Passwort-Erpressung Rechner
Berechnen Sie das Risiko und die potenziellen Kosten, wenn Ihr Passwort geknackt wurde und Erpressung droht
Passwort geknackt – Erpresser fordert Geld: Was tun?
Wenn Sie eine E-Mail erhalten haben, in der behauptet wird, Ihr Passwort sei geknackt und Sie sollten Geld zahlen, um die Veröffentlichung kompromittierender Daten zu verhindern, sind Sie Opfer einer sogenannten Sextortion- oder Erpressungsmasche geworden. Diese Betrugsversuche haben in den letzten Jahren stark zugenommen und sind oft hochprofessionell aufgesetzt.
In den meisten Fällen (über 98%) handelt es sich um Bluff-E-Mails, bei denen die Angreifer kein echtes Passwort haben. Sie nutzen oft alte Datenleaks, um Glaubwürdigkeit vorzutäuschen.
Wie erkenne ich eine Erpressungs-E-Mail?
Typische Merkmale von Passwort-Erpressungs-E-Mails:
- Die E-Mail enthält eines Ihrer echten Passwörter (oft von alten Datenleaks)
- Behauptung, Sie beim Besuch erwachsener Webseiten gefilmt zu haben
- Forderung nach Zahlung in Kryptowährung (meist Bitcoin)
- Drohung, Videos oder Daten an Ihre Kontakte zu senden
- Kurze Frist für die Zahlung (oft 24-48 Stunden)
- Schlechte Grammatik oder Übersetzungsfehler
Statistiken zu Passwort-Erpressung (2023/2024)
| Kategorie | Wert | Quelle |
|---|---|---|
| Anstieg von Sextortion-E-Mails (2022-2023) | +432% | FBI IC3 Report 2023 |
| Durchschnittliche Forderungssumme | 872 € | Europol IOCTA 2023 |
| Anteil echter Angriffe (mit echtem Kompromittierungsmaterial) | <2% | Kaspersky Threat Intelligence |
| Häufigste Passwörter in Erpressungs-E-Mails | “123456”, “password”, “123456789” | Have I Been Pwned |
| Erfolgsquote der Betrüger (Zahlungsrate) | 0,8% | Google Threat Analysis Group |
Was Sie sofort tun sollten
- Nicht auf die E-Mail antworten und keinesfalls zahlen – das bestätigt nur, dass Ihre E-Mail-Adresse aktiv ist
- Passwort sofort ändern – auch wenn es sich um ein altes Passwort handelt (nutzen Sie einen Passwort-Manager)
- Zwei-Faktor-Authentifizierung (2FA) aktivieren für alle wichtigen Konten
- Prüfen, ob Ihre Daten in Leaks aufgetaucht sind auf Have I Been Pwned
- E-Mail als Spam markieren und den Absender blockieren
- Anzeige erstatten bei der Polizei oder dem Internet-Beschwerdestelle
Wie hoch ist das reale Risiko?
Unser Rechner oben hilft Ihnen, das konkrete Risiko für Ihren Fall einzuschätzen. Die meisten Erpressungsversuche folgen diesem Muster:
| Szenario | Wahrscheinlichkeit | Empfohlene Reaktion |
|---|---|---|
| Bluff-E-Mail mit altem Passwort aus Datenleak | 98% | Ignorieren, Passwort ändern, 2FA aktivieren |
| Echter Account-Zugriff (z.B. durch Phishing) | 1,8% | Account sperren, Passwörter zurücksetzen, Forensik prüfen |
| Echte Kompromittierung mit sensiblen Daten | 0,2% | Anwalt einschalten, Strafanzeige, Krisenkommunikation |
Rechtliche Aspekte in Deutschland
Nach deutschem Recht (§ 202c StGB) ist bereits die Drohung mit der Veröffentlichung persönlicher Daten strafbar, selbst wenn die Daten gar nicht vorliegen. Sie können und sollten in jedem Fall Anzeige erstatten:
- § 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten
- § 240 StGB: Nötigung
- § 263 StGB: Betrug (wenn Geld gefordert wird)
- § 303a StGB: Datenveränderung (bei Account-Übernahme)
Die BSI (Bundesamt für Sicherheit in der Informationstechnik) rät ausdrücklich davon ab, auf Erpressungsforderungen einzugehen, da dies:
- Die Kriminellen ermutigt, weitere Opfer zu kontaktieren
- Keine Garantie bietet, dass Daten nicht doch veröffentlicht werden
- Die Finanzierung weiterer krimineller Aktivitäten ermöglicht
Technische Sofortmaßnahmen
Führen Sie diese Schritte unverzüglich durch, wenn Sie eine Erpressungs-E-Mail erhalten:
- Keine Panik – in 99% der Fälle ist es ein Bluff
- E-Mail-Header analysieren (Anleitung: Verbraucherzentrale)
- Betroffene Konten identifizieren (welches Passwort wurde genannt?)
- Passwort-Manager prüfen (1Password, Bitwarden, KeePass)
- Zwei-Faktor-Authentifizierung aktivieren (Authenticator-App, nicht SMS!)
- Sicherheitswarnungen prüfen in Google Security Checkup oder Apple ID
Langfristige Sicherheitsstrategie
Um sich gegen zukünftige Angriffe zu schützen, implementieren Sie diese Maßnahmen:
- Passwort-Hygiene:
- Nutzen Sie unique Passwörter für jedes Konto (Passwort-Manager helfen)
- Mindestens 16 Zeichen Länge
- Keine persönlichen Informationen (Geburtsdaten, Namen)
- Regelmäßige Rotation (alle 6-12 Monate)
- Zwei-Faktor-Authentifizierung (2FA):
- Nutzen Sie Authenticator-Apps (Google Authenticator, Authy) statt SMS
- Aktivieren Sie 2FA für alle wichtigen Konten (E-Mail, Banking, Social Media)
- Hinterlegen Sie Backup-Codes sicher (gedruckt oder im Passwort-Manager)
- Phishing-Schutz:
- Nutzen Sie Browser mit Phishing-Schutz (Chrome, Firefox, Edge)
- Prüfen Sie immer die URL bevor Sie Login-Daten eingeben
- Nutzen Sie dedizierte E-Mail-Adressen für verschiedene Dienste
- Überwachung:
- Abonnieren Sie Have I Been Pwned Benachrichtigungen
- Nutzen Sie Kreditüberwachungsdienste (z.B. Schufa, Credit Karma)
- Prüfen Sie regelmäßig Kontoauszüge auf verdächtige Aktivitäten
Psychologische Aspekte der Erpressung
Erpresser nutzen gezielt psychologische Tricks, um Opfer unter Druck zu setzen:
- Dringlichkeit: “Sie haben 24 Stunden Zeit!” → Erzeugt Panik und überstürzte Entscheidungen
- Autorität: “Wir sind eine Hackergruppe mit 100% Erfolgsquote” → Soll Einschüchterung verstärken
- Sozialer Beweis: “Andere haben schon gezahlt” → Suggeriert, dass Zahlung normal ist
- Verlustaversion: “Ihre Reputation wird zerstört!” → Fokus auf mögliche Verluste statt Rationalität
- Anonymität: Bitcoin-Zahlungen → Reduziert Hemmschwelle (“niemand erfährt davon”)
Studien der FBI Behavioral Analysis Unit zeigen, dass Opfer, die:
- Sich zeit nehmen, um die Situation zu analysieren, seltener zahlen
- Mit Vertrauenspersonen sprechen, rationaler entscheiden
- Die technischen Fakten prüfen (z.B. Passwort-Aktualität), weniger anfällig sind
Fallbeispiele und Lösungsstrategien
Fall 1: Bluff-E-Mail mit altem Passwort
Szenario: Sie erhalten eine E-Mail mit einem Passwort, das Sie vor 5 Jahren für ein Forum genutzt haben. Der Absender droht mit der Veröffentlichung von “Kompromittierungsmaterial”.
Lösung:
- Passwort auf Have I Been Pwned prüfen → Bestätigt Datenleak von 2018
- Alle Konten, bei denen Sie dieses Passwort genutzt haben, aktualisieren
- 2FA für wichtige Konten aktivieren
- E-Mail ignorieren und als Spam markieren
Fall 2: Echter Account-Zugriff
Szenario: Sie können sich nicht mehr in Ihr E-Mail-Konto einloggen und erhalten eine Erpressungs-E-Mail von der neuen “Ihrer” Adresse.
Lösung:
- Sofort Passwort-Reset über die Recovery-Optionen des Anbieters einleiten
- Alle verknüpften Konten (Banking, Social Media) auf verdächtige Aktivitäten prüfen
- Bei der Polizei Anzeige wegen Computerbetrug (§ 263a StGB) erstatten
- Freunde/Kollegen warnen, dass die E-Mail-Adresse kompromittiert wurde
- Professionelle IT-Forensik in Betracht ziehen, um Angriffsvektor zu klären
Fall 3: Erpressung mit echten kompromittierenden Daten
Szenario: Der Erpresser kann nachweislich auf sensible Daten (z.B. private Fotos, Firmengeheimnisse) zugreifen.
Lösung:
- Keine Kommunikation mit dem Erpresser – keine Zahlungen
- Sofort Anwalt für IT-Recht kontaktieren
- Strafanzeige bei der Staatsanwaltschaft (Cybercrime-Abteilung) erstatten
- Betroffene Personen (z.B. auf Fotos) informieren
- PR-Strategie entwickeln, falls Daten öffentlich werden
- Langfristige Sicherheitsaudits durchführen lassen
Häufige Fragen (FAQ)
Sollte ich auf die E-Mail antworten, um mehr Informationen zu bekommen?
Nein, auf keinen Fall. Jede Reaktion bestätigt dem Angreifer, dass Ihre E-Mail-Adresse aktiv ist und erhöht das Risiko weiterer Angriffe. Die meisten Erpressungs-E-Mails werden automatisch versendet – eine Antwort führt oft zu gezielteren Angriffen.
Wie kann der Erpresser mein Passwort kennen?
In den meisten Fällen stammt das Passwort aus einem Datenleak. Websites wie Have I Been Pwned listen Milliarden gestohlener Login-Daten. Wenn Sie ein Passwort mehrfach verwenden, können Angreifer es bei verschiedenen Diensten ausprobieren (“Credential Stuffing”).
Was passiert, wenn ich nicht zahle?
In über 99% der Fälle passiert nichts, weil der Erpresser gar keine kompromittierenden Daten besitzt. Selbst wenn Daten vorliegen, ist die Veröffentlichung nach einer Nicht-Zahlung unwahrscheinlich, da dies die “Geschäftsmodelle” der Erpresser gefährdet (Opfer würden dann nicht mehr zahlen).
Kann ich die Polizei einschalten, auch wenn ich nicht zahle?
Ja, unbedingt! Auch der Versuch der Erpressung ist strafbar. Die Polizei kann:
- Die E-Mail analysieren und ggf. die IP-Adresse zurückverfolgen
- Muster erkennen und andere potenzielle Opfer warnen
- Bei internationalen Fällen mit Interpol/Europol zusammenarbeiten
Wie kann ich prüfen, ob meine Daten wirklich gestohlen wurden?
Führen Sie diese Schritte durch:
- Prüfen Sie auf Have I Been Pwned, ob Ihre E-Mail in Leaks aufgetaucht ist
- Nutzen Sie die Google Security Checkup (auch für Nicht-Google-Nutzer)
- Überprüfen Sie die Login-Aktivität in allen wichtigen Konten (Facebook, Amazon etc.)
- Nutzen Sie Tools wie Avast Hack Check oder Firefox Monitor
- Falls möglich, lassen Sie eine digitale Forensik-Analyse durchführen
Zusammenfassung: Die 5 goldenen Regeln
- Nicht zahlen – das bestätigt nur, dass Sie erpressbar sind
- Passwörter ändern – sofort und für alle Konten, bei denen Sie das genannte Passwort genutzt haben
- 2FA aktivieren – besonders für E-Mail und Banking
- Anzeige erstatten – auch wenn “nur” ein Versuch vorliegt
- Langfristig absichern – Passwort-Manager, regelmäßige Checks, Sicherheitsupdates
Erpressungsversuche mit geknackten Passwörtern sind heute leider alltäglich – aber mit dem richtigen Wissen und schnellem Handeln können Sie das Risiko minimieren. Nutzen Sie unseren Rechner oben, um Ihre individuelle Situation einzuschätzen, und zögern Sie nicht, professionelle Hilfe in Anspruch zu nehmen, wenn Sie unsicher sind.
Für weitere Informationen empfehlen wir diese offiziellen Quellen: