Derzeit überschlagen sich wieder die Meldungen, das es wieder 18 Millionen von Identitätsdiebstahl betroffene E-Mail-Adressen gibt.

Hierbei wird oft nicht “E-Mail-Adressen” geschrieben sondern direkt “E-Mail-Postfächer”.

Ebenso wird häufig auf angeblich sichere Mailanbieter verwiesen welche eine Verschlüsselung einsetzen (gemeint ist meist ein Abruf der Mails per SLL).

Beides sind leider einfach sehr schlichte, und in der Sache falsche Aussagen.

Was ist passiert?
Es wurde eine (oder mehrere) Datenbanken gestohlen in denen Mailadressen als Benutzernamen gespeichert waren. Diese waren wohl, ebenso wie die Passwörter, unverschlüsselt.

Da die Mailadresse häufig als Benutzername verwendet wird und die Benutzer meist identische Passwörter für verschiedene Dienste nutzen, ist die die Wahrscheinlichkeit sehr hoch, sich mit diesen Daten auch an anderen Stellen einloggen zu können und das entsprechende Konto bei facebook, google+, ebay, amazon, paypal, … übernehmen zu können. Somit also die Identität dort zu stehlen bzw. im falschen Namen einzukaufen.

Das kann natürlich auch das E-Mailkonto selbst betreffen wenn hier auch das gleiche Passwort verwendet wird.

Nun wird überall empfohlen, die Passwörter zu ändern und auf sichere Mailanbieter zu wechseln. Grundsätzlich eine gute Idee, aber nur ein halber Ansatz.

Ich halte folgendes für wichtig:

Das Passwort für das E-Mailkonto sollte immer komplex sein und nur für diesen Zugang verwendet werden. Eine SSL Verschlüsselung ist gut, hilft hierbei aber überhaupt nicht weiter. Auch ist eine SSL Verschlüsselung keine Verschlüsselung der Mail. Nur der Transport vom eigenen Konto auf den eigenen Rechner wird geschützt. Der restliche (und damit überwiegende) Transportweg erfolgt unverschlüsselt.

Nutzen Sie, wo es wichtig und möglich ist, eine Zwei-Faktor-Authentifizierung. Das geht bspw. bei facebook, google, paypal, Banken,… Hier müssen Sie neben dem Passwort noch eine weitere Information eingeben welche meist nur begrenzt gültig ist. Bspw. eine SMS oder eine Zahl über den Google Authenticator.

Hier kann man übrigens schauen ob die Adresse evtl. irgendwo gelistet war oder ist: https://haveibeenpwned.com/

Übrigens: Es gibt jetzt auch Dienste, die möchten die E-Mailadresse/Benutzernamen UND das Passwort wissen zur Überprüfung. So etwas sollte man natürlich niemals (<- da steht NIEMALS!!!) machen. Solche Seiten erhalten dann genau die Informationen welche man verbergen möchte.