Schrift:
Ansicht Home:
Netzwelt

Sicherheitsrisiken

Bei Web.de und GMX reicht "passwort" als Passwort

"123456", "passwort", "ficken": Bei Daten-Leaks stammen Informationen oft aus schlecht gesicherten E-Mail-Konten. Alles nur die Schuld der Nutzer? Nicht nur. Einige Anbieter machen dumme Fehler viel zu leicht.

SPIEGEL ONLINE

Passwort-Wahl bei GMX

Von
Mittwoch, 09.01.2019   15:52 Uhr

Update, 11. Februar 2019: Mittlerweile nehmen sowohl GMX als auch Web.de "Passwort" und "12345678" nicht mehr als Passwort an. Wählt man eins der beiden Beispiele, kommt seit Anfang Februar ein Hinweis "Passwort unsicher und zu einfach zu erraten - bitte ändern".

Es folgt der unveränderte Original-Artikel.


Wer hat Schuld am Donnerstag bekannt gewordenen großen Daten-Leak? Darüber wird noch immer heftig debattiert: Wie ist es zu erklären, dass jemand, der bisherigen Ermittler-Erkenntnissen zufolge allein handelte, ein solches Potpourri an Informationen über Politiker und Prominente sammeln und ins Netz stellen kann? Wie gelangte der Hacker an Informationen aus so vielen verschiedenen E-Mail- und Social-Media-Accounts?

Während manchen Betroffenen individuelle Fehler unterstellt werden, weil sie - oder wir Internetnutzer allgemein - zu sorglos im Netz agieren, kommt ein anderer Aspekt zu kurz: die Rolle von Webdienst-Anbietern. Sie machen es ihren Nutzern mitunter viel zu leicht, in Sachen IT-Sicherheit zu versagen, ganz unabhängig vom jetzigen Daten-Leak.

Denn natürlich ist es naiv, wenn jemand einen so wichtigen Account wie ein E-Mail-Postfach mit simplen Zahlenfolgen oder "passwort" als Passwort sichert. Zugleich stellt sich aber die Frage: Wieso lassen manche Anbieter solche Passwörter überhaupt zu? Codes, die unbestreitbar ein Sicherheitsrisiko sind?

"Ficken" auf Platz vier

Ob Betroffene des aktuellen Daten-Leaks "passwort" als Passwort nutzten, ist unbekannt. Klar ist aber, dass sich ständig viele Nutzer auf diese Art angreifbar machen - das zeigen Auswertungen zu den beliebtesten Passwörtern Deutschlands. 2018 lagen laut einer davon "123456", "12345" und "123456789" vorn - vor "ficken" auf Platz vier, "hallo" auf Platz sieben und "passwort" auf Platz neun.

Einige Dienste verhindern von vorneherein, dass solche Passwörter gewählt werden können - Googlemail und Mailbox.org zum Beispiel. Bei den zwei angeblich beliebtesten E-Mail-Anbietern Deutschlands, GMX und Web.de, jedoch kommt man mit mancher dummen Eingabe durch: "passwort" wird in einem Test am Mittwoch jeweils angenommen, genau wie "12345678". Bei beiden Anbietern braucht man mindestens acht Zeichen als Passwort, eine weitere Bedingung gibt es nicht.

Bei GMX färbt sich bei "passwort" und "12345678" sogar jeweils ein Balken grün, als wären die Eingaben gut geeignet als Passwort. Und bei Web.de führen beide Kennwörter immerhin zu gelben Ampeln. Bräuchte es nicht eher Stoppschilder?

SPIEGEL ONLINE

Passwort-Wahl bei GMX

GMX und Web.de sind nur zwei Beispiele, weil die Dienste in Deutschland sehr populär sind - und das seit vielen Jahren (zur Frage, ob im Kontext des Daten-Leaks zu Politikern und Prominenten in GMX-Accounts eingedrungen wurde, heißt es von GMX auf Nachfrage nur, dem Unternehmen seien "keine solchen Fälle bekannt").

Mit dem Vorwurf, zu schwache Passwörter zuzulassen, müssen sich auch andere Firmen auseinandersetzen. Das Pay-TV-Angebot Sky Ticket etwa setzt bei seinen Zugangscodes auf vierstellige Pins - und bietet keine Option, mehr als vier Ziffern zu nutzen.

Wo bleibt die Zwei-Faktor-Authentifizierung?

Auch beim Onlinebanking ärgern sich einige Nutzer seit Jahren, dass sich der Log-in in einen Account nur mit einem fünf- oder sechsstelligen Zifferncode schützen lässt, beispielsweise bei der Comdirect Bank. Die allerdings sieht darin kein Problem - und vertröstet in Foren auch Nutzer, die schon lange eine sogenannte Zwei-Faktor-Authentifizierung für den Log-in fordern.

Damit gemeint ist die Option, seinen Account so einzustellen, dass bei jedem Log-in nicht nur nach den sechs Ziffern gefragt wird, sondern auch nach einem Code, der per SMS oder Extra-App zur Verfügung gestellt wird. Nur wer beide Zugangscodes hat, bekommt am Ende Zugriff - das Passwort allein reicht nicht. Bei vielen Anbietern, auch bei Social-Media-Accounts, ist die Zwei-Faktor-Authentifizierung problemlos einrichtbar (mehr dazu hier). Bei anderen, wie dem großen Mail-Anbieter T-Online, fehlt diese Möglichkeit dagegen.

GMX und Web.de, die beide zu United Internet gehören, sehen hierbei ähnlich schlecht aus wie bei den Passwort-Vorgaben: Beide Dienste bieten keine Zwei-Faktor-Authentifizierung an - obwohl auch für sie solch eine Funktion immer wieder gefordert wird. Auf eine SPIEGEL-Nachfrage bei GMX und Web.de heißt es, eine Einführung der Zwei-Faktor-Authentifizierung sei für das zweite Quartal 2019 geplant.

Problematische Vorgaben für Neukunden

Bei einer Testanmeldung bei beiden Diensten fielen am Mittwoch zwei weitere Dinge auf, die zwar keine Sicherheitslücken im technischen Sinne sind, sich aber als Fallstricke für Nutzer ohne große Internetkenntnisse entpuppen könnten:

SPIEGEL ONLINE

Vorgegebene Geheimfragen bei Web.de

SPIEGEL ONLINE

Teil der Anmeldung bei GMX

Wenn Nutzer also einfach nur Dinge falsch einstellen, können sie ihre Accounts schon damit in Gefahr bringen. Dann muss ein Angreifer weder IT-Spezialist noch erfahrener Hacker sein, um in ihre Accounts einzudringen. Das schafft dann womöglich auch ein rachsüchtiger Ex-Partner - oder irgendein Schüler in seiner Freizeit.

Und was soll ich jetzt tun?

Drei Anregungen für Nutzer von GMX und Web.de

Wichtige Zusatz-Info: Wenn Sie Ihr GMX- oder Web.de-Konto schon vor Jahren angelegt, es aber lange nicht mehr verwendet haben, lohnt übrigens eine Prüfung, ob es überhaupt noch existiert. Sowohl GMX, als auch Web.de behalten sich laut ihren AGB nämlich vor, Adressen nach zwölf Monaten ohne Log-in neu zu vergeben. Das muss nicht geschehen, kann aber. Und im schlimmsten Fall hat dann jemand anderes jene E-Mail-Adresse, die manche Kontakte oder Dienste weiter für ihre halten, und kann damit allerlei Ärger auslösen.

Lesetipp

insgesamt 132 Beiträge
sh.stefan.heitmann 09.01.2019
1. Sorry aber BS...
Wenn ich gerne asdf1234 als Passwort nutzen möchte dann hat das gefälligst auch von dem Dienst aktzeptiert zu werden. Das ist mein Passwort und ich suche mir das aus und bin auch ganz alleine für die Sicherheit dieses [...]
Wenn ich gerne asdf1234 als Passwort nutzen möchte dann hat das gefälligst auch von dem Dienst aktzeptiert zu werden. Das ist mein Passwort und ich suche mir das aus und bin auch ganz alleine für die Sicherheit dieses Passwortes verantwortlich.
GoaSkin 09.01.2019
2. bitte nicht ablenken!
Die Accounts zahlreicher Politiker und Prominenter wurden bestimmt nicht deshalb gehackt, weil jeder von ihnen ein banales Passwort hatte. Es hat bestimmt nicht jeder von ihnen ein Passwort wie "passwort" oder [...]
Die Accounts zahlreicher Politiker und Prominenter wurden bestimmt nicht deshalb gehackt, weil jeder von ihnen ein banales Passwort hatte. Es hat bestimmt nicht jeder von ihnen ein Passwort wie "passwort" oder "123456" gehabt. Man sollte lieber den wirklichen Tatsachen auf den Grund gehen, statt über die Banalität von Passwörtern zu sprechen. Abgesehen davon: Viele Leute nutzen digitale Brieftaschen bzw. Schlüsselbunde, um schwierig zu merkende Passwörter mit einfacheren Passwörtern abrufbar zu machen. Das ist ein viel größeres Problem, insbesondere da Google Android-User so lange herum nervt, Passwörter in der Cloud zu speichern, bis die Leute es machen - wenn auch nur, um die Meldung "Passwörter sind schwer zu merken - bla bla bla" endlich loszuwerden.
flytogether 09.01.2019
3. Immer die gleiche Leier
und die Schuld bei anderen suchen, in diesem Falle bei den Providern. Wer zu dämlich ist ein sicheres Passwort zu generieren dem gehört es nicht anders als dass sein Account gehackt wird. Dieses Verhalten, wonach das Gehirn [...]
und die Schuld bei anderen suchen, in diesem Falle bei den Providern. Wer zu dämlich ist ein sicheres Passwort zu generieren dem gehört es nicht anders als dass sein Account gehackt wird. Dieses Verhalten, wonach das Gehirn vor der Tastatur abgegeben wird führt dazu dass ich heute bei jeder Bestellbestätigung ellenlange Belehrungen anhängen muss (die eh keiner liest) nur damit der Vollpfosten später doch noch irgendwie Gelegenheit bekommt, seine Transaktion zu widerrufen.
RudiRastlos2 09.01.2019
4.
Zwei-Faktor-Authentisierung, nicht Zwei-Faktor-Authentifizierung !!!!
Zwei-Faktor-Authentisierung, nicht Zwei-Faktor-Authentifizierung !!!!
keine Zensur nötig 09.01.2019
5. Bitte geben Sie hier ihr Passwort ein, wir wollen es sichern
Nein - wieder wird einem Anbieter über gebügelt, dass er das betreute Denken und Leben durchsetzen soll. Entweder wir leben in Freiheit und sind mündige Bürger oder wir werden komplett durch gute Menschen gepampert. Ein [...]
Nein - wieder wird einem Anbieter über gebügelt, dass er das betreute Denken und Leben durchsetzen soll. Entweder wir leben in Freiheit und sind mündige Bürger oder wir werden komplett durch gute Menschen gepampert. Ein entmündigender Artikel aus einer bösen Mottenkiste.

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP