol und das Sicherheitsprotokoll "https" am Anfang der Browserzeile.
Wird dieses bereits in Ihren Suchergebnissen nicht angezeigt (steht dort nur http ohne "s" am Ende), sollten Sie die gefundene Seite aufgrund unsicherer Verbindung besser nicht aufrufen.
Übrigens: Sie können Ihren Browser in den Einstellungen unter Datenschutz und Sicherheit so einstellen, dass er nur Seiten mit gesicherter Verbindung (also https) öffnet. Das Öffnen infizierter Webseiten wird damit blockiert und der Schadcode kann Ihren Rechner gar nicht erst erreichen.
Gut zu wissen: WEB.DE schützt Sie in Ihren E-Mails ebenfalls vor manipulierten Webseiten.
Das gilt grundsätzlich: Schützen Sie sich, indem Sie auf Ihrem Gerät eine Antiviren-Software, eine Firewall und andere Sicherheitsprogramme installiert haben. Und: Versäumen Sie keine Updates Ihrer Programme – auch nicht die Ihres Betriebssystems! Eine gute Sicherheitsinfrastruktur mit regelmäßigen Sicherheitspatches ist auch zum Schutz gegen alle anderen Hacker-Attacken notwendig!
Durch Herunterladen einer vermeintlich harmlosen Software:
Wie schnell ist es passiert: Sie nutzen zum Herunterladen einer Software/App nicht die offizielle Seite als Download-Quelle, sondern z. B. einen Link in einer gefälschten Updatemeldung oder in einem Internetforum. Und schon haben Sie ein Problem mit Viren und Co.Wie kann ich mich schützen?
Vor jedem Download von Software gilt: Nutzen Sie nur seriöse, offizielle Quellen dafür. Also z. B. die App-Stores oder die offizielle Seite des Anbieters. Mehr zum Thema Sichere Apps.
Vor jedem Download von Software gilt: Nutzen Sie nur seriöse, offizielle Quellen dafür. Also z. B. die App-Stores oder die offizielle Seite des Anbieters. Mehr zum Thema Sichere Apps.
Über Phishing-Mails:
Vielleicht identifizieren Sie die betrügerischen E-Mails nicht gleich als solche. Doch Phishing-Mails stellen tatsächlich das häufigste Einfalltor für Hacker dar. Sie transportieren Links oder Anhänge, die auf gefälschte, verseuchte Webseiten führen. Aber auch Anhänge, die mit Schadsoftware versehen sind.Wie kann ich mich schützen?
Phishing-Mails lassen sich in der Regel leicht enttarnen. Tipps, wie Sie sich vor Phishing-Attacken wappnen, finden Sie hier. Lesen Sie außerdem, was passiert, wenn Sie auf einen Phishing-Link geklickt haben.
Phishing-Mails lassen sich in der Regel leicht enttarnen. Tipps, wie Sie sich vor Phishing-Attacken wappnen, finden Sie hier. Lesen Sie außerdem, was passiert, wenn Sie auf einen Phishing-Link geklickt haben.
Durch verseuchte USB-Sticks:
Sobald Sie Ihren USB-Stick an einen öffentlichen Rechner anstöpseln (z. B. im Internet-Café, in einer Hotel-Lobby), sollten Sie sich darüber im Klaren sein: Übertragung von Schadsoftware ist möglich.Wie kann ich mich schützen?
Setzen Sie USB-Sticks nur auf ausgewählten Geräten ein und sorgen Sie an Ihrem PC für eine gute Antiviren-Software, die potenzielle Eindringlinge auf USB-Sticks aussperrt.
Setzen Sie USB-Sticks nur auf ausgewählten Geräten ein und sorgen Sie an Ihrem PC für eine gute Antiviren-Software, die potenzielle Eindringlinge auf USB-Sticks aussperrt.
