Erinnern Sie sich noch an jede App, die Sie heruntergeladen haben? Wahrscheinlich nicht: Im Laufe eines digitalen Lebens sammelt sich eine Vielzahl an Online-Konten und damit eine große Menge an Passwörtern an. Durchschnittlich knapp 170 Passwörter hat jeder Internetnutzer laut Schätzungen. Allerdings sind die wenigsten dieser Konten regelmäßig in Benutzung. Vielmehr handelt es sich in vielen Fällen um Test-Accounts oder Apps, die man vielleicht ein paar Mal im Urlaub benutzt und danach vergessen hat. Was Nutzer längst vergessen haben, ist für Cyberkriminelle oft ein willkommener Zugang – inaktive Konten sind schwach gesichert und daher ein unterschätztes Einfallstor, privat wie beruflich.

Datenleaks ereignen sich gefühlt täglich und jedes Mal geraten große Mengen von Login-Daten in die falschen Hände. Eine gute Datenhygiene ist deshalb Pflicht.

In diesem Blogpost zeigen wir, warum eine regelmäßige digitale Entrümpelung Sinn ergibt. 

Worin besteht überhaupt die Gefahr bei inaktiven Nutzerkonten?

Tagtäglich werden Nutzer von Werbung zu neuen, revolutionären Apps bombardiert. Die neue Foto-App, die garantiert bessere Fotos schießt als jede Profikamera, ein neues Idle-Game oder eine Diät-App, mit der die Pfunde (diesmal wirklich) nur so purzeln sollen: Solche Anwendungen sind schnell installiert und erfordern zur Nutzung in den meisten Fällen ein eigenes Nutzerkonto. Allerdings: Die App ist installiert und genauso schnell wieder vergessen. Das Konto aber bleibt bestehen. Jede vierte App wird nach der Installation nur einmal genutzt und danach nie wieder. Anstatt die Anwendung und das dazugehörige Konto zu löschen, bleibt beides bestehen.

Für die IT-Sicherheit von Nutzern kann dies fatal sein: Nutzerkonten, die über einen längeren Zeitraum inaktiv bleiben, sind laut Google oft mit alten oder wiederverwendeten Passwörtern geschützt. Damit steigt auch das Risiko, dass diese Anmeldedaten in einem Datenleck aufgetaucht sind. Darüber hinaus sind solche vergessenen Konten seltener mit einer Zweifaktor-Authentifizierung (2FA) geschützt. 

All dies macht in Vergessenheit geratene Konten zu begehrten Zielen für Angreifer. Mit unterschiedlichen Techniken versuchen sie, Zugangsdaten zu ergattern und Accounts zu übernehmen:

  • Infostealer-Malware. Das ist Schadsoftware, die auf das Sammeln von Anmeldedaten ausgelegt ist. Einem Bericht zufolge wurden im letzten Jahr 3,2 Milliarden Anmeldedaten gestohlen, die meisten davon (75 %) über Infostealer.
  • Groß angelegte Datenverstöße, bei denen Hacker ganze Datenbanken mit Passwörtern und Benutzernamen von Drittanbietern, bei denen sich Nutzer möglicherweise angemeldet haben, sammeln.
  • Credential Stuffing: Hacker geben gestohlene Anmeldedaten in automatisierte Software ein, die dann Konten entsperrt, die dasselbe Passwort verwendet
  • Brute-Force-Techniken, bei denen sie durch Ausprobieren Ihre Passwörter erraten

Diese Konsequenzen drohen Nutzern

Erhält ein Hacker erst einmal Zugriff auf ein Nutzerkonto, kann er großen Schaden anrichten:

  • Ein gekapertes E-Mail- oder Social-Media-Konto lässt sich für Spam oder Phishing missbrauchen. Diese Fake-Nachrichten sind oft so täuschend echt, dass Freunde und Bekannte darauf hereinfallen. So gelangen Angreifer an noch mehr Daten oder schleusen unbemerkt Schadsoftware ein.
  • Der Hacker kann das inaktive Konto nach persönlichen oder Bezahlinformationen durchsuchen. Diese nutzt er dann für Identitätsbetrug oder zum Versenden weiterer Phishing-E-Mails, mit denen er weitere Informationen ergaunert. Gespeicherte Karten sind möglicherweise abgelaufen, aber nicht abgelaufene Karten könnten für betrügerische Transaktionen in Ihrem Namen verwendet werden.
  • Gekaperte Konten sind unter Umständen wertvoll. Cyberkriminelle verkaufen deshalb gerne Treue- oder Bonusmeilenkonten im Dark Web.

Inaktive Geschäftskonten sind ebenfalls ein attraktives Ziel, da sie Angreifern einen einfachen Zugang zu sensiblen Unternehmensdaten und -systemen verschaffen können. Oft stehlen sie diese Daten und verlangen Lösegeld für die Freigabe. Manche der gravierendsten Cyberangriffe der letzten Jahre begannen genau dort: bei einem vergessenen Login.:

  • Der Ransomware-Angriff auf Colonial Pipeline im Jahr 2021 begann mit einem inaktiven VPN-Konto, das gekapert wurde. Der Vorfall führte zu erheblichen Kraftstoffengpässen an der gesamten Ostküste der USA.
  • Ein Ransomware-Angriff im Jahr 2020 auf den Londoner Stadtteil Hackney ging teilweise auf ein unsicheres Passwort für ein inaktives Konto zurück, das mit den Servern des Stadtrats verbunden war.

Zeit, auszumisten!

Die Gefahr ist bekannt, nun gilt es zu handeln. Einige Dienstleister schließen inaktive Konten nun automatisch nach einer bestimmten Zeit, um Rechenressourcen freizugeben, Kosten zu senken und auch die Sicherheit für ihre Kunden zu erhöhen. Dazu gehören Google, Microsoft und X.

Nutzer sollten sich nicht darauf verlassen, dass bis zur Löschung kein Hacker sein Glück versucht und der Dienstleister das Konto rechtzeitig deaktiviert. Nutzer sollten die folgenden Ratschläge beachten: 

  • Überprüfen Sie regelmäßig alle inaktiven Konten und löschen Sie diese. Eine gute Möglichkeit, diese zu finden, ist die Suche in Ihrem E-Mail-Posteingang nach Stichwörtern wie „Willkommen”, „Konto bestätigen”, „Kostenlose Testversion”, „Vielen Dank für Ihre Anmeldung”, „Bestätigen Sie Ihr Konto” usw.
  • Kontrollieren Sie die Löschrichtlinien des Kontoanbieters. So können Sie sicherstellen, dass alle persönlichen und finanziellen Daten definitiv gelöscht werden, wenn Sie das Konto schließen.
  • Überlegen Sie zweimal, bevor Sie sich bei einem neuen Dienst oder einer neuen App anmelden. 

Konten, die bestehen bleiben sollen, sollten mit einem starken, einzigartigen Passwort gesichert sein. Ein Passwortmanager hilft bei der Erstellung, Speicherung und Verwaltung von Zugangsdaten. Darüber hinaus sollten Nutzer bei allen Konten, die es erlauben, eine Zweifaktor-Authentifizierung implementieren. Somit können Hacker nicht auf Accounts zugreifen, selbst wenn sie an die Login-Daten gelangt sein sollten. Außerdem sollten Nutzer sich niemals in öffentlichen WLANs bei sensiblen Konten anmelden. Öffentliche WLANs laden förmlich dazu ein, Daten abzufangen – besonders wenn keine zusätzliche Absicherung wie ein VPN genutzt wird. Ein VPN-Dienst hilft hier, indem er die Daten, die vom Gerät versendet werden, verschlüsselt und somit schützt. 

Ein paar Minuten Aufräumen können verhindern, dass vergessene Logins zu offenen Türen für Hacker werden. Unser Tipp: Nehmen Sie sich heute kurz Zeit – bevor es jemand anderes tut.