München / Nürnberg - Ein abgeschlossenes Strafverfahren im Raum Nürnberg/Roth zeigt, wie aus gestohlenen Zugangsdaten konkrete Straftaten und reale finanzielle Schäden entstehen können. Die verurteilten Täter missbrauchten systematisch Nutzerkonten und handelten entsprechende Zugangsdaten über Messenger-Dienste und geschlossene Online-Gruppen.
Der Fall macht deutlich: Digitaler Datendiebstahl ist häufig nicht das Ende, sondern erst der Beginn einer weiteren Missbrauchskette. Für Betroffene kann daraus ein konkreter Schaden entstehen, etwa durch unberechtigte Bestellungen, den Missbrauch von Kundenkonten oder das Einlösen von Guthaben und Bonuspunkten.
Vom Datenleck zum Betrug
Die Ermittlungen zeigten ein typisches Vorgehen, das sich in drei Schritte unterteilen lässt:
1. Beschaffung von Zugangsdaten
Zugangsdaten wie E-Mail-Adressen und Passwörter gelangen auf unterschiedlichen Wegen in kriminelle Hände — etwa durch Datenlecks bei Online-Diensten, Phishing oder Schadsoftware. Solche Daten werden anschließend in einschlägigen Online-Gruppen gehandelt oder weitergegeben.
2. Automatisierte Prüfung der Konten
Mit automatisierten Programmen prüften die Täter, ob die erbeuteten Zugangsdaten noch funktionierten. Besonders gefährlich wird dies, wenn Nutzerinnen und Nutzer dasselbe Passwort bei mehreren Diensten verwenden. Dann kann ein einziges bekannt gewordenes Passwort ausreichen, um auch andere Konten zu übernehmen.
3. Missbrauch aktiver Konten
Wurde ein Konto erfolgreich übernommen, nutzten die Täter es für weitere Straftaten. Im vorliegenden Fall wurden unter anderem Kunden- und Bonusprogrammkonten missbraucht, Guthaben und Treuepunkte eingelöst sowie Waren über fremde Konten bestellt. Auch das Abfangen von Paketsendungen wurde als Methode genutzt oder vorbereitet, um die Beute physisch zu erhalten.
Ein Risiko für viele Internetnutzerinnen und Internetnutzer
Der Fall zeigt, dass nicht nur Bankkonten oder E-Mail-Postfächer für Täter interessant sind. Auch Konten bei Online-Shops, Bonusprogrammen, Lieferdiensten oder sozialen Netzwerken können einen wirtschaftlichen Wert haben und für Betrug genutzt werden.
Für Betroffene ist häufig schwer erkennbar, wann und wo die eigenen Daten abgeflossen sind. Ein Datenleck bei einem einzelnen Online-Dienst kann ausreichen, damit Täter versuchen, dieselben Zugangsdaten auch bei anderen Anbietern einzusetzen. Umso wichtiger ist es, regelmäßig zu prüfen, ob die eigene E-Mail-Adresse bereits in bekannten Datenlecks aufgetaucht ist.
So können Sie sich schützen
Stellen Sie sich vor, Sie würden für Ihre Wohnung, Ihr Auto, Ihr Büro und Ihr Bankschließfach denselben alten Schlüssel ohne Sicherheitsmerkmale verwenden. Geht dieser eine Schlüssel verloren oder wird kopiert, stehen plötzlich viele Türen offen. Genau das passiert im digitalen Raum, wenn dasselbe Passwort bei mehreren Diensten genutzt wird.
Das Bayerische Landeskriminalamt empfiehlt daher:
Prüfen Sie, ob Ihre Daten bereits in bekannten Datenlecks auftauchen.
Ein einfacher erster Schritt ist die Nutzung eines seriösen Leak-Checkers. Besonders niedrigschwellig und datenschutzfreundlich ist der HPI Identity Leak Checker des Hasso-Plattner-Instituts. Dort können Bürgerinnen und Bürger prüfen lassen, ob ihre E-Mail-Adresse in bekannten Datenlecks gefunden wurde. Die Rückmeldung erfolgt per E-Mail.
Auch Warnfunktionen moderner Passwortmanager und andere seriöse Leak-Warndienste können hilfreich sein. Wichtig ist: Ein Leak-Checker ersetzt keine Anzeige und keine technischen Schutzmaßnahmen. Er kann aber frühzeitig zeigen, ob Zugangsdaten oder Identitätsdaten bereits im Umlauf sind.
Verwenden Sie nicht denselben „Schlüssel“ für mehrere Konten.
Nutzen Sie für jeden Online-Dienst ein eigenes Passwort. Ein Passwortmanager hilft dabei, starke und unterschiedliche Passwörter sicher zu verwalten. So führt ein Datenleck bei einem Anbieter nicht automatisch dazu, dass auch andere Konten gefährdet sind.
Nutzen Sie Passkeys oder Zwei-Faktor-Authentisierung.
Wo möglich, sollten Passkeys verwendet werden. Sie ersetzen das klassische Passwort durch ein besonders sicheres Anmeldeverfahren, das zum Beispiel über Smartphone, Fingerabdruck, Gesichtserkennung, Geräte-PIN oder Sicherheitsschlüssel freigegeben wird. Ein Passwort muss dabei nicht mehr eingegeben werden.
Passkeys sind besonders wirksam gegen Phishing, weil sie nur bei der echten Webseite oder App funktionieren. Täter können Nutzerinnen und Nutzer dadurch deutlich schwerer dazu bringen, verwertbare Zugangsdaten auf einer gefälschten Seite einzugeben.
Wenn ein Dienst keine Passkeys anbietet, sollte zumindest die Zwei-Faktor-Authentisierung aktiviert werden. Das bedeutet: Neben dem Passwort wird ein zweiter Nachweis benötigt, zum Beispiel ein einmaliger Code aus einer App oder eine Freigabe auf dem Smartphone. Dadurch reicht ein gestohlenes Passwort allein nicht aus, um ein Konto zu übernehmen.
Klicken Sie nicht auf Anmeldelinks in verdächtigen Nachrichten.
Wenn Sie per E-Mail oder SMS aufgefordert werden, über einen Link Zugangsdaten einzugeben: Finger weg. Öffnen Sie die Webseite des Anbieters stattdessen direkt über den Browser, ein gespeichertes Lesezeichen oder die offizielle App.
Wenn Sie unsicher sind, nehmen Sie Kontakt über einen bekannten Weg auf — telefonisch, über die offizielle Kundenhotline oder persönlich in der Filiale oder im Geschäft.
Kontrollieren Sie Ihre Konten regelmäßig.
Achten Sie auf unbekannte Bestellungen, neue Lieferadressen, geänderte Zahlungsdaten, eingelöste Bonuspunkte oder unbekannte Geräte in Ihrem Konto.
Was tun im Verdachtsfall?
Wenn Sie vermuten, dass ein Konto übernommen wurde, ändern Sie sofort das betroffene Passwort, melden Sie aktive Sitzungen ab und aktivieren Sie Passkeys oder Zwei-Faktor-Authentisierung. Informieren Sie bei Zahlungsbezug Ihre Bank oder den betroffenen Zahlungsdienstleister.
Erstatten Sie außerdem Anzeige bei der Polizei und sichern Sie mögliche Nachweise, zum Beispiel E-Mails, Bestellbestätigungen, Screenshots oder Transaktionsdaten.
Der Fall zeigt: Auch scheinbar weniger sensible Kundenkonten können für Täter wertvoll sein. Wer Passwörter mehrfach verwendet oder keine zusätzlichen Schutzmechanismen nutzt, erhöht das Risiko, dass ein einzelnes Datenleck weitere Kontoübernahmen ermöglicht. Leak-Checker wie der HPI Identity Leak Checker können helfen, solche Risiken früher zu erkennen und rechtzeitig Schutzmaßnahmen zu ergreifen.
Weiterführende Informationen
• BSI: Passkeys - anmelden ohne Passwort
• BSI: Zwei-Faktor-Authentisierung
• Polizeiliche Kriminalprävention: Sicher handeln gegen Online-Betrug