Skurril: Kriminelle wählen wirklich außergewöhnliche Wege, um verseuchte USB-Sticks zu verbreiten. So soll es in den USA schon zu Fällen gekommen sein, in denen Hacker ihre mit Schadsoftware verseuchten Speichersticks per Post an Unternehmen gesendet haben. Getarnt als normale Warensendung von Amazon. Dafür aber heimtückisch gespickt mit der Malware namens "BadUSB".
Brute-Force-Attacken
Hier könnte man sagen: In punkto Passwortdiebstahl herrscht hier die rohe Gewalt. Denn genau so lässt sich der englische Begriff "Brute force" auch übersetzen. Durch wiederholtes schnelles Austesten von verschiedenen Zeichenkombinationen versuchen Hacker, Passwörter und andere Zugangsdaten zu "erraten".Das geschieht natürlich nicht per Hand: Auch hierbei kommen wieder Hochleistungsrechner mit entsprechender Software zum Einsatz.
Wörterbuch-Angriff
Eine Brute-Force-Methode haben Sie schon in unserem ersten Blog-Artikel zu den Methoden des Passwortdiebstahls kennengelernt: Die Wörterbuch-Attacke. Dabei dient ein Wörterbuch als Passwortliste – die Programme testen dabei alle Wörter der Reihe nach durch.Umgekehrter Angriff & Credential Recycling
Doch es gibt noch weitere Methoden von Brute Force:Z. B. den umgekehrten Angriff, bei dem das Pferd sozusagen von hinten aufgezäumt wird: Beliebte, aber extrem unsichere Passwörter wie „12345“ oder "passwort" werden hier als Grundlage verwendet – und die Hacker versuchen den passenden Benutzernamen dazu herauszufinden. Sie suchen also nach Personen mit solch einem Passwort.
Das funktioniert nach wie vor erstaunlich gut, denn viele Menschen verwenden extrem einfache Passwörter. Diese finden sich häufig auf Listen, die den Hackern bekannt sind.
Beim sogenannten Credential-Recycling werden bereits gehackte Logindaten/Passwörter recycelt, also wiederverwendet.
Wie kann ich mich schützen?
Das beste Gegenmittel gegen Brute-Force-Angriffe sind sichere, also starke Passwörter – und auch für jeden Account ein anderes! Wie Sie solche Passwörter erstellen (und sich die verschiedenen auch merken können), zeigt Ihnen unser Sicherheitsexperte Arne im Interview. Hilfreich ist auch hier die bereits erwähnte Satzmethode.
Ein weiteres wichtiges Gegenmittel ist ein zweiter Faktor beim Login in Ihren (E-Mail) Account. Beim Online-Banking ist dies Ihre TAN, die Sie per Sicherheitsapp oder per SMS bekommen. Bei WEB.DE ist dies die kostenlose Zwei-Faktor-Authentifizierung.
Das beste Gegenmittel gegen Brute-Force-Angriffe sind sichere, also starke Passwörter – und auch für jeden Account ein anderes! Wie Sie solche Passwörter erstellen (und sich die verschiedenen auch merken können), zeigt Ihnen unser Sicherheitsexperte Arne im Interview. Hilfreich ist auch hier die bereits erwähnte Satzmethode.
Ein weiteres wichtiges Gegenmittel ist ein zweiter Faktor beim Login in Ihren (E-Mail) Account. Beim Online-Banking ist dies Ihre TAN, die Sie per Sicherheitsapp oder per SMS bekommen. Bei WEB.DE ist dies die kostenlose Zwei-Faktor-Authentifizierung.
Wir hoffen, auch dieser zweite Tipp zu den verschiedenen Methoden des Passwort-Hackings und -diebstahls war interessant und aufschlussreich für Sie? Dann freuen wir uns über Ihre Rückmeldung.
Dieser Artikel erschien erstmalig am 11.08.2022 und wurde am 14.10.2025 überarbeitet.
Wenn Ihnen WEB.DE gefällt, geben Sie uns auch gerne positives Feedback auf der Bewertungsplattform Trustpilot.
911 Personen finden diesen Artikel hilfreich.
Ähnliche Artikel