ComputerBase Menü
Aktuelles

GMX-Account "weg"

lesuf schrieb:
Ich hatte schon Mal Zugriffe auf meinen Account und eBay etc. Da wurden Sachen gekauft teure Segelboote usw.
Zum Vergrößern anklicken....
Das weist auf große Lücken in deinem Absicherungskonzept hin. Ich empfehle auch in diesem Bereich eine deutliche Umstrukturierung!
 
Zuletzt bearbeitet: (Fehler der Autokorrektur korrigiert.)
  • Gefällt mir
Reaktionen: lesuf
cartridge_case schrieb:
Macht man sowas nicht telefonisch?!
Zum Vergrößern anklicken....
Jein. Es gibt Bestätigungen zu Terminen und Lieferbestätigung per Mail. Es lässt sich schon regeln irgendwie und war nur ein Beispiel. Aber überleg Mal ich habe 100te solcher Kommunikation, das ist so so viel Arbeit das zu regeln. Zu betteln dass alle Unternehmen meine neue Mail-Adresse implementieren und das nicht ablehnen. Na Mal sehen
Ergänzung ()

Dr. McCoy schrieb:
Das weist auf große Lücken in deinem Absicherungskonzept hin. Ich empfehle auch in diesem Bereich eine deutliche Umstrukturierung!
Zum Vergrößern anklicken....
Ich gebe dir total Recht. Habe das wohl zu leichtfertig gehandhabt weil ich 20 Jahre keine Probleme mit der Adresse hatte. Dann vor 1 Jahr einen Zugriff und alles nach Plan gemacht, Virenscan alle Passwörter geändert usw. Es kann tatsächlich sein dass ich versehentlich nochmal das Passwort in ein altes gewechselt habe, das erinnere ich nicht.
Ich muss mich mehr reinfuchsen in das Thema. Habe jetzt bei mail.de eine Adresse eingerichtet, sieht gut aus. Möchte dann über 2FA das machen. Dazu informiere ich mich wenn der Stress geregelt ist. Ärgerlich 😞
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Dr. McCoy
Eine weitere Ergänzung: Du kannst auch externe Hilfe einbinden, wie z.B. hier via "teltarif hilft" erfolgt:
https://www.teltarif.de/teltarif-hilft-gmx-postfach-gehackt-kein-zugang-mehr/news/88157.html

Da ging es zwar um kein gelöschtes Mailkonto, aber dennoch wäre es einen Versuch wert.

Denn im Normalfall stellt GMX nichts Gelöschtes wieder her:
https://hilfe.gmx.net/email/verwalten-und-suchen/emails-im-papierkorb.html
Endgültig gelöschte E-Mails können nicht wiederhergestellt werden.
Zum Vergrößern anklicken....

Da dem hier aber ein Account-Hack vorausging, und gleich das ganze Konto gelöscht wurde, würde ich dennoch alles im Nachgang probieren, was an Aufwand möglich ist. Kontakt "teltarif hilft": https://www.teltarif.de/tag/autor/alexander-kuch/
 
Da ein von einem Dritten (Unbefugten) "gelöschtes Konto" ein Worst Case ist, kann man dem fast ausschließlich durch vorbeugende Maßnahmen begegnen. "Fast ausschließlich" deswegen, weil der ein oder andere Provider ggf. Wiederherstellungen aus einem providerseitigen Backup anbietet. Aber eben nur, wenn es auch fester Bestandteil des zwischen Nutzer und Anbieter geschlossenen Vertrags ist.


Da der E-Mail-Account sehr überwiegend (bzw. mehrere, je nach Anwendung) als die zentrale Schnittstelle für Anmeldungen im Internet verwendet wird, liegt er im Fokus potentieller Cracker.

Was also ist präventiv wichtig für E-Mail-Konten?

  1. Alle zur Registrierung und späteren Nutzung verwendeten Systeme (Betriebssystem, Smartphone-Firmware, E-Mail-Programm, Browser bzw. Apps) müssen stets auf dem aktuellsten Stand sein, da der Einsatz veralteter Software, für die es vom Hersteller keine Aktualisierungen mehr gibt, das Risiko von Accountübernahmen durch Malware-Infektionen mittels Exploits oder das Ausnutzen von Sicherheitslücken (z.B. Cross-Site-Scripting) deutlich vergrößert. Auch können in einer alten Software fehlende Sicherheitsfeatureseinen klaren Nachteil für den Anwender darstellen.
    1. In diesem Zusammenhang ist auch darauf zu achten, Logins in den E-Mail-Account nur über vertrauenswürdige Systeme und Netzwerkverbindungen durchzuführen, deren Sicherheitszustand man als hinreichend abschätzen kann. Beispielsweise sind öffentlich zugängliche PCs oder Laptops in Internetcafes oder Hotels keine solche sichere Basis und dürfen für Logins nicht genutzt werden, wenn man nicht seinen Account riskieren möchte. Hier ist stattdessen die Nutzung eines eigenen Smartphones oder Laptops mit "eigener" Internetverbindung ("Mobile Daten") das Mittel der Wahl.
    2. Betriebssysteme, die mit Malware infiziert sind oder waren (letzteres, ohne sie neu aufgesetzt oder ein sauberes Image eingespielt zu haben), oder bekanntermaßen anfällige Router (z.B. bei existierenden Exploits), für die es keine Firmwareupdates mehr gibt und die dadurch Gefahr laufen, z.B. in Botnetze integriert zu werden, dürfen nicht als Basis für Einrichtung oder Nutzung von E-Mail-Konten verwendet werden!
    3. Risikovoll sind ebenfalls Logins auf Systemen von z.B. Freunden und Bekannten, wenn bei ihnen z.B. eine Malware-Infektion vorlag bzw. vorliegt (oft sinngemäß zu hören oder zu lesen: "Jo, hatte neulich einen Virus."). Solche Systeme sind dann ebenfalls nicht vertrauenswürdig.
  2. Ein weiterer wichtiger Punkt ist die sorgsame Auswahl des E-Mail-Providers. Da spielen Faktoren wie Erreichbarkeit im dringenden Supportfall ggf. auch an Wochenenden, die Möglichkeit einer 2FA, der sichere Umgang mit Kundendaten, auf Wunsch ein regelmäßiges providerseitiges Backup der E-Mails, usw. eine Rolle. Übernahmen fremder Accounts finden oft an Wochenenden statt, bzw. zu Zeiten, innerhalb derer (große) Provider bekanntermaßen keinen Anwendersupport leisten. Dies gibt ihnen alle Zeit, alle möglichen Veränderungen zu ihren Gunsten vorzunehmen, ohne dass ihn jemand daran hindern würde.
    1. Empfehlenswert hinsichtlich Sicherheitsfeatures und Datenschutz sind z.B. Mailbox.org und Posteo.de (beide kostenpflichtig, aber kein Support am Wochenende, jedoch individueller als bei den großen "Massen-Providern").
    2. Sehr sinnvoll und nachhaltig kann auch der Betrieb "eigener" Domains bei einem Web-/Mailhostersein (ebenfalls kostenpflichtig), diese Adresse geht nie verloren, und kann im Laufe der Jahre ggf. immer wieder problemlos zu einem anderen Anbieter umgezogen werden, außerdem hat man hier die Möglichkeit, sehr leicht selbst viele verschiedene E-Mail-Adressen einzurichten.
      1. Beispiele dazu mit erschwinglichen Preisen sind z.B. Netcup oder Manitu.
    3. Der Vollständigkeit halber erwähne ich an dieser Stelle auch noch die Option, einen eigenen Mailserver zu betreiben. Dies jedoch erfordert alleine schon aus Sicherheitsgründen Fachkenntnisse, die insbesondere "IT-Laien" fehlen.
  3. Ein großer Vorteil für den Endanwender kann das Einrichten mehrerer E-Mail-Accounts (mit verschiedenen Adressen) zu unterschiedlichen Zwecken sein, die allerdings nicht untereinander "verknüpft" sein dürfen (also nicht die jeweils andere Adresse als Wiederherstellungsadresse eintragen). So kann man z.B. eine Adresse für Newsletter, Forenlogins oder andere weniger sensible Inhalte verwenden, eine weitere für sehr sensible Dinge wie Geschäftliches bzw. Onlineshopping oder allg. Logins, die persönliche Daten hinterlegt haben, und eine dritte für Privates (Familie, Freunde). Dies kann natürlich noch beliebig aufgefächert werden.
  4. Für jeden Login im Web, also nicht nur die E-Mail-Accounts, muss ein jeweils stark unterschiedliches und dabei komplexes Passwort gewählt werden. Gleiche oder ähnliche verwendete Passwörter stellen nämlich ein sehr häufiges, sperrangelweit offenstehendes "Einfallstor" in Accounts dar! Komplexe Passwörter können beispielsweise mit Passwortmanagern erstellt und verwaltet werden.
    1. Eine Empfehlung in dieser Hinsicht kann KeePassXC sein.
  5. Im Zuge der Inbetriebnahme des E-Mail-Kontos ist am besten gleich eine 2FA (Zwei-Faktor-Authentifizierung) einzurichten. Damit wird festgelegt, dass ein Login in Euer Konto nur mit einem zweiten Faktor, den Ihr bestätigen müsst, erfolgen kann. Hin und wieder wird dieser zweite Faktor noch mit einer SMS oder einem zweiten und verknüpften E-Mail-Konto angeboten, davon rate ich jedoch ab. Verwendet stattdessen eine App wie Aegis oder den Authenticator Pro auf Eurem Smartphone.
    1. Dies erfordert als Grundlage ein aktuelles Smartphone, das die Inhalte auf dem Gerät automatisch verschlüsselt (also kein altes Android verwenden, mit dem keine automatisch voraktivierte Verschlüsselung verbunden ist!), und einen gut gesicherten Login auf Euer Smartphone (ergo kein einfaches Entsperrmuster, kein einfaches Passwort).
  6. Trotz 2FA gibt es weitere Risiken, so z.b. das Session-Hijacking, im Rahmen dessen Angreifer über Malware oder XSS-Lücken in Webbrowser Eure laufende, bereits mittels 2FA authentifizierte Session übernehmen und so direkt auf Euer Mailkonto und dessen Konfiguration Zugriff nehmen können. Vor XSS schützen ein stets aktueller Browser, ggf. ergänzend Addons wie NoScript, das Öffnen des Mail-Logins in einem separaten Browser, das Öffnen des Logins über ein Lesezeichen im Browser (aber nicht über Links aus Messengern, Mails oder von Webseiten), ebenfalls schützt die Verwendung von E-Mail-Programmen zum Abruf der Mails (Konfiguration Plaintext). Das Anzeigen von E-Mails im Plaintext-Format erleichtert zudem die schnelle Erkennung von Phishing-Mails, auf deren täuschende Inhalte Ihr nicht hereinfallen und keinesfalls auf darin enthaltene Links klicken dürft!
  7. Bei Verdacht auf Datenleaks sind umgehend die Passwörter zu ändern. Ob und ggf. in welchem Umfang in Kombination mit Euren E-Mail-Adressen Daten abgeflossen sind, könnt Ihr z.B. bei folgenden Diensten abfragen: https://haveibeenpwned.com/ + https://sec.hpi.de/ilc/search?lang=de
  8. Einem persönlich wichtige E-Mails sind in ein schlüssiges 3-2-1-1-0-Backupkonzept zu integrieren. Neben der Speicherung auf dem Mailserver empfiehlt sich ein in Mehrfachkopien abgelegtes Offline-E-Mail-Backup. Dazu werden alle E-Mails zunächst vom Mailserver lokal auf Eure Geräte heruntergeladen.
    1. Achtung, manche E-Mail-Programme, die dazu verwendet werden, müssen erst so umkonfiguriert werden, dass auch wirklich alle E-Mail offline (bei Euch auf dem Gerät) gespeichert werden! Kontrolliert das genau, dafür steht u.a. die "0" am Ende des 3-2-1-1-0-Konzepts, nämlich für "null Fehler". Ein schwerwiegender Fehler wäre es nämlich, wenn man denkt, alle Mails lägen offline vor, ohne dass dies wirklich der Fall ist.
    2. Dazu gut geeignete Programme sind z.B. Mailstore Home, (Portable) Mozilla Thunderbird (IMAP + Offline verfügbar machen).




Hinweis: Die obige Auflistung ist noch nicht vollständig, das Hinzufügen weiterer (z.B. Phishing-Schutz, Browser-Schutz, Auffinden von Daten-Leaks via hibp bzw. hpi, verschlüsselte / signierte E-Mails, etc.) bzw. das Anpassen bereits genannter Infos sowie das Einbringen von Verlinkungen hole ich noch nach, muss gerade nur eine Pause einlegen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: X-Worf, NMA, Brati23 und 15 andere
Ich danke dir, ihr seid Klasse wirklich! Ich bin seit ich 13 bin also 25 Jahre irgendwie mit Computerzeugs am laufen, aber komisch dass ich erst JETZT bei Computerbase lande lol.

Ich habe teltarif und Alexander (danke für den Verweis) mal angeschrieben. Ich bin mal gespannt was dabei rauskommt. Ein Versuch ist es wert!!! Danke für deine Hilfe und wie akribisch du dich rantastest an die Maßnahmen, das ist professionell, top!

LG Stefan
 
Kundenservice erreicht. Die Sache ist gelaufen, sagt der Mitarbeiter. Keine Chance. Aber warum ging das dann bei dem teltarif Fall?! Er sagt, vor 5 Jahren wäre es möglich gewesen das Konto wieder, wegen Datenschutzverordnung können Sie meine Person nicht, aufgrund des gelöschten Kontos eindeutig zuordnen. Und auch bei Rekonstruktion, wäre das Postfach leer. Vielleicht wimmelt er auch nur ab. Keine Ahnung. Traurig alles. Total ärgerlich.
 
Hast du denn den Mailaccount in keinem Mailprogramm eingebunden? Da sind doch die Mails alle auf dem Gerät. Du musst dir dann zwar trotzdem eine neue Adresse erstellen, aber deine Mails sind wenigstens nicht weg.
 
Ja zeigt aber nur die letzen 25 oder so an, Versuche ich zu aktualisieren dann schlägt es fehl. IMAP zeigt ja nur den Spiegel im ggs zu Pop so wie ich verstehe.
 
Logisch. Immer mal wieder probieren die email Adresse neu zu erstellen.
 
Ja Zuhause Microsoft Mail App am Desktop. Glaube aber dass ich da auch nur IMAP die letzten 30 oder so habe. Also ich werde keine 1000 Mails rekonstruieren können:(
 
Dann werde ich das zukünftig verwenden. Wollte damals möglichst wenig Zusatzprogramme, nachdem ich Jahre lang mit Outlook immer viel Fummelei hatte. Dann gab's plötzlich win10 mit integriertem Mailprogramm, da dachte ich cool. Jaja das passiert ,wenn man sich aus der IT Sache rauszieht und nur noch mitschwimmt. Als Heranwachsender war ich immer gut informiert, da wo man noch CS 1.3 hatte und an irgendwelchen configs rumgebastelt hat :)
Ergänzung ()

Könnte mir jemand helfen 2FA besser zu verstehen wie läuft das genau? Sicherheitsschlüssel Bluetooth, NFC oder USB sagt mir mail.de. das heißt ich kann ähnlich wie bei chip-tan Mails nur über Desktop und Zweitgerät abrufen etc? Sorry falls die Fragen dumm sind, ich kenne 2fa nicht bisher.
 
Zuletzt bearbeitet:
2FA aus deinem Zitat: Dazu würdest du ein separates Gerät erwerben, ja.

Es geht aber auch über eine App auf dem Smartphone:

Der Authenticator
Der Authenticator stellt beim Login einen zweiten Parameter dar, der für den Zugriff auf Ihre E-Mails benötigt wird - der 6-stellige Authenticator-Code. Dieser Code wird von einer App, die für Android und iOS bereitgestellt wird, generiert. Sie finden die Apps im Apple AppStore (iPhone/iPad) bzw. im Google PlayStore (Android).
Zum Vergrößern anklicken....

Die gibt dir einen sechsstelligen Code aus, ein weiteres Gerät würdest du dann nicht benötigen.
 
Und wie würde der Zugriff vom Smartphone selbst erfolgen über mail.de App? Oder geht das dann nicht mehr? Danke
 
Bezieht sich denn die Authentifizierung auf Mailzugang über Webseiten? Über Outlook Thunderbird würde es dann weiterhin gehen ohne 2fa wie ich verstehe. Das wäre ja gut. Schneller Zugriff über persönliches device und schutz vor Fremdzugriff weil der eh von extern http erfolgt. So verstehe ich es. Na ich lese mal erstmal mehr dazu.
 
  • Gefällt mir
Reaktionen: Dr. McCoy
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
GMX Passwortänderung nicht möglich - am Schluss immer Fehlermeldung
Antworten
4
Aufrufe
1.138
Rikchen
R
shaadar
T-Online.de erkennt zwei Mailpasswörter an!
Antworten
6
Aufrufe
692
iron_monkey
I
E
Galaxy A7 (2018): gmx spielt verrückt
Antworten
13
Aufrufe
734
erichwla26
E
Eigenbrötla
GMX-Sicherheitswarnung, Databreach
2 3
Antworten
56
Aufrufe
3.700
Eigenbrötla
Eigenbrötla
Brati23
@hotmail.de Account. Auf manchen Device Passwort falsch. Keine Authentifizierung
2
Antworten
32
Aufrufe
2.863
Brati23
Brati23
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz