Praktische Tipps zum Schutz deiner Passwörter für E-Mail, soziale Netzwerke und Behörden-Websites | Offizieller Blog von Kaspersky

Veröffentlicht am von

Dein Benutzername und dein Passwort werden ständig abgefragt. Beispielsweise wenn du dich bei einem Onlinedienst anmelden, deine Identität bestätigen oder ein Dokument über einen Link herunterladen willst. Da es inzwischen so häufig passiert, gibt man die Daten meist automatisch tut, ganz ohne nachzudenken. Betrüger können dich jedoch dazu verleiten, deine Passwörter für E-Mail-Konten, Websites, Behörden, Banking-Dienste oder soziale Netzwerke preiszugeben. Dazu ahmen sie das Anmeldeformular des Dienstes auf ihrer eigenen (Drittanbieter-)Website nach. Lass dich nicht austricksen: Nur der E-Mail-Dienst selbst darf dich um die Bestätigung deines E-Mail-Passworts bitten – sonst niemand! Das Gleiche gilt für Behörden, Banken und Social Media.

Aber solchen Betrügereien kannst du vorbeugen. Nimm dir bei jeder Passworteingabe einen Moment Zeit und überprüfe: Wo genau meldest du dich an und in welchem Fenster wirst du nach deinen Anmeldedaten gefragt? Hier gibt es drei mögliche Hauptszenarien – zwei davon sind sicher, eines ist betrügerisch. Hier sind sie.

Sichere Szenarien für die Passworteingabe

  1. Anmeldung bei deinem E-Mail-Konto, einem sozialen Netzwerk oder einem Online-Dienst über die offizielle Website. Dieses Szenario ist am einfachsten. Du musst jedoch sicherstellen, dass du dich tatsächlich auf der echten Website befindest und dass die URL keine Fehler enthält. Wenn du auf einen Online-Dienst zugreifen möchtest, klickst du vielleicht auf einen Link in einer E-Mail oder in Suchergebnissen. Aber Vorsicht, bevor du dein Passwort eingibst! Wirf zuerst einen scharfen Blick auf die Adressleiste des Browsers. Stimmen der Name des Dienstes und die Website-Adresse? Und passen die beiden zueinander?

Warum musst du dir dafür kurz Zeit nehmen? Betrüger erstellen häufig Phishing-Kopien von legitimen Websites. Die Adresse einer Phishing-Website kann fast identisch mit dem Original sein. Manchmal unterscheiden sie sich lediglich durch ein oder zwei Buchstaben. Beispielsweise kann der Buchstabe „i“ durch ein „I“ (großes „i“) ersetzt sein. Oder eine andere Domänenzone wird verwendet.

Außerdem ist es für Betrüger kinderleicht, einen Link zu erstellen, der scheinbar zur gewünschten Website führt, dich aber tatsächlich ganz woanders hinleitet. Überzeuge dich selbst: Dieser Link führt scheinbar zu unserem Blog kaspersky.de/blog, tatsächlich landest du aber in unserem anderen Blog – securelist.com.

Unten siehst du Beispiele von echten Anmeldeseiten für verschiedene Dienste, auf denen du deinen Benutzernamen und dein Passwort sicher eingeben kannst.

Beispiele für legitime Anmeldeseiten verschiedener Dienste. Hier ist die Eingabe deiner Anmeldedaten sicher

Beispiele für legitime Anmeldeseiten verschiedener Dienste. Hier ist die Eingabe deiner Anmeldedaten sicher

  1. Anmeldung bei einer Website über einen Drittdienst. Diese Anmeldeoption ist praktisch: Du musst keine zusätzlichen Passwörter erstellen, wie ansonsten häufig bei Dateispeicherdiensten und Teamwork-Tools nötig. Solche Hilfsdienste werden gewöhnlich von großen E-Mail-Anbietern, sozialen Netzwerken oder Behörden-Websites angeboten. Auf der Login-Schaltfläche steht beispielsweise „Weiter mit Google“, „Weiter mit Facebook“ oder „Weiter mit Apple“.

Wenn du auf den Button klickst, öffnet sich ein extra Fenster des Zusatzdienstes (Google, Facebook, Apple etc.). Und das funktioniert so: Der externe Dienst überprüft deine Identität und bestätigt diese gegenüber der Website, bei der du dich anmelden möchtest. Hier musst du unbedingt die Adressen in beiden Fenstern überprüfen: Gehört das Pop-up-Fenster, das dein Passwort wissen will, tatsächlich zu dem betreffenden Zusatzdienst (z. B. Google, Facebook oder Apple)? Und gehört das Hauptfenster wirklich zu der legitimen Website, bei der du dich anmelden möchtest. In vielen Fällen informiert das Pop-up-Fenster auch darüber, bei welcher Website du dich anmeldest. Durch die Methode mit Zusatzdiensten kannst du auf die gewünschte Website zugreifen, ohne dass diese dein Passwort überhaupt sieht. Die Passwortüberprüfung übernimmt der Zusatzdienst (Google, Facebook, Apple etc.). Diese Anmeldemethode wird von Experten als Single Sign-On (SSO) bezeichnet.

Beispiel für eine SSO-Anmeldung bei eBay über einen Zusatzdienst (Google), der dein Passwort überprüft. Auch hier ist die Eingabe deiner Anmeldeinformationen sicher

Beispiel für eine SSO-Anmeldung bei eBay über einen Zusatzdienst (Google), der dein Passwort überprüft. Auch hier ist die Eingabe deiner Anmeldeinformationen sicher

Betrügerisches Szenario: Passwortdiebe

Du erhältst eine E-Mail oder Nachricht mit einem Anmeldelink, klickst darauf und landest auf einer Website, die große Ähnlichkeit mit einem echten E-Mail-Dienst, sozialen Netzwerk, Filesharing- oder E-Signatur-Dienst hat. Die Website fordert dich zur Anmeldung bei deinem Konto auf, um deine Identität zu bestätigen. Dazu sollst du direkt auf dieser Website deine E-Mail-Adresse und das Passwort für dein Konto eingeben, z. B. für dein E-Mail-Postfach, eine Behörden-Website, Online-Banking oder ein soziales Netzwerk.

In diesem Szenario gibt es entweder gar kein Pop-up-Fenster von einem echten Dienst (das im vorherigen Fall vorhanden war) oder das zusätzliche Fenster stammt ebenfalls von einer Drittanbieter-Website. Das ist ein Betrugsversuch. Jemand will dein Passwort stehlen! Eine Drittanbieter-Website kann dein Passwort nicht überprüfen. Sie kennt es nämlich gar nicht. Und Websites tauschen Passwörter niemals untereinander aus.

Ein Blick auf die Adressleiste verrät: Das ist definitiv nicht Netflix! Gib auf keinen Fall deine Zugangsdaten ein!

Ein Blick auf die Adressleiste verrät: Das ist definitiv nicht Netflix! Gib auf keinen Fall deine Zugangsdaten ein!

So schützt du dich vor Cyberkriminalität

  1. Wenn eine Website dein Passwort verlangt, überprüfe zunächst sorgfältig die Website-Adresse.
  2. Gib das Passwort für einen Dienst nur auf der offiziellen Website dieses Dienstes ein – nirgendwo sonst.
  3. Manchmal erscheint ein separates Fenster zur Passworteingabe. Ist es ein normales Browserfenster, in dem du die Adressleiste sehen kannst? Stimmt die Adresse?
  4. Betrüger können Websites nachahmen. Die falschen Adressen lassen sich kaum von echten unterscheiden. Solche Fallen kannst du vermeiden – verwende auf allen Geräten und Plattformen einen zuverlässigen Phishing-Schutz. Wir empfehlen Kaspersky Premium, den Gewinner eines Anti-Phishing-Tests im Jahr 2024.
  5. Zusätzlichen Schutz bietet ein Passwort-Manager, den du für alle deine Konten verwenden kannst. Er überprüft, ob die Adresse stimmt, und gibt deine Anmeldedaten niemals auf einer unbekannten Website ein. Ganz egal, wie überzeugend sie auch aussieht.