Cyber-Angreifer nutzen verschiedene Taktiken, um an deine Passwörter und persönlichen Daten zu gelangen. Auf dieser Seite erfährst du, wie diese Angriffe funktionieren, an welchen Warnzeichen du sie erkennst, und vor allem: wie du dich davor schützen kannst. Wissen ist die beste Verteidigung!
1. Starke Passwörter: Mindestens 12 Zeichen mit
Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen
2. Zwei-Faktor-Authentifizierung (2FA): Aktiviere
diesen extra Schutz auf E-Mail, Banking, Social Media. Selbst wenn
dein Passwort gehackt wird, bleibt dein Konto sicher.
3. Passwort-Manager: Nutze Dienste wie diese
Webseite. Sie speichert sichere Passwörter und erkennt auch
Phishing!
4. Aktuelle Software: Halte dein Betriebssystem,
Browser und Antivirus immer aktuell.
5. Sei skeptisch: Wenn etwas verdächtig wirkt, ist es
wahrscheinlich ein Angriff. Zögere nicht, Anfragen zu hinterfragen.
6. Einzigartige Passwörter: Nutze nicht das gleiche
Passwort überall. Falls eins gehackt wird, sind die anderen sicher.
7. Überprüfe deine Konten regelmäßig:
Schau in die Aktivitätsprotokolle. Gibt es verdächtige Logins?
Was ist Phishing?
Phishing ist eine Betrugsmethode, bei der Angreifer sich als
vertrauenswürdige Organisation ausgeben, um Benutzer dazu zu
verleiten, sensible Informationen wie Passwörter, Kreditkartendaten
oder persönliche Daten preiszugeben.
Wie funktioniert es?
Der Angreifer versendet gefälschte E-Mails, die so aussehen, als
würden sie von PayPal, deiner Bank oder Amazon stammen. Diese E-Mails
enthalten einen dringenden Grund (z.B. „Aktualisiere dein Passwort
sofort") oder locken mit Versprechungen. Ein Link führt zu einer
gefälschten Website, die das Original täuschend echt nachahmt. Wenn du
deine Daten eingibst, landen sie beim Angreifer.
Beispiele:
• Bank-Phishing: „Lieber Kunde, wir haben verdächtige
Aktivitäten in deinem Konto festgestellt. Bitte bestätige deine
Identität unter diesem Link: [gefälschter Link]"
• PayPal-Phishing: „Dein PayPal-Konto wird in 24
Stunden gesperrt, wenn du nicht dein Passwort überprüfst."
• Amazon-Phishing: „Es gibt ein Problem mit deiner
Zahlungsmethode. Bitte aktualisiere deine Kreditkartendaten sofort."
Warnzeichen:
✗ Verdächtige E-Mail-Adressen (z.B. paypal.com-security.fake.de)
✗ Generische Anrede („Lieber Kunde" statt deinem Namen)
✗ Dringende Handlungsaufforderung („Sofort handeln!", „Konto wird
gesperrt")
✗ Verdächtige Links (fahre mit der Maus drüber – URL sieht anders
aus)
✗ Schlechte Grammatik/Rechtschreibung
✗ Nach Passwort oder PIN fragen (seriöse Unternehmen tun das nie!)
Schutz:
→ Überprüfe die Absender-E-Mail-Adresse genau
→ Gib die Website direkt in den Browser ein (nicht über
E-Mail-Links)
→ Überprüfe, ob die URL mit „https://" beginnt und ein Schloss-Symbol
anzeigt
→ Nutze einen Passwort-Manager – er erkennt gefälschte Websites!
→ Aktiviere Zwei-Faktor-Authentifizierung (2FA)
Was ist ein Bruteforce-Angriff?
Ein Bruteforce-Angriff ist eine Methode, um Passwörter durch
systematisches Durchprobieren zu erraten. Der Angreifer versucht
automatisch, alle möglichen Passwort-Kombinationen einzugeben, bis das
richtige gefunden wird.
Wie funktioniert es?
Eine Software oder ein Skript generiert automatisch
Passwort-Kombinationen und versucht, sich damit anzumelden. Bei
Online-Angriffen wird ein bekannter Benutzername (z.B. E-Mail-Adresse)
verwendet. Der Computer versucht dann, sich mit verschiedenen
Passwörtern anzumelden, bis der Zugang gewährt wird. Bei
Offline-Attacken (auf verschlüsselte Daten) läuft dieser Prozess ohne
Verzögerungen ab und ist viel schneller.
Beispiele:
• Ein Angreifer kennt deine E-Mail. Er nutzt ein Bruteforce-Tool, um
sich bei Gmail anzumelden. Das Programm versucht: a, b, c, ..., aa,
ab, ac, ... und so weiter. Nach Millionen Versuchen findet es
schließlich dein Passwort.
• Ein Hacker erhält die verschlüsselten Passwörter von 1 Million
Nutzern. Mit Bruteforce versucht er, diese zu entschlüsseln. Dies
dauert lang, aber mit mehreren Computern funktioniert es.
• Bei schwachen 4-stelligen PINs (0000-9999) sind nur 10.000
Kombinationen möglich – leicht zu knacken!
Wie lange dauert es?
• Passwort „1234": < 1 Sekunde
• Passwort „abcd1234": ~ 1 Minute
• Passwort „aB1!xY9$": ~ 1 Stunde
• Passwort „aBcDeF1!2@3#xYz9": ~ Millionen Jahre
Schutz:
→ Verwende lange Passwörter (mindestens 12 Zeichen)
→ Je komplexer (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen), desto
schwächer gegen Bruteforce
→ Aktiviere Zwei-Faktor-Authentifizierung – das stoppt
Bruteforce-Angriffe
→ Rate-Limiting: Gute Websites verhindern zu viele Anmeldeversuche
→ Nutze einen Passwort-Manager für komplexe Passwörter
Was ist ein Wörterbuchangriff?
Ein Wörterbuchangriff ist eine Methode, um Passwörter zu knacken,
indem der Angreifer eine Liste mit häufigen oder bekannten Wörtern
nutzt. Anstatt zufällige Kombinationen zu probieren, versucht der
Angreifer Passwörter aus einer „Wörterbuch-Datenbank". Dies ist viel
schneller als Bruteforce.
Wie funktioniert es?
Der Angreifer sammelt eine Liste häufig genutzter Passwörter:
• Einfache Wörter (Passwort, Hallo, Schatz, 123456)
• Monatsnamen, Wochentage, Jahreszeiten
• Häufige Eigennamen
• Früher gehackte und veröffentlichte Passwörter
Das Programm modifiziert die Wörter dann: Passwort → PASSWORD,
Passwort1, Passwort123, P@sswort!, etc.
Die 20 häufigsten Passwörter sind:
123456 · password · passwort · 123456789 · 12345678 · 12345 · 1234567
· password123 · 123123 · 1234567890 · admin · qwerty · abc123 · ...
Beispiele:
• Ein Angreifer hat die gehackten Passwörter von Twitter. Er nutzt ein
Wörterbuchangriff-Tool. Viele Passwörter wie „password123", „123456",
„letmein" werden sofort identifiziert.
• Du nutzt das Passwort „Schatz1234". Ein Hacker probiert alle
Kombinationen aus einer Wörterbuch-Liste. Nach hundert Versuchen
funktioniert es!
• Eine Datenbank mit 1 Million gehackten Passwörtern wird mit einem
Wörterbuch verglichen. 80% der Passwörter werden in Sekunden
identifiziert.
Unterschied zwischen Wörterbuch und Bruteforce:
• Wörterbuchangriff: Schnell (realistisch), aber nur
gegen schwache Passwörter erfolgreich
• Bruteforce: Langsam, aber funktioniert gegen jedes
Passwort (nur Zeitfrage)
Schutz:
→ Verwende KEINE einfachen Wörter (Passwort123, Schatz2024 sind
unsicher!)
→ Nutze zufällige Passwörter mit Groß-, Kleinbuchstaben, Zahlen und
Sonderzeichen
→ Mindestens 12-16 Zeichen
→ Nutze einen Passwort-Generator
→ Überprüfe auf haveibeenpwned.com, ob dein Passwort gehackt wurde
→ Aktiviere 2FA – auch wenn das Passwort geknackt wird, bist du
geschützt
Was ist Social Engineering?
Social Engineering ist eine Methode, um Menschen durch psychologische
Manipulation zu betrügen und vertrauliche Informationen preiszugeben.
Angreifer nutzen menschliche Gefühle wie Angst, Vertrauen, Neugier
oder Hilfsbereitschaft aus. Es zielt auf den „schwächsten Link" ab –
den Menschen.
Häufige Methoden:
• Pretexting: Ein Angreifer gibt sich als IT-Support
aus: „Ich führe eine Sicherheitsüberprüfung durch. Gib mir dein
Passwort."
• Baiting: Ein USB-Stick mit dem Label
„Gehalt_2024.xlsx" wird im Parkplatz gefunden. Du öffnest ihn –
Malware installiert sich!
• Tailgating: Ein Unbefugter folgt dir durch eine
verschlossene Tür ins Bürogebäude, indem er so tut, als gehöre er
dazu.
• Authority (Autoritätsprinzip): Ein Angreifer gibt
sich als dein Chef aus: „Überweis sofort 5.000 Euro auf dieses
Konto."
• Scarcity (Knappheit): Künstliche Dringlichkeit:
„Diese Aktion gilt nur heute! Bestelle schnell!"
Beispiele:
• CEO-Betrug: Eine E-Mail kommt angeblich vom CEO:
„Ich bin in einem Meeting. Kannst du schnell 50.000 Euro überweisen?"
Die E-Mail-Adresse ähnelt der echten, ist aber eine Fälschung.
• Telefon-Betrug (Vishing): Ein Angreifer ruft an:
„Ich bin von deiner Bank. Wir haben verdächtige Transaktionen
festgestellt. Gib mir deine PIN zur Überprüfung." Echte Banken fragen
das NIEMALS!
• Fake Support Chat: „Ihr Microsoft-Computer hat ein
kritisches Update. Ein Techniker wird Sie kontaktieren." Der Link
führt zu Malware.
• USB-Baiting im Firmenparkplatz: Du findest einen
USB-Stick mit dem Label „CONFIDENTIAL_2024". Du steckst ihn in deinen
Computer – Malware infiziert dein System!
Schutz:
→ Überprüfe die Identität von Anfragen – ruf die Person direkt an
(verwende eine bekannte Nummer)
→ Seriöse Organisationen fragen NIEMALS Passwörter oder PINs per
E-Mail/Telefon
→ Nimm keine USB-Sticks von unbekannten Quellen an
→ Wenn etwas zu gut klingt, um wahr zu sein, ist es wahrscheinlich ein
Betrug
→ Denk vor du handeln – Social Engineer nutzen Druck und
Dringlichkeit
→ Aktiviere 2FA – Angreifer können auch mit deinem Passwort nicht
eindringen
Was ist ein Keylogger?
Ein Keylogger ist ein Programm oder Gerät, das alle Tastenanschläge
aufzeichnet, die du an deiner Tastatur machst. Das umfasst alles –
Passwörter, E-Mails, Chat-Nachrichten, Suchverlauf und persönliche
Daten.
Typen von Keyloggern:
• Software-Keylogger: Ein Programm auf deinem
Computer (durch Malware oder gefälschte Downloads installiert). Es
läuft unsichtbar im Hintergrund.
• Hardware-Keylogger: Ein physisches Gerät zwischen
Tastatur und Computer. Der Angreifer muss es später abholen oder die
Daten abholen.
• Wireless-Keylogger: Ein USB-Gerät, das kabellos
Tastenanschläge übermittelt.
Beispiele:
• Internet-Café-Szenario: Du loggerst dich beim
Banking an. Unbekannt dir ist, dass zwischen Tastatur und Computer ein
Hardware-Keylogger installiert wurde. Dein Passwort wird aufgezeichnet
– der Angreifer stiehlt später Geld von deinem Konto.
• Software-Keylogger durch Virus: Du downloadest eine
kostenlose App. Sie installiert heimlich einen Keylogger. Nun werden
deine Passwörter für alle Konten aufgezeichnet.
• Keylogger auf dem Smartphone: Eine bösartige App
gibt vor, ein Spiel zu sein. Der Keylogger erfasst deine PIN und
Passwörter bei der Eingabe.
• Betriebliche Überwachung: Ein Arbeitgeber
installiert einen Keylogger auf den Unternehmenscomputern (verstößt
gegen Datenschutz, tritt aber auf).
Anzeichen eines Keyloggers:
Unerklärliche Verlangsamung des Computers
Neue Tastatur-Kabel oder USB-Geräte zwischen Tastatur und Computer
Dein Passwort funktioniert nicht oder dein Konto wurde missbraucht
Unerkannte Anmeldungen in deinen Konten von fremden Orten
Antivirus-Warnungen bei Malware-Verdacht
Schutz:
→ Halte dein Betriebssystem und Antivirus-Software immer aktuell
→ Lade nur von vertrauenswürdigen Quellen herunter
→ Überprüfe deine Tastatur regelmäßig auf verdächtige Geräte
→ Verwende die On-Screen-Tastatur (mit der Maus) für sensible
Passwörter – Keylogger erfassen die nicht!
→ Nutze einen Passwort-Manager – dieser gibt Passwörter direkt ein,
ohne dass du sie tippst
→ Vermeide öffentliche Computer für sensible Transaktionen
→ Aktiviere 2FA
Was ist Ransomware?
Ransomware ist Schadsoftware, die alle Dateien auf einem Computer verschlüsselt und nur gegen Zahlung eines Lösegelds – meist in Kryptowährung – wieder freigibt. Selbst nach der Zahlung gibt es keine Garantie auf Wiederherstellung.
Wie funktioniert es?
Die Infektion erfolgt oft über Phishing-E-Mails oder unsichere Remote-Zugänge. Die Malware erkundet das Netzwerk, deaktiviert Backups und verschlüsselt dann alle erreichbaren Dateien. Anschliessend erscheint eine Lösegeldforderung.
Bekannte Varianten:
• WannaCry (2017): Befiel über 200'000 Computer in 150 Ländern in wenigen Stunden.
• LockBit: Nutzt «doppelte Erpressung» – Daten werden gestohlen und verschlüsselt.
• RaaS: Ransomware-as-a-Service – Kriminelle mieten die Infrastruktur, kein technisches Wissen nötig.
Schutz:
→ Regelmässige Offline-Backups (3-2-1-Regel)
→ Software und Betriebssystem aktuell halten
→ Niemals Lösegeld zahlen
→ Mehr erfahren: Ransomware →
Was ist MFA-Bypass?
Multi-Faktor-Authentifizierung schützt Konten durch einen zweiten Faktor. MFA-Bypass bezeichnet Techniken, mit denen Angreifer diesen Schutz gezielt umgehen – etwa durch Push-Bombing, SIM-Swapping oder Echtzeit-Phishing.
Häufige Techniken:
• MFA Fatigue: Angreifer senden Dutzende Push-Anfragen, bis das Opfer aus Erschöpfung bestätigt.
• SIM-Swapping: Die Telefonnummer wird auf eine fremde SIM übertragen – der Angreifer empfängt alle SMS-Codes.
• Session-Token-Diebstahl: Nach dem Login stiehlt Malware das Browser-Cookie und überspringt die MFA vollständig.
Schutz:
→ Hardware-Schlüssel (FIDO2/YubiKey) verwenden – phishing-resistent
→ Unerwartete Push-Anfragen immer ablehnen
→ SMS-MFA durch Authenticator-App ersetzen
→ Mehr erfahren: MFA-Bypass →
Welche Angriffsmethode wird in jedem Szenario beschrieben?